Cosa sono i controlli di accesso?

Controlli di accesso, definizione

I controlli di accesso sono le politiche, gli strumenti e i processi che regolano l'accesso degli utenti ai dati sensibili, ai sistemi informatici, alle sedi e ad altre risorse.

I controlli dell'accesso fisico, come cancelli e porte chiuse a chiave, controllano l'accesso ai luoghi fisici. I controlli logici degli accessi, come i sistemi di rilevamento e prevenzione delle intrusioni, controllano l'accesso ai sistemi informatici. Questo articolo riguarda principalmente i controlli logici degli accessi.

In termini di gestione degli accessi, le entità che necessitano di accesso sono note come "soggetti". Questi argomenti includono sia utenti umani che identità non umane come bot, app, workload automatizzati e agenti AI.  

Infatti, con l'esplosione di quest'ultima categoria, guidata dalla proliferazione delle infrastrutture cloud, dall'ascesa del DevOps e dall'adozione di strumenti avanzati di intelligenza artificiale —gli utenti non umani stanno diventando un punto chiave del controllo degli accessi.

Le cose a cui i soggetti devono accedere, come le application programming interface (API), le impostazioni del sistema operativo, le informazioni sensibili in un cloud database - sono chiamate "oggetti". 

L'implementazione del controllo degli accessi in una rete aziendale consiste tipicamente nella creazione e nell'applicazione di politiche di controllo degli accessi, che definiscono i diritti di accesso di ciascun soggetto all'interno di un sistema. Le politiche di controllo degli accessi stabiliscono se un soggetto può accedere a un oggetto (come un documento) e le autorizzazioni rispetto a quell'oggetto (nel caso di un documento: solo lettura, lettura e scrittura, controllo amministrativo completo).

I controlli degli accessi sono una pietra miliare della sicurezza delle identità. Ad esempio, le architetture di rete zero-trust si basano su solidi controlli di accesso per prevenire l'accesso non autorizzato e semplificare l'accesso per gli utenti autorizzati. Nelle reti cloud-native, in cui l'identità rappresenta il nuovo perimetro, i controlli di accesso sono vitali per gli sforzi di cybersecurity in generale. 

Allo stesso tempo, i controlli di accesso sono un punto debole per molti sistemi. I controlli di accesso non funzionanti sono al primo posto nella classifica OWASP Top 10 dei rischi più critici per la sicurezza delle applicazioni web. Secondo l'X-Force Threat Intelligence Index di IBM, gli attacchi basati sull'identità, in cui attori delle minacce dirottano account utente validi per abusare dei loro privilegi di accesso, rappresentano quasi un terzo delle violazioni. 

Pertanto, sebbene la gestione degli accessi svolga un ruolo chiave nell'ambito dei livelli di sicurezza aziendale, i dati disponibili suggeriscono la presenza di margini di miglioramento.  

Come funziona il controllo degli accessi

I controlli di accesso sono solitamente basati su criteri. Gli amministratori di sistema, in collaborazione con altri stakeholder, se del caso, redigono politiche di controllo degli accessi che specificano le autorizzazioni dei soggetti. I sistemi di controllo degli accessi, come le piattaforme di gestione delle identità e degli accessi (IAM) e di gestione degli accessi privilegiati (PAM), applicano automaticamente queste politiche di sicurezza.

I sistemi di controllo degli accessi utilizzano un processo di autenticazione e autorizzazione in due fasi per garantire che solo i soggetti verificati possano accedere agli oggetti e che tali soggetti possano agire solo in modi approvati. 

Politiche di controllo degli accessi 

Le politiche di accesso determinano gli oggetti a cui un soggetto può accedere: i bucket S3 che uno sviluppatore può vedere, le API che un'applicazione può chiamare, i set di dati che un modello linguistico di grandi dimensioni (LLM) può importare. Inoltre, e questo è fondamentale, stabiliscono cosa i singoli utenti possono fare con un oggetto. L'LLM può scrivere nel set di dati? Lo sviluppatore può modificare le impostazioni di un bucket S3? Le politiche di accesso determinano le risposte a queste domande.

Sebbene le politiche varino inevitabilmente da sistema a sistema e da risorsa a risorsa, la maggior parte delle organizzazioni segue un modello di controllo degli accessi consolidato, come il controllo degli accessi basato sui ruoli (RBAC) o il controllo degli accessi basato sugli attributi (ABAC). (Per ulteriori informazioni, consulta "Tipi di controllo degli accessi.") 

