/ sicurezza e privacy / VPN aziendale vs. Zero Trust: la guida strategica per CIO per blindare il lavoro ibrido
Pubblicato il Maggio 16, 2024

L’approccio “castello e fossato” della VPN tradizionale non protegge più la forza lavoro distribuita, anzi, espone l’intera infrastruttura a rischi sistemici in caso di una singola compromissione.

  • Un singolo account VPN violato può garantire a un attaccante l’accesso incontrollato a tutta la rete, facilitando attacchi ransomware.
  • La lentezza e la complessità delle VPN generano “frizione utente”, spingendo i dipendenti verso soluzioni di “shadow IT” che eludono ogni controllo di sicurezza.

Recommandation: Adottare un’architettura Zero Trust non è più un’opzione, ma una necessità strategica. La chiave è una migrazione graduale e basata sul rischio, partendo dalle applicazioni e dagli utenti più critici per garantire una transizione sicura senza paralizzare l’operatività.

Nell’era post-pandemica, il CIO italiano si trova di fronte a un paradosso: la stessa tecnologia che ha permesso la continuità aziendale durante il lockdown, la VPN (Virtual Private Network), è diventata una delle principali fonti di rischio per la sicurezza. Per decenni, abbiamo costruito le nostre difese su un modello semplice: un perimetro fortificato, un “castello” con un unico ponte levatoio, la VPN, per far entrare i dipendenti autorizzati. Oggi, con la forza lavoro distribuita tra casa, ufficio e sedi remote, questo perimetro non esiste più. Eppure, secondo una ricerca condotta da IDC Italy, ben il 65% delle aziende italiane ha ancora adottato soluzioni VPN nel 2024.

La discussione comune si ferma spesso a un dualismo semplicistico: “VPN è obsoleto, Zero Trust è il futuro”. Questa visione, sebbene corretta nella direzione, ignora la complessità operativa che un CIO deve gestire: budget, sistemi legacy, contratti in essere e, soprattutto, l’impatto sul lavoro quotidiano dei dipendenti. La vera sfida non è una scelta binaria, ma la definizione di una roadmap strategica. L’approccio non può essere un “rip and replace” traumatico, ma una transizione architetturale. Il cambio di paradigma è profondo, come sintetizza la filosofia Zero Trust stessa.

La filosofia Zero Trust si basa su un presupposto fondamentale: non fidarsi mai, verificare sempre. A differenza dei tradizionali modelli di sicurezza perimetrale, il modello Zero Trust presuppone che le minacce possano provenire sia dall’interno che dall’esterno della rete aziendale. Pertanto, ogni tentativo di accesso alle risorse di rete viene verificato, autenticato e autorizzato in modo rigoroso e continuo, a prescindere dalla sua provenienza.

– Security Architect Srl, Implementazione di controlli Zero Trust per la conformità

Questo articolo non si limiterà a confrontare due tecnologie. Fornirà un framework decisionale per i CIO, analizzando i rischi concreti del modello VPN tradizionale e delineando i passaggi per orchestrare una coesistenza intelligente e una migrazione graduale verso un’architettura Zero Trust, l’unica in grado di proteggere efficacemente il moderno ecosistema di lavoro ibrido.

In questo approfondimento strategico, analizzeremo i punti critici che ogni decisore IT deve considerare per rimodellare l’architettura di sicurezza. Esamineremo le vulnerabilità intrinseche del modello perimetrale, le soluzioni per un controllo degli accessi dinamico e contestuale, e l’impatto cruciale dell’esperienza utente sulla postura di sicurezza complessiva.

Sommario: La roadmap strategica per la sicurezza del lavoro ibrido

Perché la VPN classica espone tutta la rete aziendale se un solo PC viene compromesso?

