Sicurezza cloud e NIS 2, cosa cambia per i fornitori di servizi cloud computing

I principali rischi di sicurezza nel cloud computing includono: mancanza di visibilità sui dati e su chi vi accede, problemi di multitenancy negli ambienti di cloud pubblico che possono portare a compromissioni quando vengono presi di mira altri clienti, difficoltà nella gestione degli accessi e presenza di shadow IT, sfide nella conformità normativa per chi utilizza cloud pubblico o ibrido, e configurazioni errate che rappresentano una causa sostanziale di violazioni dei dati. Un rapporto recente evidenzia che quasi la metà (47%) dei dati aziendali archiviati nel cloud sono sensibili e che il 44% delle organizzazioni ha subito una violazione dei dati nel cloud, con il 14% che ne ha subita una nell’ultimo anno. Inoltre, l’adozione dell’intelligenza artificiale sta amplificando questi rischi, con il 99% delle organizzazioni che ha segnalato almeno un attacco ai propri sistemi di AI nell’ultimo anno, mentre gli attacchi alle API sono aumentati del 41%, rappresentando uno dei principali vettori di minacce nel panorama cloud.

Il modello di responsabilità condivisa nella sicurezza cloud definisce chiaramente quali aspetti della sicurezza sono gestiti dal provider cloud e quali dal cliente. In generale, il provider cloud è sempre responsabile della sicurezza dell’infrastruttura fisica e virtuale, incluse reti e data center, mentre il cliente è responsabile della protezione dei dati, della configurazione delle applicazioni e della gestione degli accessi. Il livello di responsabilità del cliente varia in base al modello di servizio adottato: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) o Software as a Service (SaaS). Con IaaS, il cliente ha maggiori responsabilità sulla sicurezza, mentre con SaaS ne ha meno. Questo modello è particolarmente rilevante negli ambienti di cloud pubblico e ibrido, dove la corresponsabilità è essenziale. Negli ambienti di cloud privato, invece, la responsabilità della sicurezza ricade interamente sull’azienda che lo adotta.

La gestione degli accessi e delle identità (Identity and Access Management, IAM) è fondamentale per la sicurezza cloud. Le best practice includono l’implementazione del principio del privilegio minimo, assegnando agli utenti solo i permessi strettamente necessari per svolgere le loro funzioni, l’autenticazione a più fattori (MFA) per aggiungere un livello di sicurezza oltre alle password, e l’utilizzo di Single Sign-On (SSO) per centralizzare e semplificare la gestione delle identità. È importante anche implementare controlli di accesso basati sul contesto, che considerano fattori come la posizione, il dispositivo e il comportamento dell’utente, e adottare un approccio Zero Trust, che prevede che nessun utente o dispositivo venga considerato automaticamente affidabile. Nel settore pubblico italiano, ad esempio, si utilizza SPID di Livello 2/3 per i cittadini e CIE per i dipendenti pubblici, mentre nel settore privato è comune l’adozione di soluzioni come Microsoft Entra ID con policy di Accesso Condizionale, che permettono di limitare l’accesso in base a dispositivo, posizione e altri fattori di sicurezza.

Il cloud sovrano si riferisce a un’infrastruttura cloud che risponde a due requisiti fondamentali: i dati risiedono fisicamente all’interno dei confini nazionali o europei (data residency) e il fornitore del servizio è soggetto alla giurisdizione del paese o dell’UE, non a leggi extraterritoriali come il CLOUD Act americano. L’importanza del cloud sovrano va oltre la semplice localizzazione dei dati: riguarda chi controlla effettivamente tecnologie, dati, regole e infrastrutture. In un contesto geopolitico instabile, affidarsi a piattaforme estere significa esporsi a vincoli giuridici, tecnologici e geopolitici che possono ridurre l’autonomia decisionale. Il cloud sovrano offre maggiore protezione per dati sensibili e servizi critici, garantendo che rimangano sotto il controllo nazionale o europeo. In Italia, il Polo Strategico Nazionale (PSN) rappresenta l’implementazione del cloud sovrano per la pubblica amministrazione, con un’infrastruttura progettata per ospitare gli asset più critici del Paese. Una caratteristica importante del cloud sovrano è l’implementazione dell’External Key Management (EKM), dove le chiavi di crittografia sono generate e custodite direttamente dal cliente o da un’entità fidata, non dal fornitore cloud, creando una barriera tecnica contro l’accesso non autorizzato.

