Cybersecurity · Aprile 2026
Sicurezza ApplicativaVulnerabilità Infrastrutturali OWASP Top 10 2025 & Aggiornamenti CSIRT Italia — Parte I
Il panorama della cybersicurezza continua ad evolversi a ritmo serrato. Punto di riferimento fondamentale per chi opera nella protezione dei sistemi informativi è la OWASP Top 10 — la lista dei rischi più critici per la sicurezza delle applicazioni web — costruita attraverso l'analisi di dati reali provenienti da milioni di applicazioni testate ogni anno.
OWASP Top 10 2025: le nuove priorità della sicurezza applicativa Cos'è OWASP L'Open Worldwide Application Security Project (OWASP) è una fondazione no-profit riconosciuta a livello globale per il suo contributo alla sicurezza del software. La sua pubblicazione più nota, la Top 10 , rappresenta un documento di riferimento per sviluppatori e team di sicurezza, costruito attraverso l'analisi di dati reali provenienti da milioni di applicazioni testate ogni anno.
L'edizione 2025: novità e cambiamenti strutturali L'edizione 2025 della OWASP Top 10 segna uno degli aggiornamenti più significativi degli ultimi anni. Per questa versione sono state analizzate 589 CWE (Common Weakness Enumeration), rispetto alle circa 400 del 2021 e alle sole 30 del 2017, con dati provenienti da oltre 2,8 milioni di applicazioni . La struttura del 2025 introduce due nuove categorie e consolida quelle esistenti, spostando il focus dalle falle di implementazione isolate verso i problemi architetturali, di configurazione e di supply chain.
La classifica commentata A01
Broken Access Control Critico — stabile
Mantiene il primo posto. Include ora le vulnerabilità SSRF (prima al 10° posto). In media il 3,73% delle applicazioni testate presenta almeno una delle 40 CWE associate.
A02
Security Misconfiguration Alto ↑ +3 posizioni
Sale dal 5° al 2° posto. Con la proliferazione di container, cloud e Infrastructure as Code, un singolo parametro mal configurato — bucket pubblici, credenziali di default — può esporre interi sistemi. 16 CWE · 3,00% applicazioni.
A03
Software Supply Chain Failures ★ Nuova Nuova categoria
Evoluzione di "Componenti Vulnerabili e Obsoleti". Comprende compromissioni delle dipendenze, attacchi ai sistemi di build e rischi sull'intero ecosistema software. Punteggi di sfruttabilità e impatto più alti della lista. Casi reali: Bitwarden CLI, Trivy, Checkmarx, LiteLLM.
A04
Cryptographic Failures Alto ↓ -2 posizioni
Scende dal 2° al 4° posto. Il 3,80% delle applicazioni presenta vulnerabilità legate a crittografia debole o assente, che spesso portano all'esposizione di dati sensibili. 32 CWE.
A05
Injection Critico ↓ -2 posizioni
Scende al 5° posto ma resta tra le più testate. Comprende SQL Injection, XSS, OS Command Injection. Il numero di CVE associate alle 38 CWE è il più alto in assoluto tra tutte le dieci categorie.
A06
Insecure Design Medio ↓ -2 posizioni
Scende dal 4° al 6° posto grazie a una maggiore adozione del threat modeling nel settore — un segnale positivo concreto di miglioramento dell'industria.
A07
Authentication Failures Medio — stabile
Mantiene il 7° posto. Nome aggiornato da "Identification and Authentication Failures" per riflettere con maggiore precisione le 36 CWE incluse.
A08
Software / Data Integrity Failures Medio — stabile
Rimane all'8° posto. Focalizzata sul mancato mantenimento dei confini di fiducia e sulla verifica dell'integrità di software, codice e artefatti dati — a livello più granulare rispetto alla supply chain.
A09
Security Logging & Alerting Failures Basso — stabile
Mantiene il 9° posto. Il cambio di nome aggiunge "Alerting": log eccellenti senza un sistema di alerting efficace hanno un valore minimo nell'identificazione degli incidenti.
A10
Mishandling of Exceptional Conditions ★ Nuova Nuova categoria
Seconda nuova categoria del 2025. Comprende 24 CWE relative a gestione errata degli errori, errori logici, comportamenti di fallback non sicuri. Sostituisce le SSRF del 2021 (ora integrate in A01).
STATISTICHE EDIZIONE 2025 589 CWE analizzate 2,8M+ applicazioni analizzate 2 nuove categorie A03 impatto exploit più alto
Conclusioni — OWASP Top 10 2025: verso una sicurezza by design L'edizione 2025 non è un semplice aggiornamento della lista precedente: rappresenta un cambio di prospettiva maturo su come la comunità della sicurezza legge il rischio applicativo oggi.
Il messaggio centrale è chiaro: le minacce più pericolose non nascono più solo da errori di codice, ma da scelte architetturali, configurazioni negligenti e dipendenze opache . La scalata della Security Misconfiguration al secondo posto e l'ingresso della Software Supply Chain Failures al terzo confermano che il perimetro da difendere si è esteso ben oltre il codice, fino a comprendere pipeline CI/CD, registri di pacchetti, infrastruttura cloud e sistemi di build.
Sul fronte positivo, il miglioramento di Insecure Design dimostra che l'industria risponde quando il framework offre indicazioni concrete. È un precedente incoraggiante.
Le tre priorità operative per sviluppatori, architect e responsabili della sicurezza:
1
Supply chain — Presidiare le dipendenze con strumenti di dependency scanning e verifica delle firme digitali dei pacchetti.
2
Configurazioni — Eliminare sistematicamente le configurazioni di default in ogni layer dell'infrastruttura: cloud, container, IaC.
3
Fail secure — Progettare applicazioni che falliscano in modo sicuro, trattando la gestione degli errori come requisito funzionale.
