Un'architettura Zero Trust consente di risparmiare in media 1,76 milioni di dollari per violazione della sicurezza, secondo il report Cost of a Data Breach 2025 di IBM, eppure Gartner stima che entro il 2026 solo il 10% delle grandi imprese avrà un programma Zero Trust maturo e misurabile. Questo divario tra il valore dimostrato del modello e la sua adozione concreta rappresenta, probabilmente, la più grande opportunità di cybersecurity ancora inesplorata per le aziende europee. La buona notizia è che Zero Trust non è un prodotto da acquistare né un interruttore da accendere: è una strategia da implementare per fasi, e qualsiasi organizzazione può iniziare già la prossima settimana con gli asset che già possiede.
In questa guida pratica spieghiamo cos'è davvero Zero Trust (al di là del marketing dei vendor), come si differenzia dalla VPN tradizionale, in cosa consistono i pilastri di NIST e CISA, quale ruolo svolge ZTNA nell'accesso moderno e, soprattutto, come portare il modello in produzione senza paralizzare il business né riscrivere tutta l'infrastruttura.
Cos'è Zero Trust e come si differenzia dalla VPN tradizionale?
Zero Trust ("fiducia zero") è un modello di sicurezza che parte da un presupposto scomodo ma realistico: non si deve accordare fiducia implicita ad alcun utente, dispositivo o connessione, sia che si trovi all'interno o all'esterno del perimetro aziendale. Invece di assumere che tutto ciò che è "dentro la rete" sia sicuro, ogni richiesta di accesso viene verificata esplicitamente, autorizzata per una specifica risorsa e rivalutata in modo continuativo.
Il contrasto con la VPN tradizionale è netto. La VPN è stata progettata per risolvere un problema diverso: connettere un dispositivo remoto alla rete aziendale come se si trovasse fisicamente in ufficio. Il problema è esattamente quell'"come se fosse dentro": una volta stabilito il tunnel, il dispositivo ottiene un accesso ampio a un intero segmento di rete. Se le credenziali vengono compromesse o il laptop è infetto, l'attaccante eredita quella stessa fiducia e può muoversi lateralmente nella rete con relativa libertà.
Zero Trust inverte questa logica. Non esiste il concetto di "essere dentro". L'accesso viene concesso risorsa per risorsa, sessione per sessione, in base all'identità verificata, allo stato del dispositivo e al contesto della richiesta.
| Dimensione | VPN tradizionale | Zero Trust / ZTNA |
|---|---|---|
| Modello di fiducia | Implicita dopo l'autenticazione iniziale | Mai fidarsi, verificare sempre |
| Portata dell'accesso | Segmento o intera rete | Una singola applicazione o risorsa |
| Granularità | Per rete | Per sessione e per risorsa |
| Movimento laterale | Possibile una volta nel tunnel | Bloccato per progettazione |
| Contesto valutato | Credenziali al login | Identità, dispositivo e contesto, in modo continuo |
| Visibilità dell'app | Risorse esposte sulla rete interna | Applicazioni invisibili fino all'autorizzazione |
La differenza pratica è enorme per una PMI o una media impresa: con Zero Trust, una credenziale rubata non è più la chiave maestra del regno. È, al massimo, la chiave di una singola porta, e solo per il tempo in cui il contesto rimane legittimo.
I principi del NIST 800-207 e i 5 pilastri del modello CISA
Parlare di Zero Trust in modo serio significa appoggiarsi a framework di riferimento riconosciuti, non a brochure commerciali. I due documenti canonici sono la pubblicazione NIST SP 800-207 (Zero Trust Architecture) e il Zero Trust Maturity Model 2.0 di CISA.
I sette principi del NIST SP 800-207
Il modello Zero Trust si fonda su sette principi fondamentali definiti nel NIST SP 800-207. Tra questi spicca che ogni comunicazione viene protetta indipendentemente dalla posizione di rete, che l'accesso a ciascuna risorsa viene concesso per singola sessione e che l'autenticazione e l'autorizzazione sono dinamiche e vengono applicate rigorosamente prima di ogni accesso. In pratica, questi principi si traducono in alcune regole operative:
- Tutte le fonti di dati e i servizi di calcolo vengono trattati come risorse da proteggere.