Indipendentemente dal modello, molte politiche di accesso delle organizzazioni seguono il principio del privilegio minimo: l'idea che gli utenti debbano avere solo il livello più basso di autorizzazione necessario per svolgere il proprio lavoro, e che le autorizzazioni debbano essere revocate al termine di un compito.

Le politiche di accesso possono essere "memorizzate" in un sistema in diversi modi.  

  • Le politiche possono essere scritte direttamente nel codice di un'applicazione. 

  • Alcuni sistemi utilizzano un elenco di controllo degli accessi (ACL), che elenca ogni utente e le relative autorizzazioni. Potrebbe essere presente un ACL centralizzato per l'intero sistema oppure ogni singolo oggetto potrebbe avere il proprio ACL.
      
  • In un sistema di controllo degli accessi basato sulle funzionalità, ogni soggetto presenta un elenco di funzionalità associato che ne memorizza i diritti di accesso. 

  • I modelli più dinamici, come RBAC e ABAC, utilizzano un motore di policy: un servizio dedicato che valuta ogni richiesta di accesso secondo una logica definita. Invece di basarsi su un elenco statico per prendere decisioni sull'autorizzazione, i motori di policy considerano il contesto più ampio della richiesta prima di concedere l'accesso.  

Autenticazione

Quando un soggetto intende accedere a una risorsa protetta da un sistema di controllo degli accessi, anzitutto verifica la sua identità attraverso un processo di autenticazione.

Per gli utenti umani, l'autenticazione di solito comporta la presentazione di una serie di credenziali, come una combinazione di nome utente e password. Tuttavia, le password sono considerate tra le credenziali più deboli perché gli attori delle minacce possono facilmente indovinarle o rubarle.

La maggior parte dei sistemi oggi si affida a misure più sostanziali, come la biometria e l'autenticazione a più fattori (MFA). L'MFA richiede due o più elementi di prova per dimostrare l'identità di un utente (come la scansione dell'impronta digitale e una password univoca generata da un'app di autenticazione).

Dispositivi, workload, agenti AI e altre identità non umane utilizzano in genere credenziali come certificati e chiavi di crittografia per la verifica. Sebbene i soggetti non umani non possano utilizzare l'MFA, le soluzioni digestione dei segreti possono contribuire a proteggere le credenziali attraverso il vaulting, la rotazione automatizzata e altre misure. 

Autorizzazione

L'autorizzazione è il processo che consente a un soggetto verificato il livello di accesso appropriato.

Il modo in cui avviene l'autorizzazione dipende dal sistema di controllo degli accessi in vigore. 

Ad esempio, se un sistema utilizza un ACL, controlla l'elenco e assegna all'oggetto le autorizzazioni individuate. 

Se il sistema utilizza un motore di policy, quest'ultimo concederà privilegi all'utente in base al contesto della richiesta di accesso.  

In un sistema che utilizza il protocollo OAuth , un framework di autorizzazione open standard che garantisce alle applicazioni un accesso sicuro alle risorse protette dell'utente finale, l'autorizzazione viene concessa tramite token.

Strumenti di controllo degli accessi

Sebbene ogni singolo oggetto in una rete possa avere un proprio sistema di controllo degli accessi, generalmente questo non è considerato una best practice. Le lacune e le discrepanze tra questi sistemi possono creare vulnerabilità che gli aggressori possono utilizzare, impedendo agli utenti autorizzati di svolgere il proprio lavoro.

Invece, organizzazioni come il National Institute of Standards and Technology (NIST) e l'OWASP raccomandano l'implementazione di un sistema centralizzato di controllo degli accessi, spesso come parte integrante di un identity fabric olistico. 

Questi sistemi centralizzati si basano su tecnologie e strumenti come: 

Soluzioni di gestione delle identità e degli accessi (IAM) 

Le soluzioni IAM possono semplificare e automatizzare le attività di controllo degli accessi chiave. Le funzionalità possono variare, ma le caratteristiche comuni della gestione delle identità e degli accessi (IAM) includono servizi di directory, workflow di autenticazione e autorizzazione, gestione delle credenziali e governance dell'identità.

