Lo zero-trust è ancora importante. Ma non è abbastanza.

Una guida sul campo per i leader dei servizi bancari e finanziari in cosa sono cambiati AI, macchine e multicloud e cosa si deve fare per garantire la sicurezza.
immagine di un uomo in piedi davanti a un laptop
La tua banca riesce a tenere il passo nell'ambito della sicurezza?

I team di sicurezza stanno lottando per mantenere un controllo costante , mentre la crescita del multicloud, l'aumento delle identità delle macchine e la rapida adozione dell'AI aumentano la complessità. Configurazioni frammentate, un'applicazione non omogenea delle policy e l'accesso incontrollato da macchina a macchina ampliano il divario tra velocità aziendale e supervisione della sicurezza.

Allo stesso tempo, i sistemi di AI sanzionata e shadow AI introducono superfici decisionali mal governate. I controlli deboli o assenti rimangono il principale punto di debolezza, mettendo in evidenza la necessità di un approccio unificato e automatizzato per proteggere le identità, i workload e le operazioni basate sull'AI.
Una vista dall'alto mostra una persona che lavora su un laptop seduto su gradini in pieno sole in un atrio moderno.

Il 36% delle violazioni del cloud risale a una sola causa principale: una configurazione errata.1

Perché la sicurezza non rimane al passo

Negli ambienti multicloud e ibridi di oggi, la superficie di attacco è l'ambiente. Man mano che gli istituti finanziari crescono, quattro forze strutturali erodono costantemente il livello di sicurezza. Sommandosi a vicenda, creano lacune sistemiche che i tradizionali sistemi di controllo perimetrale non sono mai stati progettati per gestire.

Proliferazione delle identità

Le identità delle macchine sono di gran lunga più numerose di quelle umane e spesso si trovano al di fuori dei modelli di governance, creando così un rischio non definito che è difficile da inventariare, verificare o spiegare alle autorità di regolamentazione.
Complessità ibrida e multicloud

Ogni cloud applica i controlli in modo diverso, creando derive di configurazione e policy non omogenee che sono difficili da standardizzare e applicare tra i vari ambienti.
Accesso con privilegi eccessivi

Ruoli ampi e credenziali conservate a lungo garantiscono un accesso eccessivo, aumentano il raggio di violazione e complicano le indagini e la responsabilità a seguito di incidenti.
Processi manuali non scalabili

Il provisioning, le eccezioni e la rotazione delle chiavi non sono all'altezza dei volumi bancari o dei requisiti normativi, lasciando lacune nella sicurezza che l'automazione potrebbe evitare.
Il problema non era lo zero-trust

A questo punto, è giusto chiedersi: lo zero-trust è ancora importante per i servizi bancari e finanziari moderni?

Per IBM, la risposta è chiara: lo zero-trust si è evoluto da framework di sicurezza a modello operativo fondamentale per le aziende multicloud regolamentate.

Le basi rimangono sempre le stesse: applicazione costante, verifica continua e visibilità end-to-end, ma gli istituti finanziari non sono in difficoltà con la strategia ma con l'esecuzione su larga scala, la verificabilità e la prova di controllo.

Man mano che software, servizi e agenti assumono sempre maggiori responsabilità, lo zero-trust deve evolversi per forza. Il privilegio minimo deve estendersi ai modelli e agli agenti, mentre l'assunzione della violazione deve mettere in risalto la sicurezza costante, non gli audit point-in-time. Numerose strategie falliscono in questo ambito perché i progressi effettivi dipendono da controlli che possano essere dimostrati, verificati e considerati affidabili in modo continuativo: requisiti che si allineano perfettamente con le aspettative normative nel settore bancario e dei servizi finanziari.

Perché lo zero-trust mantenga quanto promette, deve essere eseguito attraverso un approccio unificato guidato dall'identità che rende il comportamento sicuro misurabile, applicabile e verificabile di default. È qui che IBM interviene sugli istituti finanziari a trasferire il concetto delle policy nella realtà operativa.
Discussione di gruppo in un ufficio moderno.
Zero-trust come fattore facilitante, non come un ostacolo

Lo zero-trust diventa un ostacolo solo quando viene applicato. Se integrato nelle decisioni di identità e accesso, lo zero-trust può aiutare ad accelerare l'attività, rafforzando al contempo la verificabilità e la supervisione esecutiva. Per le banche e gli istituti finanziari, questo significa una consegna digitale più rapida senza aumento del rischio di supervisione.

Trasformare i principi zero-trust dalla teoria alle operazioni quotidiane richiede una serie di funzionalità che lavorino in modo congiunto e non isolato.

