La tua sicurezza mobile è rimasta indietro?

Le minacce moderne non si fermano più al dispositivo. Se la tua strategia non si è evoluta, la tua esposizione al rischio è già aumentata.

La sicurezza mobile si trova a un punto di svolta: il panorama delle minacce è cambiato radicalmente, ma la maggior parte delle strategie di sicurezza aziendali resta ancorata a presupposti ormai superati. Per anni, le organizzazioni hanno costruito le proprie difese attorno al rilevamento di semplici compromissioni a livello di sistema operativo. Sebbene questi rischi esistano ancora, non sono più la fonte degli attacchi più rilevanti. Oggi il panorama delle minacce è andato ben oltre il dispositivo, con l’AI che sta trasformando profondamente il rischio: amplificando i vettori di attacco guidati dall’uomo, abbassando drasticamente la barriera per individuare e sfruttare vulnerabilità software e creando flussi di dati non autorizzati che aggirano i controlli tradizionali ed espongono dati aziendali sensibili al di fuori dei framework di sicurezza esistenti.

I dispositivi mobili sono diventati, spesso senza che ce ne accorgiamo, il vero centro operativo dell’azienda. È da lì che i dipendenti si autenticano, accedono a dati sensibili, comunicano su canali criptati e utilizzano strumenti basati su AI. Questa concentrazione di identità, accessi e dati ha reso il dispositivo mobile il punto di controllo principale delle attività aziendali—e quindi uno dei bersagli più appetibili per gli attaccanti. Tuttavia, molte architetture di sicurezza sono ancora basate su modelli superati: si concentrano sul dispositivo in sé, invece che su ciò che accade realmente al suo interno e attraverso di esso.

Rischi nascosti nell’ombra
Uno dei punti ciechi più rilevanti è la visibilità e la governance dell’AI. I dipendenti stanno adottando rapidamente strumenti di AI come ChatGPT, Claude e Gemini direttamente dai loro dispositivi mobili per elaborare informazioni, generare contenuti e interagire con i sistemi aziendali. Questo utilizzo è spesso non autorizzato e in gran parte invisibile ai team IT e di sicurezza. Il risultato è un divario crescente tra l’adozione dell’AI e la capacità dell’organizzazione di monitorare, controllare e governare tale utilizzo. Senza visibilità su quali servizi AI vengano utilizzati, quali dati vengano condivisi e dove questi dati finiscano, le organizzazioni non possono applicare policy né rispettare i nuovi requisiti normativi. Framework come ISO/IEC 42001, l’EU AI Act e il NIST AI Risk Management Framework richiedono tracciabilità, responsabilità e controllo—tutti elementi impossibili senza visibilità a livello mobile.

Sebbene le organizzazioni abbiano iniziato a implementare controlli di base, questi sono generalmente limitati agli endpoint tradizionali, al cloud e agli ambienti SaaS collegati alla rete aziendale. Bloccare un servizio non autorizzato a livello di rete spesso serve solo a spostare il comportamento degli utenti: i dipendenti prendono semplicemente il proprio smartphone e accedono allo stesso servizio tramite rete cellulare o reti esterne, aggirando completamente tali controlli. Questo crea un falso senso di sicurezza: sulla carta le policy risultano applicate, ma nella pratica l’uso dell’AI continua indisturbato fuori dal perimetro visivo dell’organizzazione. Il risultato è un ambiente “ombra” in espansione, in cui dati sensibili vengono elaborati, condivisi e archiviati senza supervisione—minando la governance, aumentando il rischio normativo e riducendo la capacità dell’organizzazione di scalare con sicurezza l’adozione dell’AI.

L’AI sta riducendo drasticamente il costo della scoperta delle vulnerabilità: un campanello d’allarme

Allo stesso tempo, i progressi dell’AI stanno trasformando profondamente il panorama delle vulnerabilità. Modelli come Claude Mythos stanno abbassando in modo significativo la barriera per individuare e sfruttare falle nei software. Attività che un tempo richiedevano competenze specialistiche e molto tempo oggi possono essere svolte in modo autonomo e su larga scala.