Il difetto fondamentale dell’architettura VPN risiede nel suo principio operativo: una volta autenticato, l’utente ottiene un accesso esteso alla rete interna, come se fosse fisicamente in ufficio. Questo modello, basato sulla fiducia implicita nel dispositivo e nell’utente connesso, crea un’enorme superficie d’attacco perimetrale. Se le credenziali di un singolo dipendente vengono compromesse tramite phishing o password spraying, l’attaccante ottiene la chiave della porta principale. Da quel momento, può muoversi lateralmente all’interno della rete, spesso senza essere rilevato per giorni o settimane, alla ricerca di dati sensibili o per installare un ransomware.

Questo scenario non è teorico. Il report “The State of Ransomware 2024” di Sophos rivela che il 68% delle aziende italiane è stato vittima di ransomware, posizionando il nostro paese al terzo posto nel mondo. Molti di questi attacchi sfruttano proprio la debolezza intrinseca delle VPN, dove l’assenza di autenticazione a più fattori (MFA) o l’uso di apparati non aggiornati aprono autostrade agli aggressori. L’illustrazione seguente mostra come un singolo punto di ingresso si trasformi in una compromissione totale della rete.

Visualizzazione del movimento laterale di un ransomware attraverso una rete aziendale

A differenza della VPN, un’architettura Zero Trust Network Access (ZTNA) dissolve questo concetto di perimetro. L’accesso non viene concesso alla “rete”, ma a specifiche applicazioni, una per una, dopo una verifica rigorosa dell’identità e del contesto (dispositivo, geolocalizzazione, orario). Anche se un endpoint venisse compromesso, il danno sarebbe isolato: l’attaccante non avrebbe alcuna visibilità o possibilità di movimento laterale verso altre risorse aziendali, bloccando sul nascere la catena dell’attacco ransomware.

Come bloccare automaticamente l’accesso se il dipendente si collega da un paese estero sospetto?

La gestione degli accessi geografici è uno dei punti in cui la differenza tra l’approccio statico della VPN e quello dinamico dello Zero Trust diventa più evidente. Con una VPN tradizionale, il controllo si basa principalmente su liste di blocco di indirizzi IP. Se un dipendente in viaggio di lavoro deve connettersi da un paese normalmente considerato “a rischio”, il team IT è costretto a creare eccezioni manuali, complesse da gestire e spesso dimenticate, lasciando aperte delle falle di sicurezza. Questo approccio “tutto o niente” manca della granularità necessaria per il moderno lavoro globale.

L’architettura Zero Trust, invece, introduce il principio del minimo privilegio contestuale. L’accesso non è determinato solo da “chi sei” (autenticazione), ma anche dal contesto della tua richiesta: da dove ti connetti, quale dispositivo stai usando, a che ora, e qual è il suo stato di salute (es. antivirus aggiornato). Un tentativo di login dall’Italia con un dispositivo aziendale noto può essere approvato automaticamente. Lo stesso utente che tenta di accedere cinque minuti dopo da un data center in un paese ad alto rischio può innescare un blocco automatico o una richiesta di “step-up authentication” (un’ulteriore verifica, come un controllo biometrico).

VPN vs Zero Trust: Gestione degli accessi geografici
Criterio VPN Tradizionale Zero Trust (ZTNA)
Controllo geografico Blocco IP statico Verifica contestuale dinamica
Flessibilità Tutto o niente Accesso granulare per app
Conformità GDPR Limitata Nativa e documentabile
Gestione viaggi di lavoro Eccezioni manuali Step-up authentication automatica

Questa capacità di analisi contestuale non solo migliora drasticamente la sicurezza, ma semplifica anche la vita sia agli utenti che ai team IT. Inoltre, per le aziende italiane che operano a livello internazionale, la capacità di documentare e applicare policy di accesso basate sulla geolocalizzazione è fondamentale per garantire la conformità con normative come il GDPR, specialmente per quanto riguarda il trasferimento di dati personali al di fuori dell’UE.

Hardware token o app autenticator: cosa è più difficile da clonare per un attaccante?