Autenticazione e autorizzazione

 

Identità umane

 

Gli utenti si spostano costantemente tra piattaforme SaaS, sistemi interni, infrastrutture cloud e pipeline di sviluppo, introducendo attriti e rischi non gestiti in assenza di un livello unificato di identità. Senza una base di identità coerente, ogni transizione diventa una nuova decisione di accesso, una nuova policy e una nuova opportunità di attrito o rischio.

Il principio zero-trust affronta questo problema ancorando l'accesso dell'uomo in una fonte di identità unificata. Integrandosi con gli attuali provider di identità come Active Directory, Okta, Ping o LDAP, le banche e gli istituti finanziari possono applicare l'autenticazione a più fattori (MFA) resistente al phishing, emettere token di breve durata e prendere decisioni di accesso che si adattano al rischio, incorporando segnali comportamentali e il livello del dispositivo in tempo reale.

Man mano che gli utenti si spostano tra ambienti, anche le policy si spostano con loro. Invece di autenticarsi nuovamente attraverso controlli scollegati, l'accesso viene valutato in modo coerente, chiudendo i percorsi comuni di movimento laterale, riducendo la proliferazione degli account e offrendo ai team di sicurezza il controllo senza rallentare i generatori.

Con questa base, le identità vengono gestite in un unico posto, l'MFA si applica di default, l'accesso agli ambienti e alle pipeline è regolato da ruoli chiari e isolamento e approvazioni avvengono automaticamente in background, così il personale si muove più rapidamente, mentre l'istituzione riduce l'esposizione.

 

Identità delle macchine

 

Le identità delle macchine ora superano le identità umane in ordini di grandezza, creando un rischio silenzioso e crescente se mal gestito. Informazioni sensibili conservate a lungo, chiavi API non gestite e fiducia implicita tra sistemi creano rischi silenziosi ma estesi.

Il principio zero-trust tratta l'identità della macchina come una superficie di controllo di alto livello, imponendo di default credenziali di breve durata, una rotazione automatica e una policy-as-code. I workload, le piattaforme, le fasi CI/CD e gli agenti AI devono autenticarsi prima di accedere alle risorse, utilizzando credenziali di breve durata e con un ambito specifico anziché informazioni sensibile statiche.

Con la policy definita come codice e applicata automaticamente, i team ottengono la tracciabilità end-to-end senza un intervento manuale. I log di audit diventano a prova di manomissioni e la conformità può essere continuamente attestata da come viene concesso l'accesso, offrendo a banche e ad altre istituti finanziari regolamentati un registro difendibile e completo delle decisioni di accesso.

In pratica, le credenziali vengono rilasciate e ruotate automaticamente, le informazioni sensibili vengono recuperate solo quando sono necessarie e i certificati TLS sono gestiti end-to-end. Insieme, questi modelli offrono ai sistemi un modo coerente per dimostrare chi sono e limitare quello a cui possono accedere.

 

Accesso

 

Da uomo a uomo

 

L'accesso all'infrastruttura tradizionale si basava su una fiducia statica nella rete come ad esempio VPN, bastion host e credenziali permanenti che persistono molto tempo dopo essere necessarie. Questi modelli creano attriti per i tecnici e punti ciechi per i team di sicurezza.

Il principio zero-trust sostituisce quel modello con l'autorizzazione basata su sessioni. Invece di concedere un accesso continuo, i tecnici si autenticano, richiedono un target specifico e ricevono un token di autorizzazione monouso. Le credenziali vengono trattate nella sessione e revocate automaticamente al termine della sessione.

Il risultato riduce i permessi permanenti, la condivisione di password e i tunnel non gestiti. I tecnici possono ottenere un accesso rapido e affidabile senza ritardi nei ticket, mentre i team di sicurezza ottengono audit completi e registrazioni di sessione laddove necessario, soddisfacendo le aspettative di audit, rischio e supervisione senza introdurre attriti nel workflow.

 

Da macchina a macchina

 

Man mano che le applicazioni diventano sempre più distribuite, la comunicazione tra servizi si trasforma in una delle aree più difficili da proteggere. Le liste IP consentite e i confini di rete non sono scalabili tra cloud e ambienti e sono fragili per progettazione.

Il principio zero-trust applica di default controlli basati sull'identità a ogni connessione tra servizi. Una volta che i servizi sono in possesso delle identità, l'autenticazione e l'autorizzazione vengono applicate in ogni chiamata, consentendo l'applicazione in modo coerente di regole di accesso con privilegi minimi, indipendentemente da dove viene eseguito un servizio.

