Il perimetro della sicurezza aziendale si sta spostando verso un’area meno visibile delle architetture digitali: i token OAuth usati nelle integrazioni tra applicazioni. A ET CISO Decrypt 2026, Praveen Parihar, CISO di Razorpay, ha indicato le connessioni app-to-app basate su OAuth e le identità non umane come una nuova zona critica di esposizione per le imprese.
Il punto sollevato da Parihar riguarda un cambio di prospettiva nella difesa cyber. Per anni i controlli di identità si sono concentrati soprattutto sugli utenti, sulle credenziali e sugli accessi umani. Ora, nelle organizzazioni che usano molti servizi cloud e applicazioni SaaS, una parte crescente delle autorizzazioni passa da integrazioni applicative, automazioni e servizi che dialogano tra loro senza un intervento diretto delle persone.
In questo scenario, OAuth abilita un’applicazione ad accedere a risorse o funzioni di un’altra applicazione attraverso un token di autorizzazione. Il meccanismo è centrale per molte esperienze digitali moderne, perché rende più fluida la collaborazione tra software, piattaforme e servizi. Proprio questa fluidità, però, apre un fronte meno presidiato quando i token sono troppo permissivi, poco monitorati o scollegati da controlli di identità tradizionali.
Parihar ha avvertito che queste integrazioni possono permettere agli attaccanti di aggirare le difese classiche e muoversi all’interno degli ecosistemi SaaS. Il rischio non riguarda soltanto l’accesso iniziale a una singola applicazione, ma la possibilità di sfruttare autorizzazioni già concesse per attraversare ambienti collegati. In termini operativi, il token diventa una chiave persistente: non coincide con una password rubata, ma può comunque aprire percorsi di accesso rilevanti.
La questione delle identità non umane rende il problema più complesso. Account di servizio, connettori, automazioni e applicazioni autorizzate non hanno il comportamento tipico di un dipendente, non seguono orari riconoscibili e spesso restano attivi per lungo tempo. Se non vengono inventariati e governati con la stessa attenzione riservata agli utenti, possono trasformarsi in un punto cieco per team di sicurezza, audit e compliance.
La definizione di blind spot usata da Parihar fotografa proprio questa asimmetria. Le aziende possono rafforzare l’autenticazione degli utenti, introdurre controlli più severi sugli accessi e monitorare le anomalie nelle sessioni, ma lasciare esposte autorizzazioni applicative create per esigenze operative legittime. L’attaccante, in quel caso, non deve necessariamente forzare la porta principale: può cercare un’integrazione già autorizzata e usarla come punto di passaggio.
Per le imprese, la conseguenza è una revisione del concetto di perimetro cyber. Non basta più chiedersi chi accede a un sistema, ma anche quale applicazione accede a cosa, con quali permessi, per quanto tempo e con quale tracciabilità. Il tema si inserisce nella trasformazione dei modelli di sicurezza enterprise, dove l’identità diventa un elemento distribuito tra persone, software, API e servizi cloud.
Il messaggio emerso dall’intervento è netto: i token e le autorizzazioni tra applicazioni non sono un dettaglio tecnico secondario, ma una superficie di attacco da trattare come parte centrale della strategia di sicurezza. In ambienti SaaS sempre più interconnessi, la protezione dell’identità passa anche dal controllo delle macchine, dei servizi e delle integrazioni che operano dietro le quinte.