Implementare l’autenticazione a più fattori (MFA) non è più una scelta, ma una necessità. Tuttavia, non tutti i metodi MFA offrono lo stesso livello di protezione. La domanda strategica per un CIO non è “se” implementare l’MFA, ma “quale” tipo di fattore secondario scegliere per bilanciare sicurezza, costi e usabilità. Affidarsi a metodi deboli può creare un falso senso di sicurezza, come dimostrano i dati: secondo un’analisi di Rapid7, il 67% degli incidenti nel terzo trimestre 2024 ha coinvolto un’MFA mancante o inefficace. Metodi come gli OTP (One-Time Password) via SMS, ad esempio, sono vulnerabili ad attacchi di SIM swapping e andrebbero evitati per gli accessi critici.

La gerarchia di sicurezza dei metodi MFA è chiara. Al livello più basso troviamo gli SMS e le email, facilmente intercettabili. Salendo, le app authenticator (come Google Authenticator o Microsoft Authenticator) offrono una sicurezza maggiore, specialmente se protette da biometria sul dispositivo. Tuttavia, sono ancora vulnerabili ad attacchi di phishing sofisticati (ad esempio, tramite proxy come Evilginx2) che possono indurre l’utente a inserire il codice su un sito malevolo. Al vertice della piramide troviamo i token hardware e le passkey basate sullo standard FIDO2. Un token hardware, come una YubiKey, richiede la presenza fisica del dispositivo, rendendo un attacco remoto quasi impossibile. Le passkey FIDO2 vanno oltre, legando crittograficamente l’autenticazione al dispositivo e al sito web specifico, rendendole resistenti al phishing per design.

Piano d’azione: Gerarchia di sicurezza dei metodi MFA

  1. Livello 1 (massima sicurezza): Standardizzare su Passkey FIDO2 per tutti i nuovi servizi. Sono resistenti al phishing per design e offrono la migliore esperienza utente.
  2. Livello 2 (protezione elevata): Distribuire token hardware (es. YubiKey) per gli amministratori di sistema e per l’accesso a infrastrutture critiche. Il costo per dipendente è giustificato dal livello di protezione.
  3. Livello 3 (buon compromesso): Utilizzare app authenticator con richiesta di conferma e protezione biometrica per la maggior parte della forza lavoro. Offre un buon equilibrio tra costo e sicurezza.
  4. Livello 4 (da dismettere): Eliminare gradualmente l’uso di OTP via SMS e email per gli accessi sensibili, relegandoli solo a scenari a basso rischio.
  5. Principio guida: Implementare sempre una strategia di MFA adattiva, che possa richiedere un fattore più forte (step-up authentication) in base al rischio contestuale della richiesta di accesso.

La scelta corretta dipende dal profilo di rischio. Per un’azienda che gestisce dati altamente sensibili, l’investimento in token hardware per i ruoli chiave non è un costo, ma un’assicurazione. Per la maggior parte degli utenti, una policy che impone l’uso di app authenticator protette da biometria rappresenta già un enorme passo avanti rispetto ai metodi più deboli.

Il rischio che i dipendenti aggirino la sicurezza se la VPN è troppo lenta o complessa da usare

Una delle metriche più sottovalutate nella valutazione di una soluzione di sicurezza è la frizione utente. Un’architettura sicura sulla carta, ma lenta e frustrante nell’uso quotidiano, è destinata a fallire. I dipendenti, pressati da scadenze e obiettivi, troveranno inevitabilmente delle scorciatoie. Questo fenomeno, noto come “shadow IT”, vede gli utenti utilizzare servizi cloud personali (es. WeTransfer, Google Drive personale) o disconnettersi dalla VPN per navigare più velocemente, esponendo dati aziendali e i loro stessi dispositivi a rischi incontrollati.

La pratica comune di instradare tutto il traffico Internet di un dipendente attraverso la VPN aziendale (full tunneling) per ispezionarlo è una delle cause principali di questo problema. Questo approccio non solo crea colli di bottiglia e degrada le prestazioni, ma aumenta anche i costi di banda per l’azienda. Secondo il report “2025 VPNs Under Siege” di Netskope, il 22% degli utenti segnala connessioni VPN lente e il 19% è frustrato da processi di autenticazione complessi. Per i team IT, il bilanciamento delle prestazioni e la continua risoluzione di problemi legati alla VPN rappresentano un onere significativo.

