Quando si parla di gestione degli accessi, il tema viene spesso affrontato esclusivamente dal punto di vista della cybersecurity. Per Imprivata, invece, il punto di partenza è operativo prima ancora che tecnologico. L’azienda statunitense, che ha annunciato l’avvio delle attività nel mercato italiano, concentra la propria attenzione sulle organizzazioni che definisce mission critical, contesti nei quali anche pochi secondi di ritardo nell’accesso a sistemi e applicazioni possono tradursi in inefficienze, rallentamenti o rischi operativi.
La sanità rappresenta il settore storicamente più importante per l’azienda, ma la stessa logica viene applicata anche a manifattura, utility, energia, trasporti, telecomunicazioni, forze dell’ordine, servizi finanziari e retail. In tutti questi ambiti, spiega Gilberto Bonutti, Regional Sales Manager & Head of Italy di Imprivata, la velocità di accesso alle informazioni non è soltanto una questione di comodità per l’utente, ma un elemento che influenza direttamente la continuità delle attività, perché si tratta di organizzazioni “nelle quali ogni secondo è importante, è vitale”.
L’esempio utilizzato dal manager è volutamente semplice. Un cliente che entra in un negozio e non trova immediatamente un addetto disponibile spesso rinuncia all’acquisto. In un ospedale o in uno stabilimento produttivo le conseguenze possono essere molto più rilevanti, ma il principio resta identico: il tempo necessario per accedere alle informazioni ha un impatto diretto sull’operatività e, in alcuni casi, sulla qualità stessa del servizio erogato.
Il conflitto tra produttività e sicurezza
Secondo Imprivata, molte organizzazioni si trovano oggi a gestire due esigenze apparentemente contrapposte: aumentare la sicurezza e mantenere elevata la produttività.
Negli ultimi anni il numero di applicazioni, dispositivi e servizi utilizzati dagli utenti è cresciuto in modo costante. Ogni nuova piattaforma introduce nuove credenziali, nuovi meccanismi di autenticazione e ulteriori procedure di controllo. Il rischio è che la sicurezza venga percepita come un ostacolo operativo.
Bonutti osserva che spesso produttività e sicurezza fanno capo a funzioni aziendali differenti. In manifattura, ad esempio, gli obiettivi delle operation e quelli dell’IT non sempre coincidono. Da qui nasce la necessità di trovare un equilibrio tra accesso rapido alle informazioni, governance e protezione delle identità, evitando che la sicurezza diventi un freno ai processi aziendali. “Molto spesso chi si occupa di produttività e chi si occupa di sicurezza ha obiettivi diversi”, osserva il manager, sottolineando come il punto di incontro debba essere ricercato nella semplificazione dell’accesso senza rinunciare al controllo.
L’approccio di Imprivata consiste nel considerare contemporaneamente tre fattori: digitalizzazione, cyber resilience e continuità operativa. L’obiettivo non è aumentare la sicurezza a discapito dell’efficienza, ma fare in modo che le due dimensioni procedano insieme.
La trasformazione digitale della sanità italiana
La decisione di investire direttamente in Italia è legata anche all’evoluzione del mercato nazionale. Secondo l’azienda, gli investimenti del PNRR hanno accelerato la modernizzazione del sistema sanitario, favorendo l’introduzione di nuovi servizi digitali, strumenti di interoperabilità e modelli di assistenza territoriale.
La sanità rappresenta oggi uno dei contesti più interessanti ma anche più complessi da gestire. Negli Stati Uniti, mercato nel quale Imprivata opera da oltre vent’anni, molte organizzazioni sanitarie si appoggiano a un numero relativamente limitato di piattaforme cliniche dominanti.
In Italia il quadro è differente. Ogni struttura ha sviluppato nel tempo il proprio ecosistema applicativo, spesso composto da software differenti, integrazioni personalizzate e applicazioni stratificate nel corso degli anni. Questa eterogeneità rende più complessa l’integrazione dei sistemi e particolarmente difficile costruire processi di autenticazione semplici e uniformi. Per Bonutti, proprio questa complessità rappresenta una delle caratteristiche distintive del mercato italiano e uno dei motivi per cui la gestione delle identità assume un ruolo centrale nei percorsi di trasformazione digitale.
Oggi, osserva il manager, “non si tratta più di capire se digitalizzare, ma di capire come mantenere la digitalizzazione senza creare fragilità operative”. La crescita dei sistemi digitali può infatti produrre l’effetto opposto rispetto a quello desiderato se non viene accompagnata da una corretta governance degli accessi.
