Fino a qualche anno fa, chi si occupava di controllo accessi era quasi sempre il facility manager. Sceglieva il fornitore di serrature, gestiva i badge o altre credenziali, definiva i profili per reparti e piani. Una funzione quindi essenzialmente operativa che raramente collaborava o si confrontava con i team IT e con i CISO (Chief Information Security Officer) concentrati su altro: firewall, endpoint, vulnerability management.
Oggi questa separazione è superata dal momento che le condizioni di contesto e le esigenze sono cambiate. La direttiva NIS2, la diffusione delle credenziali mobili e la convergenza fisico-digitale hanno ridisegnato i confini di responsabilità inserendo il controllo accessi fisico nell’agenda della sicurezza IT.
Indice degli argomenti
Identità, credenziali e controllo accessi fisico
Uno degli elementi scatenanti di questo cambiamento riguarda il concetto di identità. Per decenni il controllo accessi fisico ha funzionato con un modello semplice: un badge, una porta, un profilo. L’identità era un oggetto fisico, e la sua gestione era separata dall’identità digitale che ogni dipendente usava per accedere ai sistemi informativi.
Con le credenziali mobili, questo gap è venuto meno. Uno smartphone che funge da chiave è un oggetto gestito dall’IT, soggetto a policy di mobile device management e legato all’identità digitale dell’utente nei sistemi di directory aziendale. Lo stesso vale per i wearable aziendali — smartwatch e badge NFC virtuali — che alcune organizzazioni stanno già adottando: anche in questo caso si tratta di dispositivi che vivono all’interno dell’ecosistema IT, con cicli di provisioning e revoca che seguono le stesse logiche degli endpoint aziendali.
Quando si revoca l’accesso a un dipendente che lascia l’azienda, la domanda non è più solo “gli ho tolto il badge?”, ma “ho sincronizzato la revoca su tutti i sistemi — fisici e virtuali — che gestiscono la sua identità?”. Questa convergenza richiede integrazione tra sistemi di controllo accessi e le soluzioni di sicurezza dell’azienda, in particolare con le piattaforme di Identity and Access Management (IAM) aziendali.
L’obiettivo non è l’efficienza operativa, ma la governance perché le decisioni su chi può accedere a cosa – e per quanto tempo – non possono più essere gestite solo grazie ai facility manager, devono essere integrate nei processi aziendali che regolano il ciclo di vita delle identità sia fisiche che digitali. Diversamente l’azienda opera con due registri di identità separati che possono divergere, con conseguenze dirette sul fronte della compliance e della business continuity.
NIS2: la sicurezza fisica è diventata norma
La Direttiva NIS2, recepita in Italia con il decreto legislativo 138/2024, estende, sotto la pressione dell’evoluzione del panorama delle minacce, i requisiti di gestione del rischio anche alla sicurezza fisica degli ambienti in cui operano sistemi IT critici. Gli hacker combinano infatti sempre più spesso tecniche fisiche e digitali, utilizzando un accesso fisico non autorizzato come punto di ingresso per l’attacco informatico.
Ne consegue che per le organizzazioni essenziali e importanti rientranti nei settori critici – energia, trasporti, sanità, infrastrutture digitali, etc. – il controllo degli accessi fisici non può più essere un’area lasciata alla sola discrezionalità e professionalità del facility management.
La normativa impone requisiti specifici (oltre a sanzioni) che riguardano direttamente la gestione degli accessi: tracciabilità degli accessi ai locali tecnici, segregazione degli spazi in funzione del profilo di rischio, capacità di produrre log in caso di audit o incidente, integrazione con i processi di gestione degli incidenti. Requisiti che un sistema tradizionale, pensato come funzione standalone, difficilmente soddisfa. Per esempio, una gestione degli accessi che registra gli eventi solo localmente, senza esportarli verso sistemi centralizzati di monitoraggio, non è in grado di alimentare i processi di risposta agli attacchi richiesti dalla NIS2.
In tutti questi casi, è necessario un adeguamento del sistema non solo in termini di software ma anche – e soprattutto – una riprogettazione delle infrastrutture fisiche, una revisione dei processi operativi e l’implementazione di integrazioni con i sistemi IT aziendali.
Policy dinamiche e il nodo biometrico
Nel modello tradizionale di gestione della sicurezza fisica, il profilo di accesso viene definito all’ingresso del dipendente in azienda e raramente aggiornato, indipendentemente dall’evolversi del contesto organizzativo o del livello di rischio con conseguenti limiti in termini di sicurezza.
L’approccio alla security emergente prevede invece una gestione dinamica degli accessi in relazione al ruolo ricoperto, alla sede fisica, alla fascia oraria, allo stato di allerta dell’organizzazione. Ciò richiede però infrastrutture in grado registrare e applicare policy aggiornate in tempo reale, e di registrarle per finalità di audit e di risposta agli incidenti. Questa impostazione estende in pratica i principi del modello Zero Trust della cybersecurity “non fidarsi mai, verificare sempre” alla dimensione fisica: ogni richiesta di accesso, a uno spazio come a un sistema o a un dataset, va valutata in base al contesto reale del momento, non a un profilo statico definito anni prima.
Biometria, dati sensibili e responsabilità condivise
Infine, anche le complessità tecniche e giuridiche legate ai dati biometrici rendono essenziale il coinvolgimento diretto dell’IT e del CISO fin dalla fase di progettazione del sistema. Impronte digitali, riconoscimento facciale e geometria della mano rientrano, ai sensi dell’art. 9 del GDPR, nelle categorie particolari di dati personali e quindi sono soggette a restrizioni specifiche che impongono – come previsto dal GDPR stesso – una collaborazione tra tutte le funzioni per garantire la conformità alle politiche di sicurezza fisica e informatica ma anche una corretta protezione dei dati trattati.
In questo articolato scenario, il sistema di controllo accessi smette perciò di essere una infrastruttura fisica per diventare anche una componente centrale della postura di sicurezza di un’organizzazione.