Confronto visivo tra architettura VPN centralizzata e ZTNA distribuita

Qui, l’architettura ZTNA offre un vantaggio trasformativo. Poiché l’accesso è disaccoppiato dalla rete, il traffico non sensibile (es. navigazione web generica, streaming) può essere instradato direttamente verso Internet (Direct-to-App), mentre solo il traffico destinato alle applicazioni aziendali protette passa attraverso il broker ZTNA. Questo non solo migliora drasticamente l’esperienza utente, eliminando la latenza, ma riduce anche il carico sull’infrastruttura aziendale. Una migliore performance si traduce in maggiore produttività e, soprattutto, in una minore tentazione per i dipendenti di aggirare i controlli di sicurezza.

Quando usare lo Split Tunneling per non intasare la VPN con il traffico YouTube dei dipendenti?

Lo split tunneling è spesso presentato come la soluzione per alleviare la congestione della VPN. La sua logica è semplice: separare il traffico, inviando solo quello destinato alle risorse aziendali attraverso il tunnel VPN e lasciando che tutto il resto (come la navigazione su YouTube o i servizi di streaming) utilizzi la connessione Internet diretta del dipendente. Sebbene questo approccio migliori indubbiamente le prestazioni e l’esperienza utente, introduce una complessità e dei rischi che i CIO devono valutare attentamente. Gestire e mantenere le liste di IP e domini da includere o escludere dal tunnel è un’operazione onerosa e soggetta a errori.

Ma il rischio più grande è strategico e intrinseco al modello. Consentendo a un dispositivo di essere connesso contemporaneamente alla rete aziendale (tramite VPN) e a Internet (direttamente), si crea un ponte potenziale tra un ambiente non protetto e il cuore dell’infrastruttura. Un malware scaricato durante la navigazione su un sito compromesso potrebbe, in teoria, sfruttare questa connessione per tentare di raggiungere la rete interna. Lo split tunneling, in sostanza, è un compromesso tattico che cerca di rattoppare un difetto fondamentale del modello perimetrale. Non risolve il problema alla radice: la fiducia eccessiva accordata a un dispositivo una volta che ha stabilito una connessione VPN.

L’esperto di cybersicurezza Roberto Clapis, in un’analisi per Il Post, sottolinea la criticità di esporre pubblicamente qualsiasi componente dell’infrastruttura:

Appena una vulnerabilità diventa nota, la prima cosa che gli aggressori fanno è usarla a tappeto su tutti i server che probabilmente usano quel software, per cercare di entrare nelle reti interne delle aziende. E una volta che sono dentro, tutto il modello di sicurezza cade.

– Roberto Clapis, Il Post

La vera soluzione, quindi, non è ottimizzare il flusso di traffico verso un perimetro fallace, ma eliminare il perimetro stesso. Lo ZTNA realizza nativamente ciò che lo split tunneling tenta di emulare in modo imperfetto: tratta ogni applicazione come un’isola, accessibile direttamente e in modo sicuro da Internet, senza mai esporre la rete sottostante.

Microsoft 365 o Google Workspace: quale suite si adatta meglio alla mentalità italiana?

La scelta tra le due principali suite di produttività cloud, Microsoft 365 e Google Workspace, ha implicazioni che vanno ben oltre la preferenza per un’interfaccia. Entrambe le piattaforme sono state concepite per un mondo “cloud-native” e, per estensione, per un modello di sicurezza Zero Trust. Continuare ad accedervi attraverso un tunnel VPN tradizionale è anacronistico e controproducente. È come guidare una Ferrari nel traffico cittadino: si ha a disposizione una tecnologia potente e agile, ma la si costringe a passare attraverso un collo di bottiglia che ne limita le prestazioni e la sicurezza.