Password sui post-it e sessioni condivise: i problemi reali degli ospedali
Quando le procedure di accesso diventano troppo complesse, gli utenti cercano inevitabilmente scorciatoie. In ambito sanitario questo fenomeno assume forme molto concrete: password annotate su fogli e post-it, credenziali condivise tra operatori, account generici utilizzati da più persone e sessioni lasciate aperte per evitare continui processi di autenticazione.
Dal punto di vista operativo queste pratiche consentono di lavorare più velocemente. Dal punto di vista della sicurezza e della compliance, però, generano problemi significativi.
Se più persone utilizzano le stesse credenziali diventa difficile stabilire chi abbia eseguito una determinata operazione. La tracciabilità si riduce, gli audit diventano più complessi e la conformità a normative come GDPR e NIS2 viene compromessa. È proprio in questo punto che, secondo Bonutti, interviene la proposta di Imprivata, perché quando i meccanismi di sicurezza introducono troppo attrito operativo gli utenti tendono inevitabilmente a cercare modalità alternative per svolgere il proprio lavoro.
Dalla password all’accesso passwordless
Per raggiungere questo obiettivo l’azienda punta sulle tecnologie di autenticazione passwordless. La modalità più diffusa nei progetti implementati da Imprivata è l’utilizzo del badge aziendale come strumento di autenticazione. L’utente avvicina il badge al lettore installato sulla postazione e ottiene immediatamente accesso ai sistemi autorizzati. Quando arriva un altro operatore, la sessione precedente viene automaticamente sostituita senza procedure manuali.
Accanto al badge vengono utilizzati sistemi biometrici basati su impronte digitali e altri meccanismi di autenticazione forte. L’obiettivo è ridurre il numero di passaggi necessari per accedere alle applicazioni e limitare il ricorso alle password tradizionali.
Secondo l’azienda, questo approccio riduce la password fatigue e il numero di richieste di supporto generate dal recupero delle credenziali, semplificando al tempo stesso il rispetto delle policy di sicurezza.
Il caso NHS: 27 secondi invece di due minuti
Per illustrare l’impatto operativo di questo approccio, Bonutti ha citato il caso del Royal United Hospital di Bath, struttura appartenente al National Health Service britannico.
Secondo i dati presentati, il tempo necessario per accedere alle postazioni di lavoro e alle applicazioni cliniche è stato ridotto da circa due minuti a 27 secondi.
Il dato assume particolare rilevanza se rapportato alle modalità operative del personale sanitario. Un operatore effettua mediamente circa settanta accessi nel corso di un turno di lavoro. Su una popolazione di circa seimila dipendenti, la riduzione dei tempi di autenticazione ha consentito di recuperare l’equivalente di 30,7 giornate lavorative ogni mese.
Per Bonutti, il risultato dimostra come la gestione delle identità non rappresenti soltanto una misura di sicurezza, ma possa tradursi concretamente in efficienza operativa e in “tempo restituito alle attività a maggior valore”, consentendo al personale di dedicare più risorse all’assistenza dei pazienti anziché alle procedure di accesso ai sistemi.
Una piattaforma costruita attraverso acquisizioni e integrazioni
Imprivata conta oggi oltre 4.400 organizzazioni clienti e più di 13 milioni di utenti nel mondo. Negli ultimi dieci anni la società ha completato otto acquisizioni con l’obiettivo di consolidare funzionalità differenti all’interno di una piattaforma unica.
La strategia è quella di evitare la proliferazione di prodotti separati per Single Sign-On, accesso privilegiato, gestione delle identità di terze parti, accesso mobile e controllo delle credenziali, costruendo invece un ecosistema integrato capace di coprire l’intero ciclo di vita delle identità digitali.
Francesco Ippolito, Solution Engineer di Imprivata, descrive questa evoluzione come il passaggio da singole tecnologie a una piattaforma identity first, nella quale il punto di controllo non è la singola applicazione ma l’identità stessa. “Non parlerei di soluzioni separate, ma di un’unica logica: avere l’accesso giusto, alla persona giusta, sul dispositivo giusto, nel contesto giusto”. La gestione delle identità deve coprire l’intero ciclo di vita degli accessi, comprendendo dipendenti, collaboratori, fornitori, account privilegiati e, sempre più spesso, sistemi autonomi basati sull’intelligenza artificiale.
