M365 security defaults: molti si fermano troppo presto
Molte aziende usano Microsoft 365 con l’idea che una configurazione iniziale corretta, qualche controllo attivo e l’MFA abilitata siano sufficienti per lavorare in sicurezza.
È una convinzione comprensibile.
Oggi Microsoft parte da una base più solida rispetto a qualche anno fa. I security defaults, le protezioni integrate su identità, posta e accessi, e l’evoluzione continua delle impostazioni di sicurezza hanno alzato in modo concreto il livello minimo di partenza.
Il problema è che spesso ci si ferma lì.
Ed è proprio qui che nasce l’equivoco ovvero che una base più sicura non coincide automaticamente con una sicurezza governata.
Il Rapporto Clusit 2026 rende questo punto ancora più evidente. Nel 2025 gli incidenti gravi censiti a livello globale sono saliti a 5.265, con una crescita del 48,7% rispetto all’anno precedente.
Cresce anche la gravità media degli impatti, al punto che Clusit introduce una nuova categoria, “Extreme”, per classificare gli incidenti più devastanti, che oggi rappresentano il 2,7% del totale. Gli incidenti con severity High e Critical/Extreme occupano ormai la parte dominante del campione.
Questo scenario ci mostra che non stiamo parlando di un rischio teorico, ma di un contesto in cui attacchi più frequenti e più pesanti colpiscono organizzazioni di ogni dimensione.
E il dato italiano non è più rassicurante. Nel 2025 Clusit rileva 507 incidenti gravi in Italia, in aumento del 42% rispetto al 2024. Il nostro Paese rappresenta il 9,6% del campione globale osservato, una quota ancora molto alta.
Per chi usa Microsoft 365, questo cambia il modo in cui va letta la sicurezza del tenant.
Ormai è necessario capire quanto il tenant sia realmente governato nel tempo.
Perché gli attaccanti continuano a entrare dove la governance è debole: identità privilegiate, accessi amministrativi, eccezioni stratificate, device non separati, metodi MFA deboli o gestiti senza criteri chiari.
In un tenant Microsoft 365, secure-by-governed significa prima di tutto fare scelte intenzionali.
Significa trattare gli account amministrativi come un perimetro separato.
Significa ridurre i privilegi e rivederli periodicamente.
Significa imporre metodi di autenticazione resistenti al phishing, separare l’uso quotidiano dalle attività amministrative, vincolare gli accessi privilegiati a device governati e conformi.
Significa anche evitare che il Conditional Access resti un insieme di regole aggiunte nel tempo per rispondere a casi singoli, senza un disegno coerente.
In fondo, la differenza è tutta qui.
Secure-by-default vuol dire partire da una baseline tecnica ragionevole.
Secure-by-governed vuol dire decidere davvero come proteggere identità, accessi e amministrazione nel contesto reale dell’organizzazione.
Ed è questa la differenza che oggi conta di più.
Serve governance della sicurezza, risk management più maturo, controllo delle terze parti e un livello minimo di difesa diffuso.
Non basta attivare misure tecniche una volta e lasciarle lì.
Su Microsoft 365, questo significa smettere di confondere una configurazione iniziale corretta con una postura resiliente.
Perché un tenant non diventa più sicuro solo perché parte bene.
Diventa più sicuro quando identità, privilegi e accessi vengono governati con continuità.
Per aiutare le aziende a fare chiarezza, Digimetrica propone un assessment del tenant Microsoft 365 che analizza configurazione, accessi, ruoli amministrativi e logiche di protezione, per capire dove la governance è solida e dove invece si stanno accumulando fragilità nel tempo.
