Glossario · Cybersecurity · Identità e accessi
IAM / PAM: identità e accessi privilegiati
IAM (Identity and Access Management) gestisce chi è ciascun utente e a cosa può accedere: autenticazione, autorizzazione e minimo privilegio. PAM (Privileged Access Management) è la disciplina specifica per gli account privilegiati —amministratori e accessi con permessi elevati—, dove un controllo insufficiente concentra il rischio maggiore.
Cosa copre ciascuna disciplina
- IAM — gestisce il ciclo di vita delle identità, l'autenticazione e l'autorizzazione di tutti gli utenti rispetto ai sistemi.
- PAM — rafforza il controllo sugli account privilegiati, quelli con la maggiore capacità di danno in caso di compromissione.
- Minimo privilegio — ogni identità riceve solo i permessi necessari, evitando l'accumulo superfluo di diritti.
- Vault e registrazione delle sessioni — le credenziali privilegiate sono custodite in un vault e le sessioni vengono registrate per l'audit e la risposta agli incidenti.
Perché conta nel settore bancario regolamentato
L'abuso di account privilegiati figura tra le cause più gravi di incidenti negli enti finanziari. DORA impone controlli di accesso e di identità robusti all'interno della gestione del rischio ICT, e la direttiva NIS2 rafforza questa esigenza nei settori essenziali. Un livello di IAM con minimo privilegio, completato da PAM con vault delle credenziali e registrazione delle sessioni, offre il controllo e la tracciabilità che il supervisore si aspetta: limita l'accesso, lo registra e consente di ricostruire cosa ha fatto ciascuna identità privilegiata.
Come la aiuta Vermont Solutions
Controllo delle identità e dei privilegi
Affianchiamo gli enti finanziari nella progettazione dei loro controlli di identità e accesso, con minimo privilegio e PAM sugli account privilegiati, allineati a DORA.
Vedi governance e compliance →Ultimo aggiornamento: 2026-06-21. Contenuto editoriale di Vermont Solutions, citabile con attribuzione.