AppOmni ha pubblicato il suo terzo rapporto annuale “The State of SaaS Security”, evidenziando un dato allarmante: tre aziende su quattro hanno subito una violazione dei dati o un incidente di sicurezza legato a piattaforme SaaS nell’ultimo anno, con un incremento del 33% rispetto al 2024. La crescente dipendenza dalle applicazioni SaaS da parte delle aziende — e la sottovalutazione dei rischi ad esse associati — sta creando un pericoloso divario tra percezione di sicurezza e resilienza reale.
Un’illusione di controllo che espone le aziende
Secondo la ricerca, che ha coinvolto oltre 800 leader della sicurezza in Stati Uniti, Regno Unito, Germania, Australia e Giappone, il 91% delle organizzazioni si dice sicuro della propria strategia di sicurezza SaaS. Tuttavia, il 75% ha subito almeno un incidente. In altre parole, l’ottimismo non trova riscontro nella realtà operativa, segnalando un’illusione di controllo che, secondo il CEO di AppOmni Brendan O’Connor, “mette le aziende in una condizione di rischio reale”.
A confermare questa discrepanza, il 89% delle aziende compromesse riteneva di avere una visibilità adeguata sul proprio ambiente SaaS al momento dell’incidente, ma la visibilità non equivale alla sicurezza, specialmente in assenza di monitoraggio attivo e politiche strutturate.
L’AI come nuova superficie di attacco
Il rapporto rileva anche come l’intelligenza artificiale stia introducendo nuove sfide di governance. Il 61% dei leader IT ritiene che gli strumenti di AI generativa presenti nelle applicazioni SaaS debbano essere sottoposti a maggiore supervisione, ma solo il 7% si dice preoccupato per l’inserimento involontario di dati sensibili in ambienti AI/LLM. Un dato che rivela una scarsa consapevolezza delle implicazioni concrete legate alla gestione delle identità non umane e all’utilizzo dell’AI integrata.
Errori di base e responsabilità frammentate
Un altro punto critico riguarda l’igiene della sicurezza informatica: il 41% degli incidenti è attribuito a errori di autorizzazione, mentre il 29% a configurazioni errate. AppOmni segnala anche una confusione diffusa sul modello di responsabilità condivisa: solo il 16% assegna la sicurezza SaaS ai team IT, mentre il 43% la lascia alle unità aziendali. Questo approccio contribuisce a una gestione non centralizzata e spesso inefficace della sicurezza.
Cresce la consapevolezza, ma non abbastanza
Il 96% delle aziende riconosce l’importanza crescente della sicurezza SaaS, e il 72% la considera una delle tre priorità principali per i prossimi anni. Tuttavia, secondo AppOmni, molte realtà restano bloccate da abitudini obsolete e da una mancanza di strumenti adeguati: solo il 13% ha implementato soluzioni SSPM (SaaS Security Posture Management), nonostante un terzo delle aziende ammetta di averne urgente bisogno.
Dalla reazione alla resilienza
Il report propone un cambiamento di paradigma: abbandonare le soluzioni reattive e frammentate a favore di programmi di sicurezza proattivi, scalabili e ripetibili, fondati su tre pilastri: monitoraggio continuo, chiara assegnazione delle responsabilità e adozione di strumenti specifici per la sicurezza SaaS.
Secondo Brendan O’Connor, “la fiducia nei fornitori SaaS non è una strategia: occorre passare dalla complessità alla chiarezza, e costruire una resilienza reale contro minacce in continua evoluzione”.
Conclusioni
Il messaggio è chiaro: la sicurezza del SaaS non è più una nicchia, ma un’urgenza. Le aziende devono colmare rapidamente il divario tra percezione e realtà, affrontando le minacce legate all’AI, le debolezze nei controlli interni e la frammentazione delle responsabilità.