Scopri di più sulla gestione delle identità e degli accessi
Soluzioni di gestione degli accessi privilegiati (PAM) 

Gli strumenti PAM facilitano l'accesso sicuro agli account utente altamente privilegiati, come gli amministratori di sistema. Gli strumenti PAM utilizzano caratteristiche come i vault delle credenziali e i protocolli di accesso just-in-time per proteggere questi account privilegiati da usi accidentali, insider malevoli e attori delle minacce.

Scopri di più sulla gestione degli accessi privilegiati
Soluzioni di single sign-on (SSO) 

Il single sign-on (SSO) è uno schema di autenticazione che consente agli utenti di accedere una sola volta tramite un unico set di credenziali e di accedere a più applicazioni durante la stessa sessione. Il single sign-on semplifica l'autenticazione degli utenti, migliora l'esperienza utente e, se implementato correttamente, rafforza la sicurezza.  

Maggiori informazioni sul single sign-on
Reti private virtuali (VPN) 

Alcune organizzazioni richiedono che gli utenti accedano a una VPN aziendale per accedere ai dati aziendali, al software e ad altre risorse. In questo caso, la VPN funge da controllo di accesso: gli utenti possono accedere agli oggetti aziendali solo tramite questa specifica rete, non tramite internet pubblico.

Maggiori informazioni sulle VPN
Strumenti Zero Trust Network Access (ZTNA) 

Uno ZTNA è, in un certo senso, la versione zero-trust di una VPN. Fornisce l'accesso remoto ad applicazioni e servizi, ma connette gli utenti solo alle risorse a cui hanno il permesso di accedere, piuttosto che collegarli all'intera rete. 

Strumenti di AI generativa e agentic AI 

Come in altri ambiti, le organizzazioni stanno integrando strumenti di AI generativa e agentic AI nei controlli di accesso. 

Ad esempio, i chatbot di AI generativa possono essere utilizzati per semplificare i processi di gestione delle identità come il provisioning. Addestrando un chatbot LLM sulle politiche di controllo degli accessi a livello di organizzazione e collegandolo alla documentazione e alle risorse appropriate, un'organizzazione può creare uno strumento IAM sicuro e self-service. Quando i nuovi utenti hanno bisogno di accesso a un sistema o gli utenti esistenti hanno bisogno di permessi aggiornati, possono effettuare la richiesta tramite chatbot. 

Un esempio di controllo degli accessi in azione

Supponiamo che un'organizzazione debba creare e applicare i controlli di accesso per un database riservato contenente i dati dei clienti. 

Anzitutto, l'amministratore di sistema e gli altri stakeholder rilevanti decideranno quali soggetti (persone, app, agenti AI) dovrebbero avere accesso al database. Magari decidono che chiunque abbia un ruolo nelle vendite o nel marketing dovrebbe essere in grado di accedere ai dati, così come il software di customer relationship management (CRM) e di marketing. Anche gli agenti AI di proprietà di utenti umani autorizzati possono accedere. 

Successivamente, gli stakeholder determinano quali azioni ogni utente autorizzato può intraprendere all'interno del database. Magari i rappresentanti di vendita necessitano di accesso in lettura e scrittura perché instaurano e mantengono nel tempo dei rapporti con questi clienti. Nel frattempo, i ruoli di marketing possono solo leggere il database perché utilizzano semplicemente i dati demografici dei clienti per informare le campagne. Magari tutti gli agenti AI, indipendentemente dal proprietario, hanno un accesso di sola lettura per garantire che un umano sia sempre coinvolto nell'aggiornamento del database.

Per far rispettare questa politica di accesso, l'organizzazione utilizza un motore centralizzato, con una logica dettagliata di controllo degli accessi. Oltre all'identità dell'utente, il motore considera i fattori contestuali per determinare se concedere una richiesta di accesso.  

Ad esempio, supponiamo che un rappresentante di vendita voglia accedere al database per aggiornare l'indirizzo e-mail di un cliente. Innanzitutto, il rappresentante di vendita dimostra la propria identità fornendo i corretti fattori di autenticazione. Successivamente, la richiesta viene valutata dal motore dei criteri, che considera quanto segue:

  • Identità verificata del rappresentante 

  • Le autorizzazioni del rappresentante, che consentono l'aggiornamento dei record dei clienti

  • L'orario del giorno, che sono le 15:30 e ben entro l'orario di lavoro standard 

  • Lo stato di salute del dispositivo del rappresentante, che è aggiornato con tutte le patch e non presenta segni di malware

Sulla base di questi fattori, la richiesta di accesso del rappresentante di vendita viene accolta. 