- Ogni comunicazione viene protetta indipendentemente da dove si trova la rete (dentro o fuori dal perimetro).
- L'accesso alle singole risorse viene concesso per sessione, non in modo permanente.
- L'accesso è determinato da policy dinamiche che includono lo stato osservabile dell'identità, dell'applicazione e dell'asset richiedente.
- L'organizzazione monitora e misura l'integrità e la postura di sicurezza di tutti i propri asset.
- L'autenticazione e l'autorizzazione sono dinamiche e vengono applicate rigorosamente prima di consentire qualsiasi accesso.
- L'organizzazione raccoglie il massimo di informazioni possibili sullo stato della rete e le utilizza per migliorare la propria postura di sicurezza.
L'aspetto fondamentale del NIST 800-207 è che non impone alcuna tecnologia specifica: descrive principi e componenti logici (il motore di policy, l'amministratore di policy e il punto di applicazione delle policy) che ogni organizzazione implementa con gli strumenti che già possiede o decide di acquisire.
I cinque pilastri del modello di maturità CISA
Se NIST fornisce i principi, CISA fornisce la roadmap. Il Zero Trust Maturity Model 2.0 di CISA struttura il modello in cinque pilastri più tre capacità trasversali che li attraversano tutti:
- Identità — verificare in modo robusto chi accede (MFA resistente al phishing, gestione del ciclo di vita delle identità).
- Dispositivi — conoscere e valutare lo stato di sicurezza di ogni endpoint prima di concedere l'accesso.
- Reti — segmentare, cifrare il traffico e ridurre la superficie esposta.
- Applicazioni e carichi di lavoro — proteggere applicazioni e workload, inclusa la supply chain del software.
- Dati — classificare, etichettare, cifrare e controllare l'accesso al dato, che è l'asset finale da proteggere.
Le tre capacità trasversali sono Visibilità e Analisi, Automazione e Orchestrazione e Governance. CISA definisce inoltre quattro livelli di maturità per pilastro — Tradizionale, Iniziale, Avanzato e Ottimale — il che consente a un'azienda di auto-valutarsi in modo onesto e di prioritizzare gli investimenti dove ne ha più bisogno, invece di acquistare lo strumento di tendenza.
Questo approccio per pilastri e livelli è esattamente ciò che rende Zero Trust un progetto affrontabile: non è necessario essere a livello "Ottimale" in tutti e cinque i pilastri contemporaneamente. Salire di un gradino in Identità e Dispositivi riduce già drasticamente il rischio.
ZTNA: l'accesso alle applicazioni senza perimetro di rete
Se Zero Trust è la strategia, ZTNA (Zero Trust Network Access) è la tecnologia che concretizza il principio di accesso per il caso d'uso più comune e più critico: l'accesso remoto alle applicazioni.
ZTNA crea un accesso uno a uno tra un utente verificato e una specifica applicazione, senza mai collocare l'utente "dentro la rete". Le applicazioni rimangono invisibili a chi non è esplicitamente autorizzato: non c'è un range IP da scansionare, non c'è una porta da sondare, non c'è una superficie di rete da attaccare. Il broker ZTNA valuta identità, postura del dispositivo e contesto prima di stabilire ogni connessione, e la rivaluta durante la sessione.
Questo è il motivo per cui ZTNA sta rapidamente sostituendo la VPN. Gartner prevede che fino al 70% dei nuovi deployment di accesso remoto si baserà su ZTNA invece della tecnologia VPN nel 2025, rispetto a meno del 10% alla fine del 2021. Il mercato conferma questa tendenza: secondo MarketsandMarkets, il mercato ZTNA è proiettato da 1,34 miliardi di dollari nel 2025 a 4,18 miliardi nel 2030, con un tasso di crescita annuale composto del 25,5%.
Quando ha senso ZTNA rispetto a una VPN
- Lavoro ibrido e remoto su scala — quando una parte significativa del personale accede ad applicazioni aziendali dall'esterno dell'ufficio.
- Accesso di terze parti — fornitori, appaltatori o partner che necessitano di una specifica applicazione, non dell'intera rete.
- Applicazioni critiche o regolamentate — dove il principio del minimo privilegio non è opzionale ma un requisito normativo.