L’intelligenza artificiale sta trasformando radicalmente il panorama della sicurezza cloud, introducendo nuovi rischi e amplificando quelli esistenti. Secondo recenti ricerche, il 99% delle organizzazioni ha subito almeno un attacco ai propri sistemi di AI nell’ultimo anno, evidenziando come questa tecnologia abbia bisogno di protezioni specifiche. L’adozione massiva dell’AI sta estendendo significativamente la superficie di attacco, mentre l’accelerazione del coding assistito dalla GenAI (vibe coding) sta generando codice non sicuro più velocemente di quanto i team di sicurezza riescano a rivederlo: il 52% dei team distribuisce codice settimanalmente, ma solo il 18% è in grado di correggere le vulnerabilità allo stesso ritmo. Problemi come prompt injection, data leakage e l’opacità dei modelli rendono inadeguati i paradigmi tradizionali di sicurezza applicativa. Gli attaccanti stanno rapidamente cambiando strategia per sfruttare i livelli fondamentali del cloud, con un aumento del 41% negli attacchi alle API nell’ultimo anno. Inoltre, quasi tutte le minacce legate all’AI, tra cui la manomissione della catena di fornitura dei modelli, il furto di token e la prompt injection, coinvolgono le API in qualche modo, con il 47% delle violazioni dei sistemi di intelligenza artificiale che comportano l’esfiltrazione di dati attraverso assistenti o plugin. L’adozione dell’AI nel cloud sta essenzialmente riproducendo, amplificandoli, gli stessi errori commessi durante la migrazione verso il cloud: dati non protetti adeguatamente, governance formale priva di fondamenta tecniche solide, e una fiducia implicita nelle infrastrutture che si rivela spesso infondata.

Per proteggere efficacemente i dati nel cloud, è essenziale implementare diverse tecnologie complementari. La crittografia dei dati è fondamentale sia per i dati in transito che per quelli a riposo, con l’External Key Management (EKM) che rappresenta un approccio avanzato dove le chiavi di crittografia sono gestite separatamente dal provider cloud, garantendo che solo il cliente possa accedere ai dati decifrati. I sistemi di Data Loss Prevention (DLP) sono cruciali per rilevare e prevenire l’esposizione non autorizzata dei dati, monitorando e bloccando i dati sensibili in uso, in movimento e a riposo. La micro-segmentazione di rete, realizzata attraverso il software-defined networking (SDN), crea zone di sicurezza granulari che limitano la propagazione di minacce all’interno dell’ambiente cloud. Le soluzioni SASE (Secure Access Service Edge) instradano il traffico attraverso uno stack di sicurezza cloud per ispezionarlo alla ricerca di malware e perdita di dati sensibili, indipendentemente dalla posizione dell’utente. L’analisi comportamentale basata sull’IA, come quella offerta da Darktrace o Microsoft Sentinel, stabilisce una baseline di comportamento normale e può revocare automaticamente l’accesso in caso di attività sospette. È importante anche implementare backup regolari e test di ripristino, oltre a utilizzare strumenti di Cloud Security Posture Management (CSPM) per identificare e correggere configurazioni errate che rappresentano una delle principali cause di violazioni nel cloud.