Tipi di controllo degli accessi

Le organizzazioni possono implementare diversi tipi di modelli di controllo degli accessi in base alle loro esigenze. I tipi più comuni includono:

Discretionary access control (DAC)

I sistemi di controllo discrezionale degli accessi (DAC) consentono ai proprietari delle risorse di impostare regole di accesso per tali risorse. I proprietari degli oggetti possono trasferire privilegi di livello amministrativo ad altri utenti nel modello DAC. Se il proprietario di un oggetto concede privilegi di amministratore a un altro utente, quell'utente può anche impostare le regole di accesso per l'oggetto. 

Controllo degli accessi obbligatorio (MAC)

I sistemi di controllo di accesso obbligatorio (MAC) applicano criteri di controllo degli accessi definiti centralmente per tutti gli utenti.

Spesso operano attraverso livelli di autorizzazione, come nel governo o nell'esercito. Ogni soggetto riceve un livello di autorizzazione, e ogni oggetto ha un livello di autorizzazione o classificazione corrispondente. I soggetti autorizzati possono accedere a qualsiasi oggetto che si trovi al di sotto del livello di autorizzazione. 

Sebbene tutti i controlli di accesso siano obbligatori, nel senso che ogni soggetto deve rispettarli, il termine "obbligatorio" in MAC si riferisce al fatto che i singoli utenti non possono modificare o assegnare autorizzazioni. Il modello MAC si contrappone al modello DAC discrezionale, in cui i proprietari degli oggetti hanno il controllo sulle regole di accesso per i propri oggetti. 

Controlli di accesso basati sul ruolo (RBAC)

Nel controllo degli accessi basato sui ruoli (RBAC), i privilegi degli utenti si basano sui ruoli all'interno dell'organizzazione.

I ruoli in un sistema RBAC non sono la stessa cosa dei titoli di lavoro, anche se in alcune implementazioni possono coincidere. Ma in questo contesto, il "ruolo" si riferisce all'attività svolta da una persona all'interno dell'organizzazione e alle autorizzazioni di cui ha bisogno. I ruoli RBAC si basano su diversi criteri, tra cui titoli di lavoro, livelli di competenza, responsabilità e altro ancora. 

Ad esempio, supponiamo che gli amministratori di sistema stiano impostando le autorizzazioni per un firewall di rete. Un rappresentante di vendita non avrebbe alcun accesso. Un analista della sicurezza di livello junior potrebbe essere in grado di visualizzare le configurazioni del firewall ma non di modificarle, mentre un analista di livello senior potrebbe avere un accesso amministrativo. Un’API per un sistema integrato di gestione degli eventi e delle informazioni di sicurezza (SIEM) potrebbe essere in grado di leggere i registri delle attività del firewall. 

Il RBAC è uno dei due modelli di controllo accessi raccomandati dall'OWASP.

Controllo degli accessi basato sugli attributi (ABAC)

Il secondo modello di controllo degli accessi raccomandato da OWASP, il controllo degli accessi basato sugli attributi (ABAC), utilizza un motore di criteri per analizzare in tempo reale gli attributi di ogni richiesta di accesso. Vengono accolte solo le richieste che soddisfano i criteri previsti.

In generale, gli "attributi" sono le caratteristiche dei soggetti, degli oggetti e delle azioni coinvolte in una richiesta. Gli attributi possono includere elementi come il nome e il ruolo di un utente, il tipo di risorsa, il livello di rischio dell'azione richiesta e l'ora del giorno della richiesta. 

Ad esempio, in un sistema ABAC, gli utenti potrebbero essere in grado di accedere ai dati sensibili solo durante l'orario di lavoro e solo se hanno un certo livello di anzianità.

La differenza tra RBAC e ABAC è che ABAC determina dinamicamente le autorizzazioni di accesso al momento di ogni richiesta basandosi su molteplici fattori contestuali. Il RBAC, al contrario, concede le autorizzazioni rigorosamente in base a ruoli utente predefiniti.  