Questo approccio consente:

  • TLS reciproco (mTLS) per fornire una prova crittografica dell'identità del servizio.
  • Policy di traffico basate sull'identità che definiscono a livello centrale quali servizi possono comunicare e in quali condizioni, eliminando eccezioni per ambiente che causano la deriva del principio zero-trust.
  • Emissione e rinnovo automatici dei certificati che mantengono i sistemi aggiornati senza passaggi manuali, mentre il routing basato sull'identità impone l'accesso con privilegi minimi dall'inizio alla fine.

Protezione dei dati e garanzia costante

 

Lo zero-trust presuppone una violazione,un principio che si allinea direttamente con la moderna gestione del rischio bancario e finanziario. L'ultima linea di difesa sono i dati stessi.

Estendendo i principi zero-trust al livello dei dati, le organizzazioni superano gli audit periodici andando verso una garanzia continua, applicando costantemente le protezioni dei dati per limitare il raggio di violazione anche quando le identità sono compromesse.

Questo include:

  • Crittografia come servizio con controlli di accesso granulare.
  • Crittografia trasparente dei dati supportata da chiavi gestite.
  • Scoperta e correzione continue di informazioni sensibili trapelate o non gestite in archivi, immagini e pipeline.
  • Controllo costante della conformità utilizzando la policy come codice per rilevare tempestivamente le derive e attivare la correzione a ciclo chiuso.

 

Il livello di sicurezza è un risultato in cui la conformità non è più un'iniziativa separata, ma un risultato misurabile del modo in cui l'accesso e la protezione dei dati vengono applicati ogni giorno.
Minimizza i rischi. Massimizza i guadagni.

Banche e istituti finanziari che passano da un modello zero-trust basato sul perimetro a un approccio moderno basato sull'identità per persone, macchine e workload di AI (in tutti gli ambienti) segnalano miglioramenti tangibili nelle operazioni oltre a una maggiore sicurezza:

  • Le organizzazioni che utilizzano l'AI e i controlli basati sull'automazione riducono i costi delle violazioni in media di 1,9 milioni di dollari.2
  • Inoltre, l'AI e l'automazione riducono il periodo di contenimento di 80 giorni rispetto alle organizzazioni che non li utilizzano.2
  • I team di sicurezza interna ora rilevano il 50% delle violazioni (rispetto al 42% dell'anno precedente).2
  • L'individuazione tempestiva riduce i costi rispetto alla divulgazione da parte degli aggressori.2

Questi risultati non sono casuali. Sono il risultato dell'applicazione dello zero-trust come modello operativo. L'automazione elimina l'attrito manuale nella gestione delle credenziali. Una policy unificata sostituisce i controlli frammentari e specifici per ogni singolo servizio cloud. E un livello di sicurezza orientato all'identità, allineato ai requisiti normativi, di audit interno e di governance dell'AI, consente alla sicurezza di spostarsi alla velocità dell'azienda, non di rallentarla.

 
immagine di un edificio cittadino di notte
Osserva lo zero-trust in azione

Scopri come la Commercial International Bank ha modernizzato il proprio livello di sicurezza automatizzando i controlli di identità, accesso e infrastruttura.

 Leggi l’articolo
Il principio zero-trust funziona solo quando viene applicato sempre

Il settore è concorde: lo zero-trust è la strategia giusta ed è ora lo standard3 . Le istituzioni che stanno andando avanti la trattano come una disciplina operativa, non come il punto di arrivo. Quando la sicurezza è integrata nel modo in cui l'accesso viene concesso, verificato e revisionato di default, i team si muovono più rapidamente, gli audit diventano più semplici e la fiducia diventa dimostrabile.
Scopri come IBM aiuta le banche a passare da un'intenzione zero-trust a un'esecuzione zero-trust

Zero-trust offre valore solo quando viene applicato in modo coerente su persone, macchine e AI. IBM aiuta le banche a trasformare la strategia zero-trust in realtà operativa, grazie alle soluzioni di sicurezza aziendale di IBM e al supporto di esecuzione end-to-end di IBM® Consulting.

  1. Esplora le soluzioni per la sicurezza
  2. Aumenta la sicurezza con la consulenza
Note a piè di pagina

 1 CrowdStrike. Global Threat Report 2024: Top 5 Cloud Security Challenges of 2024 and How to Mitigate Them.

 2 IBM. Cost of a Data Breach Report 2025.

3. Il National Institute of Standards and Technology (NIST) lo ha formalizzato nel 2020 con la pubblicazione della sua famosa guida, SP 800-207, "Zero Trust Architecture".