Google, in particolare, è stato un pioniere del modello Zero Trust con la sua architettura interna chiamata BeyondCorp. Anni prima che il termine diventasse di moda, Google ha eliminato la propria VPN interna, spostando il perimetro di sicurezza dalla rete all’identità del singolo utente e del suo dispositivo. Come evidenziato da StrongDM, questo approccio è poi stato commercializzato nel prodotto BeyondCorp Enterprise, dimostrando la maturità del modello. Microsoft ha seguito un percorso simile con le sue soluzioni di accesso condizionale (Conditional Access) integrate in Azure Active Directory (ora Entra ID), che sono il cuore della strategia Zero Trust per l’ecosistema M365.

Il punto strategico per un CIO italiano non è tanto quale suite si adatti meglio a una presunta “mentalità italiana”, ma riconoscere che la stragrande maggioranza delle aziende italiane sta già utilizzando strumenti pensati per un’architettura di sicurezza moderna, pur rimanendo ancorata a un modello di accesso obsoleto. Sfruttare appieno le capacità di collaborazione, mobilità e sicurezza di queste suite richiede un ripensamento dell’accesso. L’obiettivo deve essere quello di permettere ai dipendenti di accedere a Teams, SharePoint, Gmail o Google Drive in modo sicuro e performante da qualsiasi luogo e dispositivo, senza la latenza e i rischi di una VPN.

Quando staccare la rete: la prima cosa da fare nei 5 minuti successivi all’infezione

In caso di infezione da ransomware confermata, il tempo è il fattore più critico. Le procedure di incident response tradizionali, pensate per un’architettura basata su VPN, prevedono spesso misure drastiche e dirompenti. L’azione più comune è “staccare la rete”: disconnettere fisicamente i server critici o isolare interi segmenti di rete per fermare la propagazione del malware. Sebbene efficace, questo approccio equivale a usare un’ascia dove servirebbe un bisturi. Causa un’interruzione totale dei servizi, paralizzando l’operatività aziendale e complicando le operazioni di ripristino.

L’architettura Zero Trust cambia radicalmente le regole del gioco anche nella fase di risposta all’incidente. Poiché ogni accesso è segmentato a livello di applicazione e continuamente verificato, la risposta può essere molto più chirurgica. Se l’alert di sicurezza indica che l’account di un utente è stato compromesso, non è necessario bloccare l’intera rete. L’azione immediata è la revoca istantanea di tutti i token di accesso di quell’utente. Con un solo click, l’attaccante viene estromesso da tutte le applicazioni a cui aveva accesso, senza impattare sul resto dell’organizzazione. La propagazione laterale è impossibile per design, quindi il “blast radius” (raggio d’azione) dell’incidente è intrinsecamente limitato.

Questa capacità di risposta rapida e mirata è fondamentale anche in ottica di conformità. Per le aziende italiane che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica, la normativa impone la notifica dell’incidente al CSIRT Italia (Computer Security Incident Response Team) entro 1 ora dall’identificazione. Un’architettura che permette di isolare la minaccia rapidamente e con precisione facilita enormemente la gestione dell’incidente e la raccolta delle informazioni necessarie per una notifica tempestiva e accurata, riducendo il rischio di sanzioni.

Da ricordare

  • La VPN estende la fiducia implicitamente, trasformando ogni endpoint in un potenziale punto di accesso all’intera rete.
  • Lo Zero Trust (ZTNA) opera sul principio “mai fidarsi, sempre verificare”, concedendo accessi granulari e contestuali solo a risorse specifiche.
  • La frustrazione degli utenti dovuta a VPN lente è un rischio di sicurezza concreto, che porta all’adozione di “shadow IT” non controllato.

Comunicazioni riservate: perché le app di messaggistica standard non bastano per avvocati e giornalisti?

La protezione delle comunicazioni riservate, cruciale per professionisti come avvocati o giornalisti ma estendibile a qualsiasi discussione strategica aziendale, non può dipendere unicamente dalla scelta di un’app di messaggistica “sicura”. La vera vulnerabilità risiede nel canale attraverso cui si accede a tali comunicazioni. Affidarsi a una VPN per creare un tunnel “sicuro” si sta rivelando una strategia sempre più fragile. Le credenziali VPN sono un obiettivo primario per gli attaccanti e la loro compromissione è fin troppo comune.

