Il fornitore è diventato la superficie d'attacco
Aggiornato per il 2026
Per un decennio, i team di sicurezza hanno avuto un solo obiettivo: tenere gli attaccanti fuori dalla rete. Proteggere il perimetro. Blindare gli endpoint. Controllare gli accessi. Il vecchio modello dava per scontato che gli attaccanti puntassero direttamente all'organizzazione.
I dati del 2024 dimostrano che questo modello è superato. Le violazioni SaaS sono aumentate del 300% nel 2024, secondo l'Obsidian Security 2025 SaaS Security Threat Report. Gli attaccanti non colpiscono più le organizzazioni direttamente: prendono di mira gli strumenti SaaS a cui quelle organizzazioni affidano i propri dati.
Quando il tuo strumento cloud è il bersaglio, una rete interna sicura non serve a nulla. I dati dei clienti, i documenti dei dipendenti e i contenuti sensibili risiedono sui server del fornitore, protetti dalle chiavi del fornitore — ed esposti quando il fornitore viene violato.
I numeri delle violazioni SaaS nel 2024
I dati delle violazioni del 2024 mostrano la portata del rischio.
Conduent ha subìto una violazione che ha esposto 25,9 milioni di record. Conduent gestisce processi aziendali per enti governativi e grandi aziende: benefit, pagamenti e servizi ai cittadini. Le 25,9 milioni di persone colpite non sapevano nemmeno che una terza parte custodisse le loro informazioni.
NHS Digital ha subìto una violazione che ha coinvolto 9 milioni di pazienti. I dati clinici sono stati esposti attraverso i server di uno strumento cloud. I pazienti avevano condiviso quelle informazioni con il proprio medico — non avevano motivo di sapere che fossero finite su una piattaforma di terze parti a loro sconosciuta.
Non si tratta di eventi rari: è la nuova normalità. Le grandi violazioni colpiscono oggi milioni di persone che si fidavano di un'organizzazione, ma i cui dati erano in realtà detenuti da un'altra che non conoscevano. Per sapere come il GDPR attribuisce le responsabilità in questi casi, consulta la nostra panoramica sulla conformità GDPR.
Perché le violazioni SaaS funzionano in modo diverso
Una violazione di rete classica richiede molti passaggi. Gli attaccanti devono superare il perimetro, muoversi tra i sistemi ed estrarre i dati. Ogni passaggio è un'opportunità per essere scoperti.
Le violazioni SaaS funzionano diversamente. Quando gli attaccanti colpiscono una piattaforma cloud, accedono ai dati di ogni cliente che ha inviato contenuti attraverso quella piattaforma. Una sola violazione produce dati di decine o centinaia di clienti contemporaneamente.
La finestra di violazione di 9 minuti — il tempo che intercorre dal primo accesso al furto di dati nei sistemi SaaS, secondo i dati degli incidenti di Obsidian Security — mostra quanto sia rapido questo meccanismo. All'interno di una piattaforma condivisa, gli attaccanti trovano contenuti di molti clienti in una sola operazione. Questa concentrazione di valore rende ogni attacco altamente efficiente.
I contratti non colmano questa lacuna. L'articolo 82 del GDPR assegna la responsabilità condivisa ai responsabili del trattamento per le violazioni che causano. Ma dimostrare la colpa richiede mesi — e nel frattempo i dati sono già persi. Consulta la nostra pagina sulla sicurezza e conformità per capire come gli strumenti zero-knowledge cambiano questo scenario.
Il DPA non protegge i tuoi dati
L'articolo 28 del GDPR stabilisce che le organizzazioni devono utilizzare solo responsabili del trattamento che offrano "garanzie sufficienti". Il Data Processing Agreement è la prova scritta di tali garanzie.
Come un Business Associate Agreement HIPAA, il DPA copre il lato legale — non ciò che accade ai tuoi documenti sui server del fornitore.
Uno strumento cloud con un DPA pienamente conforme al GDPR può comunque:
- Archiviare i dati dei clienti con crittografia lato server e chiavi gestite dal fornitore
- Elaborare le informazioni dei dipendenti in un sistema condiviso con molti altri clienti
- Conservare log e contenuti in cache oltre gli scopi concordati
- Subire una violazione che espone tutto quanto sopra
Il DPA definisce gli obblighi legali — non crea una barriera tecnica contro l'esposizione. Quando gli attaccanti violano la piattaforma in 9 minuti, il DPA non li rallenta.
Per una guida in linguaggio semplice sui doveri dell'articolo 28, consulta il glossario GDPR.
Perché il +300% è strutturale
L'aumento del 300% riflette due forze che agiscono contemporaneamente.
Prima forza: il volume di informazioni sensibili nelle piattaforme SaaS è cresciuto rapidamente nel 2024. Sempre più organizzazioni hanno spostato sempre più attività su strumenti cloud, portando più documenti sui server di terze parti.
Seconda forza: gli attaccanti si sono adattati. Le organizzazioni inviano oggi dati di clienti, registri finanziari, informazioni HR, contenuti legali e cartelle cliniche attraverso strumenti SaaS. Colpire una piattaforma significa ottenere dati da molti clienti. La matematica premia l'attacco alle piattaforme rispetto alle singole organizzazioni.
Il +300% non è un picco criminale: è un cambiamento strutturale nella direzione degli attacchi.
La soluzione: l'anonimizzazione zero-knowledge
La soluzione parte da un cambio di prospettiva. Se qualsiasi piattaforma può essere violata — e i dati del 2024 lo dimostrano — allora nessuna piattaforma dovrebbe ricevere i dati personali dei tuoi clienti in forma leggibile.
L'anonimizzazione zero-knowledge prima del caricamento cambia completamente il rischio. Quando una piattaforma che contiene dati elaborati con zero-knowledge viene attaccata:
- Gli attaccanti trovano solo record anonimizzati, privi di identificativi leggibili
- Non è necessaria alcuna notifica agli interessati, perché nessun dato personale è stato esposto
- Non si apre alcun caso di responsabilità condivisa ai sensi dell'articolo 82 del GDPR
- Non vi sono conseguenze regolamentari dall'attacco
L'attacco colpisce la piattaforma, ma non raggiunge i tuoi clienti — le loro informazioni personali non sono mai arrivate sui server del fornitore in forma leggibile.
Non è teoria: è un dato di fatto. Non ci sono dati da rubare perché non ne sono stati inviati in forma leggibile. Le FAQ rispondono alle domande comuni sull'anonimizzazione zero-knowledge. La nostra pagina dei prezzi mostra il costo di questa protezione su larga scala.
L'aumento del 300% cambia i calcoli sul rischio. Verificare la postura di sicurezza di un fornitore e i termini contrattuali significa scommettere che non sarà il prossimo a finire sui giornali. L'anonimizzazione zero-knowledge elimina quella scommessa.