Iniziative come Glasswing mostrano un approccio responsabile alla divulgazione e alla gestione delle vulnerabilità, ma la realtà è che queste capacità si diffonderanno molto più rapidamente della capacità globale di aggiornare il software. La finestra tra la scoperta di una vulnerabilità e il suo sfruttamento si sta riducendo—e in molti casi sta già scomparendo.

Questo ha un impatto particolarmente forte negli ambienti mobili, dove le aziende si affidano a migliaia di applicazioni composte da librerie di terze parti, SDK e API. La domanda critica non è più se esistano vulnerabilità, ma se le organizzazioni siano in grado di identificarle e risolverle abbastanza rapidamente. E Mythos non è un caso isolato: è solo un primo segnale. Sta arrivando un’ondata di modelli con capacità simili, ed è ragionevole pensare che alcuni attori, inclusi stati nazionali, possano già disporre di capacità comparabili o superiori senza gli stessi vincoli o norme di divulgazione.

L’asimmetria è evidente: i difensori operano ancora su tempi umani, mentre gli attaccanti si stanno rapidamente spostando alla velocità delle macchine.

La maggior parte delle piattaforme endpoint non è mai stata progettata per ispezionare il codice applicativo, mappare i componenti software o mantenere un inventario in tempo reale delle vulnerabilità nelle app mobili. Si basano sull’assunto che l’ecosistema delle app sia intrinsecamente affidabile—un presupposto che non è più valido in un contesto di minacce accelerate dall’AI.

Il campo di battaglia si è spostato: dall’inbox al telefono

Un altro cambiamento significativo è l’aumento dell’ingegneria sociale centrata sul mobile. Gli attaccanti sono andati oltre l’email e ora prendono di mira gli utenti tramite SMS, piattaforme di messaggistica criptata come WhatsApp e Signal e persino chiamate vocali deepfake. Questi canali sono intrinsecamente più difficili da monitorare perché operano al di fuori dei tradizionali punti di ispezione di rete e spesso sono protetti da crittografia end-to-end, creando un pericoloso gap di visibilità. Se un tentativo di phishing o di furto credenziali avviene in un’app di messaggistica anziché via email, molte organizzazioni non hanno modo di rilevarlo o bloccarlo. Di conseguenza, il fattore umano—da sempre l’anello debole della sicurezza—è diventato la principale superficie di attacco nel mobile.

L’illusione della semplicità: quando la consolidazione nasconde i rischi
Per ridurre costi e complessità operativa, molte organizzazioni stanno puntando sulla consolidazione delle piattaforme—una scelta sensata in linea di principio. Il problema è che i rischi mobili di nuova generazione non emergono come lacune evidenti durante questo processo. Al contrario, si sviluppano nel tempo sotto forma di punti ciechi: esposizioni che diventano visibili solo dopo un incidente o sotto la pressione di requisiti normativi.

In pratica, accade spesso che, mentre il numero di piattaforme diminuisce, si riduca anche la visibilità su aree di rischio critiche. Il risultato è prevedibile: nuovi strumenti vengono introdotti in modo reattivo per colmare queste lacune, riportando progressivamente complessità e annullando i benefici che la consolidazione avrebbe dovuto generare.

Se è progettato per le minacce di ieri, non vede i rischi di oggi
Le piattaforme endpoint tradizionali non sono inutili—continuano a svolgere un ruolo importante. Ma sono nate in un’epoca in cui la principale preoccupazione era la compromissione del dispositivo. Oggi lo scenario è cambiato: il rischio mobile si concentra sull’uso dell’AI, sulle vulnerabilità a livello applicativo e sugli attacchi mirati alle persone, spesso al di fuori del perimetro delle soluzioni legacy.

La vera domanda strategica non è più se i dispositivi siano protetti, ma se l’organizzazione abbia visibilità e controllo su tutto ciò che accade attraverso di essi.

Il rischio mobile è ormai rischio di business. Il perimetro aziendale si è spostato nelle mani delle persone e, all’interno dei loro dispositivi, nelle app, nelle identità e nei sistemi di AI che abilitano le attività quotidiane. Per questo le strategie di sicurezza devono evolversi: le minacce più critiche non sono più quelle che violano il dispositivo, ma quelle che operano silenziosamente oltre le sue difese.

Fonte: Lookout