- Riduzione della superficie di attacco — quando si vuole smettere di esporre server e servizi a Internet.
È doverosa un'avvertenza onesta: ZTNA non è Zero Trust di per sé. È un componente, generalmente il primo e il più conveniente, di un'architettura più ampia che comprende i cinque pilastri CISA. Acquistare una soluzione ZTNA e dichiarare "abbiamo già Zero Trust" è uno degli errori più frequenti. Per questo conviene inquadrare ZTNA all'interno di una strategia integrata di servizi di cybersecurity che copra anche identità, dispositivi, dati e monitoraggio.
Come implementare Zero Trust per fasi in un'azienda
La domanda cruciale non è "cos'è Zero Trust", ma "da dove inizio senza rompere nulla". La risposta è un deployment incrementale, allineato ai livelli di maturità CISA, che genera valore in ogni fase. Di seguito proponiamo un percorso in cinque fasi pensato per medie e grandi imprese.
Fase 0 — Scoperta e baseline
Non è possibile proteggere ciò che non si conosce. La prima fase è un inventario rigoroso di identità, dispositivi, applicazioni, flussi di dati e dipendenze. L'obiettivo è rispondere a tre domande: chi accede a cosa, da dove e perché. Questa fase rivela spesso accessi ereditati, account orfani e applicazioni esposte che nessuno ricordava. È anche il momento per auto-valutarsi rispetto ai quattro livelli di maturità CISA per ciascun pilastro.
Fase 1 — L'identità come nuovo perimetro
L'identità è il pilastro con il miglior rapporto tra sforzo e riduzione del rischio. Le azioni fondamentali sono:
- Distribuire MFA resistente al phishing su tutti gli accessi (idealmente passkey o chiavi FIDO2).
- Centralizzare la gestione delle identità e applicare il principio del minimo privilegio.
- Implementare l'accesso condizionale basato sul rischio (posizione, dispositivo, comportamento).
- Rivedere ed eliminare gli accessi permanenti non necessari.
Fase 2 — Dispositivi e accesso alle applicazioni (ZTNA)
Con l'identità sotto controllo, si incorpora la postura del dispositivo nella decisione di accesso e si distribuisce ZTNA per sostituire progressivamente la VPN. Qui la maggior parte delle organizzazioni ottiene il proprio primo "momento Zero Trust" visibile: l'accesso remoto smette di essere un tunnel di rete per diventare connessioni uno a uno a specifiche applicazioni. Si raccomanda di iniziare con un gruppo pilota e una o due applicazioni, non con l'intera organizzazione in una volta sola.
Fase 3 — Microsegmentazione e protezione del dato
Una volta protetto l'accesso, si lavora verso l'interno: segmentare la rete per impedire il movimento laterale, cifrare il traffico east-west e, nel pilastro dei dati, classificare ed etichettare le informazioni per applicare controlli di accesso proporzionati alla loro sensibilità. Questa fase si connette maggiormente ai framework di gestione come ISO 27001, dove il controllo degli accessi e la classificazione delle informazioni sono requisiti formali; allineare il progetto Zero Trust con una certificazione ISO 27001 evita di duplicare gli sforzi.
Fase 4 — Visibilità, automazione e miglioramento continuo
Zero Trust non è un progetto che termina; è una postura che si mantiene. Le tre capacità trasversali CISA assumono un ruolo centrale: telemetria centralizzata, rilevamento e risposta, e automazione delle decisioni di policy. Per molte aziende, sostenere questa fase 24x7 internamente non è praticabile, e in questo contesto un servizio SOC e MDR gestito offre il monitoraggio continuo e la risposta agli incidenti che il modello richiede, senza dover costruire un team di sicurezza interno.
Regola pratica: ogni fase deve produrre una riduzione del rischio misurabile autonomamente. Se una fase non può essere giustificata in modo indipendente, è dimensionata in modo errato.