L’identità, però, rappresenta soltanto il primo livello di controllo. Un ruolo centrale viene attribuito anche al contesto operativo e alla capacità di produrre evidenze verificabili delle attività svolte. Sapere chi accede a un sistema non è sufficiente: occorre comprendere da quale dispositivo avvenga l’accesso, in quale momento, con quali privilegi e per quale finalità. Questo approccio, spiega Ippolito, consente di applicare politiche di sicurezza più granulari e di semplificare audit, verifiche di conformità e attività di governance. La disponibilità di queste evidenze diventa particolarmente importante nei contesti regolamentati, dove non è sufficiente sapere che un accesso è avvenuto, ma occorre poter ricostruire con precisione chi abbia svolto una determinata attività, da quale dispositivo e all’interno di quale processo operativo.
La piattaforma è stata progettata per ambienti nei quali utenti, dispositivi e applicazioni non seguono necessariamente relazioni statiche. È uno degli aspetti che, secondo Bonutti, differenziano Imprivata da molte soluzioni nate per scenari nei quali ogni dipendente utilizza una singola workstation personale.
Negli ospedali, nelle strutture sanitarie e in numerosi contesti industriali il modello è spesso opposto. Una singola postazione può essere utilizzata da decine di operatori nel corso della giornata, mentre lo stesso professionista può spostarsi continuamente tra dispositivi diversi. In questi scenari, osserva Bonutti, velocità di autenticazione, continuità del contesto operativo e tracciabilità delle attività diventano importanti quanto la sicurezza stessa.
Per questo Imprivata concentra gran parte del proprio sviluppo sui workflow complessi tipici della sanità e della manifattura, caratterizzati da postazioni condivise, terminali distribuiti e frequenti cambi di operatore.
Accessi privilegiati, audit e conformità normativa
Tra le aree di maggiore interesse per il mercato italiano figura la gestione degli account privilegiati. L’aumento degli obblighi normativi introdotti dalla NIS2 sta spingendo molte organizzazioni a rivedere i propri processi di controllo degli accessi. Oggi, osserva Bonutti, non è più sufficiente proteggere i sistemi: occorre poter dimostrare chi abbia avuto accesso a una determinata risorsa, in quale momento e con quali autorizzazioni.
Una parte crescente di queste attività riguarda soggetti esterni all’organizzazione. Fornitori, società di manutenzione, consulenti e partner operano sempre più spesso su sistemi critici e devono poter accedere alle risorse necessarie senza compromettere sicurezza e conformità.
La piattaforma, spiega Ippolito, è stata progettata per gestire in modo uniforme tutte queste categorie di utenti, applicando policy di accesso granulari, limiti temporali e meccanismi di tracciamento delle attività. L’obiettivo è garantire che ciascun soggetto disponga esclusivamente delle autorizzazioni necessarie per svolgere il proprio compito e soltanto per il tempo richiesto dall’intervento.
In questo contesto si inserisce Privileged Access Security, la componente dedicata alla protezione degli account privilegiati. La soluzione integra funzionalità di vaulting delle credenziali, gestione degli accessi di fornitori e terze parti, monitoraggio delle sessioni e applicazione di modelli Zero Trust, con l’obiettivo di ridurre la superficie di attacco associata agli account amministrativi e rafforzare le capacità di controllo e verifica.
Il tema assume particolare rilevanza in uno scenario nel quale, ricorda Bonutti citando dati di settore, una quota significativa degli incidenti informatici continua a essere collegata alla compromissione delle credenziali.
La NIS2 sta inoltre modificando la percezione del rischio all’interno delle organizzazioni. Se in passato la sicurezza veniva considerata prevalentemente una responsabilità dell’IT, oggi coinvolge direttamente management e organi decisionali. Per Bonutti questo cambiamento sta spostando il tema della cybersecurity dal solo ambito tecnico a quello della governance aziendale, rendendo più semplice portare i progetti di sicurezza all’attenzione dei vertici e ottenere le risorse necessarie per implementarli.
Perché Imprivata punta ancora sull’on-premise
Un altro elemento distintivo del posizionamento dell’azienda riguarda il supporto agli ambienti on-premise.
Secondo Bonutti, molti concorrenti sono nati direttamente nel cloud e risultano meno preparati ad affrontare realtà caratterizzate da infrastrutture ibride e applicazioni legacy. Sanità e manifattura continuano invece a richiedere installazioni locali, integrazione con software sviluppati anni fa e gestione di sistemi che non possono essere sostituiti rapidamente.
Imprivata, nata oltre vent’anni fa in un contesto completamente on-premise, considera questo patrimonio di esperienza un vantaggio competitivo. Per il manager, molte organizzazioni mission critical non possono adottare approcci esclusivamente cloud perché devono continuare a gestire applicazioni storiche, dispositivi specializzati e sistemi operativi che richiedono architetture ibride. Per questo motivo l’azienda continua a investire sia nelle componenti cloud sia nel supporto degli ambienti on-premise.