Controlli di accesso basati su regole (RuBAC)

Il controllo degli accessi basato su regole (RuBAC) è un sistema in cui l'accesso si basa su regole condizionali e contestuali. Ad esempio: se una richiesta proviene dall'oggetto X all'ora Y, è consentita. 

Il termine "controllo degli accessi basato su regole" è impreciso e in qualche modo obsoleto. Spesso viene utilizzato come sinonimo di ABAC, oppure come denominazione per forme precedenti e meno sofisticate di ABAC. A volte viene utilizzato per indicare i sistemi RBAC che eseguono le richieste di accesso attraverso un ulteriore livello di logica (ruolo + regole). 

Perché il controllo degli accessi è importante

Il controllo degli accessi è al centro della sicurezza aziendale, in molti modi. L'OWASP li elenca sia come il rischio maggiore quando non funzionano, sia come il principale controllo proattivo quando funzionano. 

I controlli di accesso efficaci possono aiutare a proteggere gli asset organizzativi, liberare il pieno valore dei dati aziendali e proteggere e potenziare le tecnologie emergenti degli agenti AI. I controlli degli accessi difettosi possono minare tutti questi sforzi e spalancare le porte agli hacker.

Applicazione della sicurezza delle identità

I controlli di accesso sono fondamentali per la cybersecurity stessa perché l'identità è il fulcro degli sforzi di sicurezza odierni.

La rete aziendale media ospita un numero crescente di utenti, sia umani che non umani, distribuiti in varie sedi, che necessitano di un accesso sicuro sia alle app e alle risorse on-premise che a quelle basate sul cloud. 

Le misure di sicurezza basate sul perimetro sono inefficaci in questi ambienti. Invece, le organizzazioni concentrano i controlli di sicurezza su singoli utenti e risorse, oppure in termini di gestione degli accessi, dei soggetti e degli oggetti. 

Ad esempio, consideriamo l'approccio zero-trust alla sicurezza della rete. Invece di autenticare un utente una sola volta, zero trust autentica ogni singola richiesta di accesso da ogni singolo utente. In altre parole: ogni richiesta passa attraverso il control plane.

Considera inoltre come i controlli di accesso supportano la triade della sicurezza delle informazioni della CIA:

  • Riservatezza: i controlli di accesso aiutano a mantenere riservati i dati limitando l'accesso solo agli utenti autorizzati. 

  • Integrità: i controlli di accesso aiutano a preservare l'integrità dei dati controllando ciò che gli utenti possono fare, supportando la conformità dei dati e mitigando le violazioni dei dati.

  • Disponibilità: il controllo degli accessi aiuta a garantire che gli utenti abbiano l'accesso necessario per svolgere il proprio lavoro, evitando l'overprovisioning e i rischi che esso comporta. 

Democratizzazione dell'accesso ai dati 

Inoltre, i controlli di accesso possono aiutare le organizzazioni a ottenere maggiore valore dai dati proprietari mantenendone la sicurezza. 

Secondo lo studio CDO 2025 dell'IBM Institute for Business Value, il 78% dei CDO afferma che utilizzare i dati proprietari è un obiettivo strategico aziendale per differenziare la propria organizzazione. Inoltre, l'82% dei CDO ritiene che i dati "andranno sprecati" se i dipendenti non riescono a utilizzarli facilmente per prendere decisioni basate sui dati.  

E l'accesso sicuro ai dati diventa ancora più importante quando gli agenti AI si uniscono alla forza lavoro digitale. Gli agenti necessitano di dati aziendali per operare in modo efficiente ed efficace. 

Controlli di accesso efficaci aiutano sia gli utenti umani che gli agenti AI ad accedere in modo sicuro ai dati aziendali per usi approvati. Secondo lo studio CDO, i CDO di organizzazioni che garantiscono un ROI più elevato sugli investimenti in AI e dati utilizzano comunemente misure di sicurezza come l'RBAC per regolare l'accesso degli utenti ai dati aziendali.  

Protezione degli agenti AI

In un episodio del podcast Security Intelligence di IBM, Dave McGinnis, partner globale del gruppo di offerta di gestione delle minacce cibernetiche di IBM, ha definito gli agenti AI "le minacce interna più utili." McGinnis si riferiva alla capacità degli agenti di generare sia incredibili vantaggi che incredibili danni.