Riepilogo del percorso per fasi
| Fase | Focus | Pilastro CISA dominante | Risultato atteso |
|---|---|---|---|
| 0. Scoperta | Inventario e baseline | Visibilità | Mappa degli accessi e auto-valutazione della maturità |
| 1. Identità | MFA e minimo privilegio | Identità | La credenziale rubata non è più la chiave maestra |
| 2. Dispositivi e ZTNA | Postura + accesso alle app | Dispositivi / Applicazioni | Sostituzione progressiva della VPN |
| 3. Segmentazione e dati | Microsegmentazione e cifratura | Reti / Dati | Movimento laterale bloccato |
| 4. Operazione continua | Telemetria e risposta | Automazione / Governance | Postura sostenuta e misurabile |
Zero Trust e conformità normativa: NIS2, GDPR e oltre
Per un'azienda operante in Europa, Zero Trust non è solo una buona pratica tecnica: in misura crescente, è un abilitatore diretto della conformità normativa. Il controllo granulare degli accessi, il minimo privilegio e la verifica continua sono esattamente ciò che i framework regolatori vigenti ed emergenti richiedono.
Il contesto normativo europeo è in piena evoluzione. La direttiva NIS2 è entrata in vigore nel gennaio 2023 e avrebbe dovuto essere recepita dagli Stati membri entro ottobre 2024. Il GDPR impone già misure tecniche e organizzative adeguate per la protezione dei dati personali, mentre DORA — applicabile dal gennaio 2025 — richiede la resilienza operativa digitale nel settore finanziario. La pressione è reale: le imprese rientranti nell'ambito applicativo di NIS2 (un universo notevolmente ampliato rispetto alla precedente direttiva NIS) devono adottare misure di sicurezza proporzionate al rischio, pena sanzioni significative.
Zero Trust si integra in modo naturale con questo scenario. Sostenuto da NIST e da ENISA (l'agenzia europea per la cybersecurity), il modello si posiziona come standard per allineare il controllo degli accessi e il minimo privilegio ai requisiti di NIS2, GDPR e DORA, partendo precisamente dal presupposto di non fidarsi di alcun utente o dispositivo, sia all'interno che all'esterno del perimetro.
Come Zero Trust supporta ogni framework
- NIS2 — impone misure di gestione del rischio, controllo degli accessi e governance della sicurezza; i pilastri CISA di Identità, Dispositivi e Governance vi rispondono direttamente.
- GDPR — la protezione del dato (classificazione, cifratura e accesso basato sulla necessità di conoscere) riduce la portata e la gravità di un'eventuale violazione di dati personali.
- DORA — in banca, assicurazioni e mercati finanziari, la resilienza operativa digitale si basa sulla verifica continua e sul monitoraggio che Zero Trust formalizza.
- Standard settoriali — per le organizzazioni certificate o in procinto di certificarsi ISO 27001, i controlli di accesso e la segmentazione implementati da Zero Trust soddisfano per progettazione numerosi requisiti dell'Annex A.
Il messaggio di fondo è che investire in Zero Trust non è una spesa per la conformità "separata": significa costruire una volta sola un'architettura che soddisfa simultaneamente più framework. Questa efficienza è esattamente ciò che differenzia le organizzazioni che affrontano la sicurezza in modo strategico da quelle che reagiscono audit per audit.
Conclusione: iniziare in piccolo, misurare e avanzare
Zero Trust non è né un prodotto né una destinazione, ma un modo disciplinato di concedere l'accesso: mai per default, sempre verificato, risorsa per risorsa. I dati supportano la decisione — 1,76 milioni di dollari di risparmio medio per violazione secondo IBM — e il contesto normativo europeo, con NIS2 già in vigore, la rende una priorità ineludibile. La chiave sta nel non voler abbracciare tutto in una volta: iniziare dall'identità, sostituire la VPN con ZTNA, segmentare, proteggere il dato e sostenere l'operazione con visibilità continua. Ogni fase riduce il rischio in modo misurabile e costruisce sulla precedente.
Se la vostra organizzazione vuole compiere il primo passo in modo ordinato, in Technova Partners progettiamo roadmap Zero Trust adattate al livello di maturità reale di ogni azienda. Potete iniziare scaricando la nostra checklist di preparazione alla certificazione ISO 27001, un ottimo punto di partenza per verificare i controlli di accesso e di governance, oppure parlare direttamente con il nostro team di cybersecurity per valutare la vostra situazione e prioritizzare le fasi che eliminano il maggior rischio nel vostro caso specifico.