Il vendor lock-in nel cloud si verifica quando un’azienda diventa così dipendente dalle tecnologie e dai servizi di un singolo fornitore da rendere estremamente difficile o costoso cambiare provider. Questa situazione comporta numerosi rischi: perdita di potere negoziale con conseguenti aumenti di prezzo unilaterali (fino al 20-25% nei rinnovi contrattuali), limitata agilità strategica che impedisce l’adozione di innovazioni disponibili presso altri fornitori, costi nascosti legati alla migrazione dei dati e alla riqualificazione del personale, e ridotta resilienza operativa con esposizione agli outage di un singolo provider. Per evitare il vendor lock-in, è consigliabile adottare una strategia multicloud deliberata, distribuendo intelligentemente i workload su più provider, e privilegiare soluzioni basate su standard aperti come Kubernetes per la containerizzazione, OpenAPI per le interfacce di programmazione, e formati di dati interoperabili. È importante anche sviluppare e mantenere aggiornati piani di exit dettagliati per i fornitori critici, e negoziare fin dall’inizio clausole contrattuali specifiche su data portability, proprietà intellettuale e condizioni di uscita. L’adozione di architetture cloud-native basate su container facilita la portabilità dei workload tra diversi ambienti con modifiche minime. Infine, è fondamentale trattare il vendor lock-in come un rischio aziendale da gestire attivamente, inserendolo nei framework di enterprise risk management con valutazione periodica e quantificazione dell’esposizione.

In Europa e in Italia, la sicurezza cloud è regolata da un framework normativo articolato che mira a garantire protezione dei dati, resilienza operativa e sovranità digitale. Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce i principi fondamentali per il trattamento dei dati personali, inclusi quelli nel cloud. La direttiva NIS2 rafforza la sicurezza delle reti e dei sistemi informativi, includendo esplicitamente i fornitori di servizi cloud computing come entità essenziali soggette a rigorosi requisiti di cybersicurezza. Il Digital Operational Resilience Act (DORA) si concentra sulla resilienza operativa digitale per il settore finanziario, richiedendo la capacità di recupero rapido dei servizi critici. Il Data Act regola la condivisione dei dati generati nell’UE, mentre l’AI Act stabilisce requisiti per i sistemi di intelligenza artificiale. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito uno schema di certificazione specifico per i servizi cloud destinati alla pubblica amministrazione, classificando i dati in tre livelli di sensibilità: Strategico, Critico e Ordinario. La legge 90/2024 sulla cybersicurezza delle pubbliche amministrazioni introduce ulteriori requisiti per la protezione delle infrastrutture digitali pubbliche. Queste normative hanno spinto gli hyperscaler globali ad adattare le proprie architetture per il mercato italiano, portando alla creazione di regioni “sovrane” gestite in partnership con entità locali come Leonardo e TIM, e all’implementazione di soluzioni come l’External Key Management per garantire che le chiavi di crittografia rimangano sotto controllo nazionale.

La formazione dei dipendenti svolge un ruolo cruciale nella sicurezza cloud, poiché anche le tecnologie più avanzate non sono sufficienti senza un elemento umano consapevole. Secondo lo State of Cloud Security Report 2025, il 76% dei professionisti afferma che la carenza di competenze in cybersecurity incide negativamente sulle proprie organizzazioni, mentre molte violazioni del cloud non sono il risultato di attacchi esterni mirati, ma di errori umani come configurazioni errate, API non sicure e gestione inadeguata degli account privilegiati. La formazione regolare aiuta i dipendenti a riconoscere le minacce di phishing e social engineering, comprendere le politiche di sicurezza aziendali, adottare pratiche sicure per la gestione delle password e l’autenticazione a più fattori, e saper rispondere correttamente agli incidenti di sicurezza. È essenziale che ogni dipendente comprenda che la sicurezza del cloud è parte integrante del proprio lavoro quotidiano, che si tratti di caricare un file su un’applicazione SaaS o di sviluppare un nuovo servizio aziendale. Le organizzazioni dovrebbero investire sia in strumenti di cloud security avanzati sia nella sensibilizzazione degli utenti, poiché questo approccio combinato si è dimostrato più efficace nel resistere alle minacce moderne. La sicurezza del cloud e delle applicazioni richiede un cambiamento culturale che porti i dipendenti a comprendere che le loro azioni hanno un impatto diretto sui risultati in materia di sicurezza.