Per svolgere un lavoro significativo, gli agenti hanno bisogno di un accesso altamente privilegiato ai sistemi e ai dati aziendali. Tuttavia, gli agenti sono anche non deterministici e, senza un'adeguata protezione, possono utilizzare il loro accesso in modi nuovi e non del tutto autorizzati.

Come ha spiegato Seth Glasgow, consulente esecutivo presso il cyber range di IBM, sull' Security Intelligence, l'uso oculato dei controlli di accesso è fondamentale per abilitare gli agenti AI riducendo i rischi di abuso dei privilegi:

L'implementazione standard di [un agente AI] è che può vedere tutto, giusto? È un agente che li governa tutti, in mancanza di un termine migliore. ... Ma proprio lì ho creato un asset di altissimo valore. Quell'app è configurata per accedere a moltissimi dati sensibili. 

Quindi la prima cosa da fare dal punto di vista della gestione delle identità e degli accessi (IAM) è iniziare a segmentare questo aspetto. Non abbiamo bisogno di un agente in grado di fare tutto questo. Deve allinearsi meglio con il caso d'uso specifico e deve avere delle autorizzazioni in grado di allinearsi direttamente con ciò che l'agente deve fare.

Perché i controlli di accesso danneggiati sono così comuni?

Tre fattori principali contribuiscono al malfunzionamento dei controlli di accesso: l'eccessiva concessione di privilegi, la mancanza di centralizzazione e i difetti di progettazione.

È comune che le organizzazioni concedano ai soggetti livelli di autorizzazione più alti di quelli strettamente necessari per assicurarsi di non incontrare ostacoli quando cercano di lavorare. Il privilegio eccessivo è particolarmente comune con le identità non umane utilizzate per automatizzare i workflow, poiché in genere le organizzazioni tipicamente richiedono il minor intervento possibile.

Controlli di accesso efficaci (come RBAC e ABAC) possono contribuire ad armonizzare l'esperienza utente, le operazioni aziendali e le esigenze di sicurezza. Anziché concedere privilegi eccessivi, le organizzazioni adattano con precisione l'accesso ai livelli di cui ogni soggetto ha effettivamente bisogno, né più né meno. 

Nei sistemi che non dispongono di controlli di accesso centralizzati, oggetti diversi possono avere sistemi di controllo differenti. Le lacune tra questi sistemi possono impedire ai soggetti di accedere alle risorse di cui hanno bisogno, e basta un sistema debole per mettere a rischio l'intera rete. 

Implementando un identity fabric olistico e utilizzando strumenti di Identity Orchestration per integrare sistemi eterogenei, le organizzazioni possono colmare le lacune di sicurezza semplificando l'accesso per gli utenti autorizzati.

Infine, come osserva OWASP, le applicazioni spesso presentano difetti di progettazione nei sistemi di controllo degli accessi. Questi difetti possono includere problemi come la capacità di aggirare i controlli modificando l'URL di una pagina, controlli API mancanti e token Web JSON non protetti e quindi vulnerabili alle manomissioni.

La formazione degli sviluppatori, i requisiti di controllo degli accessi più severi e le pratiche DevSecOps possono aiutare le organizzazioni a integrare la sicurezza delle identità direttamente nelle applicazioni.

Autore

Matthew Kosinski

Staff Editor

IBM Think

Soluzioni correlate
IBM® Verify Adaptive Access

Proteggi in modo proattivo utenti e asset con un'autenticazione basata sull'AI e basata sul rischio che analizza utenti, dispositivi, attività e comportamento per valutare fiducia e rischio.

Esplora IBM Verify Adaptive Access
Soluzioni per la sicurezza

Proteggi i tuoi ambienti hybrid cloud e AI con una protezione intelligente e automatizzata per dati, identità e minacce.

Esplora le soluzioni per la sicurezza
Servizi di gestione delle identità e degli accessi

Proteggi e gestisci gli accessi degli utenti con controlli automatici dell'identità e governance basata sul rischio negli ambienti hybrid cloud.

    Esplora i servizi IAM
    Fasi successive

    Scopri come Adaptive Access utilizza l'autenticazione basata sull'AI e basata sul rischio per bilanciare in modo intelligente fiducia e sicurezza, proteggendo utenti e asset in tempo reale.

    1. Esplora IBM Verify Adaptive Access
    2. Esplora le soluzioni per la sicurezza