Razorpay accende un faro su un’area della cybersecurity aziendale che resta spesso fuori dal radar operativo: i token OAuth usati nelle integrazioni tra applicazioni. Al ET CISO Decrypt 2026, Praveen Parihar, CISO dell’azienda, ha avvertito che le connessioni app-to-app basate su OAuth e le identità non umane stanno emergendo come un punto cieco critico nella sicurezza enterprise.
Il dato centrale non riguarda una nuova vulnerabilità isolata, ma lo spostamento del perimetro d’attacco. Quando un’applicazione autorizza un’altra applicazione ad accedere a dati o funzioni, il controllo non passa necessariamente da un utente umano. Entra invece in gioco una catena di permessi tecnici che può restare attiva, invisibile e difficilmente presidiata dai tradizionali sistemi di controllo dell’identità.
Parihar ha indicato proprio questo passaggio come il cuore del problema: le integrazioni app-to-app e le identità non umane possono consentire agli attaccanti di aggirare i controlli di identità tradizionali. In un ambiente aziendale sempre più distribuito tra piattaforme cloud, strumenti collaborativi e servizi verticali, il rischio non si concentra più soltanto sull’account del dipendente, ma anche sulle autorizzazioni concesse alle applicazioni che lavorano per conto dell’organizzazione.
OAuth è nato per semplificare l’autorizzazione tra servizi, riducendo la necessità di condividere credenziali dirette. Nel contesto enterprise, però, questa comodità operativa genera una superficie di esposizione diversa: il token diventa una forma di accesso delegato. Se viene compromesso o abusato, può aprire una strada verso sistemi collegati senza che l’attacco assuma le forme più riconoscibili di un furto di password o di un accesso interattivo sospetto.
La dinamica descritta da Parihar riguarda soprattutto gli ecosistemi SaaS, dove strumenti diversi comunicano continuamente tra loro. CRM, piattaforme di pagamento, applicazioni di produttività, sistemi di analytics e servizi di automazione possono scambiarsi dati attraverso autorizzazioni persistenti. In questo modello, una singola integrazione debole può trasformarsi in un passaggio utile per il movimento laterale, permettendo a un aggressore di spostarsi da un’applicazione all’altra all’interno dell’ambiente digitale aziendale.
La criticità è aggravata dal fatto che molte organizzazioni hanno costruito i propri presidi di sicurezza attorno all’identità umana: utenti, ruoli, autenticazione, privilegi e sessioni. Le identità tecniche, invece, spesso vivono in una zona più opaca. Non hanno un comportamento quotidiano facilmente leggibile, non corrispondono a una persona fisica e possono accumulare permessi nel tempo, soprattutto quando nuove applicazioni vengono aggiunte per esigenze operative senza una revisione strutturata delle autorizzazioni già concesse.
Il richiamo di Razorpay sposta quindi l’attenzione dalla sola protezione degli account alla governance delle connessioni. Per le imprese, il tema non è bloccare le integrazioni, che restano essenziali per far funzionare processi digitali complessi, ma renderle osservabili, verificabili e coerenti con i principi di minimo privilegio. Ogni autorizzazione OAuth concessa a un’applicazione rappresenta una relazione di fiducia che dovrebbe essere censita, monitorata e revocabile quando non più necessaria.
La prospettiva che emerge è quella di un perimetro invisibile, costruito non da firewall o endpoint, ma da permessi delegati, connessioni SaaS e identità non umane. In questa nuova geografia dell’attacco, la sicurezza enterprise deve guardare anche a ciò che opera senza login, senza schermo e senza intervento umano diretto. I token OAuth diventano così un segnale concreto di come l’identità, nell’impresa digitale, non coincida più soltanto con le persone.