L’approccio Zero Trust nella sicurezza cloud si basa sul principio fondamentale “mai fidarsi, sempre verificare”, eliminando il concetto di fiducia implicita tradizionalmente associato alle reti aziendali. Per implementarlo efficacemente, è necessario innanzitutto verificare continuamente l’identità degli utenti attraverso l’autenticazione a più fattori (MFA) e controlli di accesso contestuali che considerano fattori come dispositivo, posizione e comportamento. È fondamentale applicare il principio del privilegio minimo, garantendo che utenti e applicazioni abbiano accesso solo alle risorse strettamente necessarie per svolgere le loro funzioni, e implementare la micro-segmentazione di rete per creare zone di sicurezza granulari che limitino la propagazione laterale delle minacce. L’ispezione e il monitoraggio continuo del traffico sono essenziali, utilizzando tecnologie come SASE (Secure Access Service Edge) per instradare il traffico attraverso uno stack di sicurezza cloud che lo ispeziona alla ricerca di malware e perdita di dati sensibili, indipendentemente dalla posizione dell’utente. L’analisi comportamentale basata sull’intelligenza artificiale permette di stabilire una baseline di comportamento normale e rilevare anomalie in tempo reale. In Italia, questo approccio viene implementato nel settore pubblico attraverso l’utilizzo di SPID Livello 2/3 per i cittadini e CIE per i dipendenti pubblici, mentre nel settore privato si adottano soluzioni come Microsoft Entra ID con policy di Accesso Condizionale. La micro-segmentazione viene realizzata utilizzando il software-defined networking (SDN) per creare zone di sicurezza granulari, ad esempio in un ospedale (in risposta alla NIS2) la macchina per la risonanza magnetica si trova in una VLAN diversa rispetto al server di posta elettronica, con il traffico tra di esse bloccato di default per impedire la propagazione di ransomware.

La Pubblica Amministrazione italiana affronta sfide specifiche nella sicurezza cloud, a partire dalla necessità di garantire la sovranità dei dati strategici e critici, che richiedono immunità da giurisdizioni extra-UE come il CLOUD Act statunitense. L’istituzione del Polo Strategico Nazionale (PSN) rappresenta la risposta a questa esigenza, offrendo un’infrastruttura cloud federata progettata per ospitare gli asset più critici del Paese. Il PSN opera su un modello ibrido che bilancia l’innovazione degli hyperscaler pubblici con la sicurezza dei cloud governativi on-premise, permettendo alle amministrazioni di scegliere diverse modalità di fruizione in base alla classificazione dei loro dati. Una sfida significativa è l’implementazione dell’External Key Management (EKM), dove le chiavi di crittografia per i carichi di lavoro “Critici” e “Strategici” sono generate e custodite direttamente dal PSN, spesso tramite moduli di sicurezza hardware, anziché essere gestite dal fornitore cloud. Gli enti pubblici minori affrontano sfide tecniche ed economiche nella gestione della conformità normativa e della cybersecurity, dovendo rispettare requisiti stringenti con risorse limitate. La spinta alla digitalizzazione dei servizi pubblici ha reso l’adozione del cloud una necessità più che un’opportunità, richiedendo un cambiamento radicale nel modo in cui la sicurezza viene percepita, implementata e governata. La transizione verso lo Zero Trust è caratterizzata dall’abbandono delle architetture incentrate sulle VPN a favore del Secure Access Service Edge (SASE) e dei proxy identity-aware, guidata dalla necessità di proteggere la forza lavoro ibrida e i dati sensibili in ambienti altamente distribuiti.