La piattaforma supporta infatti sia ambienti cloud sia installazioni locali e può integrarsi con applicazioni prive di API moderne attraverso meccanismi di automazione e gestione delle credenziali.
La capacità di integrazione rappresenta uno degli elementi sui quali l’azienda insiste maggiormente. Bonutti spiega che la piattaforma dispone già di oltre cento integrazioni con software e sistemi differenti e continua a essere utilizzata anche in contesti caratterizzati da applicazioni sviluppate su misura o prive di interfacce moderne.
In questi scenari l’obiettivo è ridurre la necessità di interventi invasivi sull’infrastruttura esistente, consentendo alle organizzazioni di introdurre meccanismi avanzati di autenticazione e controllo senza dover necessariamente sostituire applicazioni consolidate.
La capacità di operare in ambienti eterogenei e fortemente stratificati viene considerata particolarmente importante proprio nel mercato italiano, dove la presenza di sistemi legacy rappresenta spesso una delle principali sfide nei percorsi di trasformazione digitale. La stessa logica di gestione delle identità, osserva l’azienda, viene oggi estesa a una categoria di soggetti che fino a pochi anni fa non esisteva nei modelli tradizionali di Identity and Access Management: gli agenti di intelligenza artificiale.
Dalle identità umane alle identità agentiche
Se per anni la gestione delle identità si è concentrata principalmente sugli utenti umani, secondo Imprivata l’evoluzione dell’intelligenza artificiale impone un’estensione del perimetro di controllo. La stessa logica utilizzata per governare dipendenti, collaboratori, fornitori e account privilegiati deve ora essere applicata anche a una nuova categoria di soggetti digitali: gli agenti AI.
Contestualmente all’ingresso nel mercato italiano, l’azienda ha annunciato Agentic Identity Management, una soluzione progettata per gestire gli accessi degli agenti di intelligenza artificiale ai sistemi aziendali. L’iniziativa nasce dalla convinzione che questi strumenti siano destinati a operare sempre più spesso all’interno dei processi organizzativi, interagendo con applicazioni, dati e infrastrutture critiche.
Secondo Gilberto Bonutti, il cambiamento in corso è destinato a modificare profondamente il concetto stesso di identità digitale. Se fino a oggi le organizzazioni hanno dovuto gestire soprattutto utenti e dispositivi, in futuro “non sono solo più le persone che hanno un’identità digitale; ci saranno anche i dispositivi e l’intelligenza artificiale” e, di conseguenza, “dobbiamo mettere in protezione e poter governare anche gli agenti che fanno delle attività”. Per il manager, gli agenti sono destinati a diventare parte integrante dei processi aziendali e dovranno essere gestiti con gli stessi criteri di controllo, responsabilità e governance che oggi vengono applicati agli utenti umani.
La questione non riguarda soltanto la sicurezza degli algoritmi. Per Imprivata, il problema centrale consiste nel definire chi possa accedere a quali informazioni, con quali autorizzazioni e sotto quali controlli quando l’azione viene eseguita da un’entità software autonoma anziché da una persona. In altre parole, gli agenti devono essere inseriti negli stessi modelli di governance che oggi regolano l’accesso degli utenti alle risorse aziendali.
Il numero di agenti AI destinati a operare all’interno delle organizzazioni crescerà rapidamente nei prossimi anni, secondo Bonutti.
Molti di questi sistemi saranno in grado di consultare applicazioni, recuperare dati, attivare workflow, interagire con infrastrutture aziendali e prendere decisioni operative entro limiti predefiniti. Proprio per questo motivo, osserva il manager, non è più sufficiente considerare l’intelligenza artificiale come uno strumento: occorre trattarla come una nuova categoria di identità da governare.
Governare gli agenti come identità digitali
La risposta proposta da Imprivata consiste nel trattare gli agenti AI come identità gestite a tutti gli effetti.
L’approccio prevede che ogni agente disponga di un’identità verificabile, associata a privilegi specifici e sottoposta agli stessi principi di controllo applicati agli utenti tradizionali. Come avviene per gli account privilegiati, l’obiettivo è garantire tracciabilità, responsabilità e controllo delle attività svolte.
Secondo l’azienda, l’adozione degli agenti AI richiede un’evoluzione dei modelli di Identity and Access Management. Non basta sapere quale applicazione stia utilizzando un agente: occorre comprendere quali dati possa consultare, quali sistemi possa raggiungere, quali azioni sia autorizzato a compiere e quali limiti debbano essere applicati alla sua operatività.