Un dato allarmante emerge dall’Osservatorio Cyber di CRIF: nel 2024, il 34,3% delle username trovate sul dark web era associato a servizi VPN. Questo significa che le chiavi di accesso di oltre un terzo degli utenti di queste soluzioni sono potenzialmente in vendita, pronte per essere usate per accedere a reti aziendali e, di conseguenza, a tutte le comunicazioni che vi transitano. In questo contesto, la sicurezza percepita del “tunnel” VPN crolla, dimostrando che fidarsi del perimetro è un modello fallito.

La protezione definitiva delle comunicazioni e dei dati sensibili non risiede nel fortificare un canale, ma nell’applicare il principio Zero Trust a ogni singola richiesta di accesso. Significa che anche se un utente è connesso tramite un canale apparentemente sicuro, il suo accesso a un’applicazione di messaggistica aziendale, a un file server o a un database legale deve essere autonomamente e continuamente verificato. L’architettura Zero Trust garantisce che, anche se un attaccante riuscisse a impossessarsi di un dispositivo, non potrebbe accedere a nulla senza superare ulteriori e contestuali controlli di identità. Questo sposta la difesa dal perimetro, ormai dissolto, all’unica cosa che conta davvero: l’identità verificata di chi accede e il contesto della sua richiesta.

Per una protezione efficace, è necessario spostare il focus dalla sicurezza del canale alla verifica dell’identità. È fondamentale comprendere come la filosofia Zero Trust offra una protezione superiore per le comunicazioni sensibili.

Per proteggere realmente la vostra organizzazione nell’era del lavoro ibrido, il primo passo non è dismettere la VPN domani, ma avviare oggi un’analisi strategica dei rischi per pianificare una migrazione graduale a un’architettura Zero Trust. Valutate ora quali applicazioni e utenti critici possono beneficiare per primi di un accesso più sicuro e performante.

Domande frequenti su VPN aziendale vs. Zero Trust

Quali sono i tempi di notifica obbligatori per le aziende del Perimetro di Sicurezza Nazionale?

La notifica dell’incidente al CSIRT Italia deve avvenire entro 1 ora dall’identificazione dell’attacco.

Come differisce la risposta tra VPN e Zero Trust?

Con VPN bisogna disconnettere fisicamente i server. Con Zero Trust si revocano istantaneamente gli accessi dell’utente compromesso.

Qual è il costo medio di una violazione dati in Italia?

Secondo l’IBM “Cost of a Data Breach Report”, il costo medio in Italia ha raggiunto i 3,7 milioni di euro nel 2024, con picchi superiori ai 5 milioni per il settore sanitario.

Scritto da Sara Esposito, Analista Senior di Cybersecurity e Certified Ethical Hacker, specializzata nella protezione dei dati bancari e nella prevenzione delle truffe online per privati e small business. Ex consulente per la sicurezza dei pagamenti digitali.
Come proteggere la tua PMI dai ransomware che hanno colpito il 40% delle aziende italiane?
Pagamenti NFC o carta fisica: qual è il metodo più sicuro contro la clonazione?
Appena pubblicato
Vivere in una Smart City italiana: come cambierà la tua quotidianità nei prossimi 10 anni?
Bonus Internet e PC: chi ha diritto alle agevolazioni statali per colmare il divario digitale?
Televisita medica per un genitore anziano: la guida tecnica per assisterlo al meglio
5G FWA al posto dell’ADSL: conviene davvero staccare la linea fissa in campagna?
Troppi dispositivi connessi? Come evitare che le lampadine smart blocchino il Wi-Fi del PC
Post simili
FaceID o impronta digitale: quale biometria è più sicura per accedere alle tue app bancarie?
Home Banking sicuro su Android: come evitare i trojan bancari che svuotano il conto?
Comunicazioni riservate: perché le app di messaggistica standard non bastano per avvocati e giornalisti?
GDPR e lead generation: come raccogliere contatti commerciali senza sanzioni dal Garante?