Netcrook Logo
👤 AUDITWOLF
🗓️ 22 Jan 2026  

Permessi silenziosi: come le app di terze parti negligenti stanno saccheggiando dati sensibili

Una nuova ricerca esplosiva rivela che quasi due terzi delle integrazioni di terze parti sui siti web accedono a informazioni riservate senza approvazione, mettendo sia il settore pubblico sia quello privato a un rischio senza precedenti.

Quando clicchi su “Acquista ora” o navighi nel tuo portale governativo preferito, probabilmente non sai che app invisibili di terze parti stanno silenziosamente sottraendo i tuoi dati sensibili - spesso senza alcun motivo legittimo e con zero supervisione. Un rapporto bomba del 2026 di Reflectiz mette a nudo un crescente punto cieco digitale: la stragrande maggioranza degli strumenti di terze parti incorporati nei siti web sta ormai accedendo a informazioni riservate senza un’adeguata autorizzazione, creando una miniera d’oro per i criminali informatici e un incubo per i team di sicurezza.

Dati rapidi

  • Il 64% delle app di terze parti sui principali siti web accede a dati sensibili senza una giustificazione valida
  • L’attività malevola sui siti governativi è balzata dal 2% al 12,9% in un anno
  • I reparti marketing e digital sono responsabili del 43% del rischio legato alle terze parti
  • Solo un sito web (ticketweb.uk) ha soddisfatto tutti i benchmark di sicurezza del settore
  • Gli ambienti di pagamento hanno visto quasi la metà delle app operare senza un’adeguata supervisione

L’anatomia di un punto debole digitale

Il rapporto Reflectiz “State of Web Exposure 2026” ha analizzato 4.700 siti web leader, scoprendo un aumento del 25% anno su anno nell’accesso non autorizzato ai dati da parte di terze parti. Cosa sta alimentando questo picco? La risposta risiede nella crescita esplosiva di strumenti di marketing, widget di analytics e plugin per l’e-commerce - molti dei quali ricevono permessi ampi per impostazione predefinita, non per necessità.

Tra i peggiori responsabili: piattaforme popolari come Google Tag Manager, Shopify e Facebook Pixel, che venivano regolarmente implementate con accesso eccessivo a dati personali e di pagamento. Invece di essere i team IT a valutare questi strumenti, spesso sono i reparti marketing a prendere le decisioni di integrazione, lasciando i team di sicurezza all’oscuro di ciò che sta realmente girando dietro le quinte.

I siti del settore pubblico sono particolarmente vulnerabili. Le proprietà web governative hanno visto l’attività web malevola impennarsi dal 2% a quasi il 13%. Il settore dell’istruzione non è andato meglio: un sito educativo su sette è ora attivamente compromesso - un aumento di quattro volte in un solo anno. Tagli di budget e carenze di personale non fanno che ampliare il divario, rendendo più facile per gli attaccanti sfruttare queste backdoor digitali.

Le ricadute tecniche sono allarmanti: i siti compromessi si collegano a quasi tre volte più domini esterni, raddoppiano l’uso di tracker e spesso si affidano a domini registrati di recente (e quindi sospetti). Le pagine di pagamento - dove la fiducia dovrebbe essere massima - sono focolai di attività ingiustificata delle app, con quasi la metà di tutte le integrazioni priva di qualsiasi giustificazione di business.

Chiudere la backdoor

I risultati del rapporto sono un campanello d’allarme per le organizzazioni di tutti i settori. Solo un sito su migliaia ha soddisfatto tutti e otto i benchmark di leadership in materia di sicurezza, dimostrando che una governance a tenuta stagna è l’eccezione, non la regola. Il messaggio è chiaro: a meno che le aziende non rivoluzionino il modo in cui gestiscono le integrazioni di terze parti - dando priorità a visibilità, permessi rigorosi e audit continui - rischiano di consegnare agli attaccanti le chiavi del regno.

Come avverte Simon Arazi, VP of Product di Reflectiz: “Le organizzazioni concedono l’accesso ai dati sensibili per impostazione predefinita anziché come eccezione - e gli attaccanti stanno sfruttando quel divario.” È il momento di chiudere la backdoor, ora, prima che si consumi un altro anno di furto silenzioso di dati.

WIKICROOK

  • Terza parte: Una “terza parte” si riferisce a un soggetto esterno i cui sistemi si connettono alla tua organizzazione, potenzialmente aumentando i rischi di cybersicurezza attraverso nuovi percorsi di integrazione.
  • Client: Un client è un dispositivo o un’applicazione che si connette a un server per richiedere e utilizzare servizi di rete, come navigare su siti web o accedere alla posta elettronica.
  • Permessi: I permessi sono impostazioni che controllano a cosa utenti o app possono accedere o cosa possono fare su un dispositivo, proteggendo i dati sensibili da usi non autorizzati.
  • Indicatori di compromissione: Gli indicatori di compromissione sono indizi o prove che rivelano che un sistema o una rete potrebbero essere stati violati da attaccanti informatici.
  • Dominio esterno: Un dominio esterno è un indirizzo web o un server al di fuori della rete di un’organizzazione con cui un sito web o un’applicazione comunica, spesso richiedendo controlli di sicurezza.
Third-party apps Data security Cyber threats
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news