Bonutti sottolinea che il livello di controllo non può essere identico per ogni situazione. Così come non tutti gli utenti richiedono gli stessi privilegi, anche gli agenti devono essere governati in funzione del contesto e del rischio associato alle attività svolte. “Non tutte le identità hanno lo stesso rischio e non tutte richiedono lo stesso livello di protezione”, osserva il manager, spiegando che l’obiettivo è applicare controlli proporzionati agli scenari d’uso, evitando sia l’assenza di governance sia modelli eccessivamente rigidi che finirebbero per limitare i benefici dell’automazione.
La soluzione annunciata da Imprivata integra quindi meccanismi di autenticazione degli agenti, applicazione del principio del minimo privilegio, utilizzo di credenziali e token temporanei, monitoraggio continuo delle attività e possibilità di revocare o modificare rapidamente le autorizzazioni assegnate. In questo modo gli agenti vengono inseriti all’interno degli stessi processi di governance già utilizzati per utenti, amministratori e soggetti terzi.
Secondo l’azienda, questo approccio diventerà sempre più importante man mano che gli agenti acquisiranno capacità operative più avanzate. Se oggi molti sistemi svolgono prevalentemente attività di supporto, in futuro potranno prendere decisioni, avviare processi e interagire autonomamente con un numero crescente di applicazioni aziendali. In questo scenario, sottolinea Bonutti, “dobbiamo sapere chi sta facendo cosa, con quali privilegi e su quali sistemi”, anche quando l’identità che esegue l’azione non corrisponde a una persona fisica.
Dalla sanità ai processi aziendali
L’attenzione verso le identità agentiche nasce anche dall’esperienza maturata nei contesti mission critical. In sanità, ad esempio, gli agenti AI stanno iniziando a essere utilizzati per supportare attività amministrative, documentazione clinica, coordinamento delle cure e gestione dei flussi informativi.
Secondo Imprivata, questi scenari rendono ancora più importante la capacità di sapere chi o cosa stia accedendo ai sistemi in un determinato momento. Se un agente può consultare cartelle cliniche, recuperare informazioni da applicazioni differenti o interagire con workflow operativi, diventa essenziale applicare gli stessi criteri di governance, audit e controllo utilizzati per gli utenti umani.
La società evidenzia inoltre come la diffusione dell’intelligenza artificiale introduca nuove superfici di rischio. Un agente che dispone di accesso a dati sensibili o a sistemi critici può diventare un punto di esposizione se non viene adeguatamente governato. Per questo motivo, osserva Bonutti, la sfida non consiste soltanto nell’adottare l’AI, ma nel farlo mantenendo visibilità e controllo sulle attività svolte, evitando che la crescita dell’automazione generi nuove aree di vulnerabilità.
è stato progettato proprio con questo obiettivo, estendendo ai sistemi autonomi le stesse capacità di autenticazione, autorizzazione, tracciabilità e supervisione già applicate ad account privilegiati, fornitori e personale interno. Particolare attenzione viene dedicata anche agli ambienti legacy, nei quali gli agenti dovranno inevitabilmente convivere con applicazioni sviluppate molto prima dell’avvento dell’intelligenza artificiale generativa.
L’obiettivo: un accesso sempre più invisibile
La visione proposta da Imprivata va oltre il semplice controllo delle credenziali. Secondo l’azienda, la gestione delle identità sta attraversando una fase di trasformazione che coinvolge contemporaneamente utenti, dispositivi, fornitori, account privilegiati e agenti AI.
La filosofia che guida questa evoluzione viene sintetizzata da Bonutti in una formula che vale tanto per gli utenti umani quanto per gli agenti autonomi: “la sicurezza non deve essere una barriera, ma un abilitatore”. L’obiettivo non è aggiungere nuovi livelli di complessità, ma creare condizioni nelle quali protezione e operatività possano procedere insieme.
Il punto di arrivo, secondo il manager, è un modello nel quale l’accesso alle risorse aziendali diventa progressivamente più semplice, contestuale e trasparente. La direzione è quella di un accesso “sempre più semplice, sicuro e possibilmente invisibile”, nel quale autenticazione, controllo e governance operano dietro le quinte lasciando utenti e sistemi liberi di concentrarsi sulle attività operative.
In questa prospettiva, la gestione delle identità non rappresenta più soltanto un tema di cybersecurity. Diventa un elemento di governo dell’intero ecosistema digitale, destinato a comprendere persone, dispositivi, applicazioni e, sempre più spesso, agenti di intelligenza artificiale in grado di agire autonomamente all’interno dei processi aziendali.
