Un attacco alla supply chain si verifica quando i criminali compromettono una terza parte attendibile per raggiungere il vero obiettivo. Tale terza parte potrebbe essere un fornitore di software, un provider IT, una piattaforma SaaS o un partner commerciale con accesso a sistemi o dati.

Per le piccole e medie imprese, questo rischio è facile da sottovalutare. Forse non gestisci un’infrastruttura complessa o non hai un grande team IT, ma la tua azienda probabilmente dipende da molti servizi esterni: email aziendale, buste paga, contabilità, archiviazione cloud, assistenza clienti, CRM e sistemi di pagamento. Ogni fornitore connesso crea un potenziale percorso verso il tuo ambiente.

Spiegheremo cos’è un attacco alla supply chain, come avvengono questi attacchi, perché le PMI sono esposte e come valutare e ridurre il rischio della supply chain legato alle terze parti.

Cos’è un attacco alla supply chain?

Come avvengono gli attacchi alla supply chain

Perché le PMI sono più preziose

Esempi reali di attacchi alla supply chain

Come valutare il rischio legato alle terze parti

Cosa può fare la tua azienda per ridurre l’esposizione

La connessione delle credenziali negli attacchi alla supply chain

Integra la sicurezza delle terze parti nelle operazioni quotidiane

Cos’è un attacco alla supply chain?

Un attacco alla supply chain è un attacco informatico che colpisce un’organizzazione attraverso una relazione esterna attendibile. Invece di attaccare direttamente la tua azienda, i criminali compromettono un fornitore, un aggiornamento software, un fornitore di servizi, un’integrazione o un account di terze parti e utilizzano tale accesso per raggiungere i tuoi clienti a valle.

Una debolezza al di fuori della tua organizzazione può comunque influire sui tuoi sistemi, dati o operazioni se il fornitore è connesso ad essi. In pratica, un attacco informatico alla supply chain può comportare:

  • Un fornitore di software con un meccanismo di aggiornamento compromesso.
  • Una piattaforma SaaS attraverso la quale gli aggressori accedono ai dati dei clienti.
  • Un provider IT le cui credenziali di amministratore vengono rubate.
  • Un account di un collaboratore esterno che ha ancora accesso dopo la fine di un progetto.
  • Un’integrazione di terze parti con più permessi del necessario.
  • Un account di un dipendente del fornitore utilizzato per accedere ai sistemi dei clienti.

Gli attacchi alla supply chain si basano sulla fiducia e la sfruttano. La tua azienda consente la connessione perché il fornitore aveva un ruolo legittimo, e poi gli aggressori abusano di tale fiducia per avvicinarsi ai tuoi dati, account o sistemi.

Come avvengono gli attacchi alla supply chain

Gli attacchi alla supply chain di solito iniziano con una connessione attendibile. Un aggressore non ha bisogno di penetrare direttamente nella tua azienda se un fornitore, un provider di software, un collaboratore esterno o un’integrazione ha già accesso a qualcosa di prezioso.

Il percorso può variare, ma lo schema è spesso simile:

  • Compromettere la terza parte
  • Utilizzare tale relazione attendibile per raggiungere i clienti o i sistemi connessi
  • Espandere l’accesso alla tua rete aziendale

Attraverso account di fornitori compromessi

Gli aggressori possono rubare o indovinare le credenziali di un fornitore, collaboratore esterno, agenzia o fornitore di servizi gestiti. Se tale terza parte ha accesso ai tuoi sistemi, l’aggressore può utilizzare un account legittimo per entrare attraverso un percorso attendibile.

Questo è particolarmente rischioso quando gli account dei fornitori hanno permessi ampi, password deboli, nessuna autenticazione a più fattori o un accesso che non è mai stato rimosso dopo la fine di un progetto. Ecco perché l’accesso delle terze parti dovrebbe essere verificato regolarmente e revocato tempestivamente tramite un processo di amministrazione controllato quando non è più necessario.

Attraverso aggiornamenti software e applicazioni

Un attacco alla supply chain del software può verificarsi quando gli aggressori compromettono il modo in cui un’applicazione viene creata, distribuita o aggiornata. La tua azienda potrebbe quindi installare o aggiornare il software di un fornitore attendibile, senza rendersi conto che l’aggiornamento è stato manomesso.

Questo tipo di attacco è difficile da individuare perché l’attività sembra provenire da un fornitore di software noto, non da una fonte sconosciuta.

Attraverso integrazioni di terze parti

Molti strumenti software as a service (SaaS) si connettono tra loro tramite integrazioni, plugin, API e permessi. Queste connessioni aiutano i team a lavorare più velocemente, ma possono anche creare percorsi di accesso nascosti.

Se un’integrazione è compromessa o ha più permessi del necessario, gli aggressori potrebbero essere in grado di raggiungere dati, account o flussi di lavoro oltre lo strumento originale.

Attraverso credenziali condivise e accessi non gestiti

Il rischio legato alla supply chain aumenta anche quando l’accesso dei fornitori dipende da credenziali di accesso condivise, password archiviate in documenti o credenziali inviate tramite chat ed email. Se una di queste credenziali viene esposta, la tua azienda potrebbe non sapere chi l’ha usata, dove è stata condivisa o a quanti sistemi può ancora accedere.

Il controllo degli accessi è il tuo meccanismo più forte per proteggere la sicurezza della tua supply chain. Più ogni connessione con i fornitori è controllata, più diventa facile limitare i danni in caso di problemi.

Perché le PMI sono più vulnerabili

Le PMI spesso pensano che gli attacchi alla supply chain siano un problema delle grandi imprese. In realtà, le aziende più piccole possono essere più facili da raggiungere attraverso terze parti perché l’accesso dei fornitori è spesso meno formale, meno monitorato e verificato meno di frequente.

Ogni servizio SaaS aggiunge una dipendenza

La maggior parte delle piccole imprese oggi dipende dai servizi SaaS per il lavoro quotidiano. Questi possono aiutare le aziende a muoversi con rapidità e flessibilità, ma espandono anche il numero di sistemi che possono contenere dati aziendali o connettersi agli account aziendali.

Una piccola agenzia, uno studio di consulenza, uno studio legale o una startup possono utilizzare dozzine di servizi esterni senza definirli una supply chain. Ma dal punto di vista della sicurezza, tali servizi fanno parte della catena.

I team più piccoli potrebbero non disporre di processi di verifica dei fornitori

Le grandi organizzazioni dispongono spesso di uffici acquisti, questionari sui rischi dei fornitori, verifiche di sicurezza e processi legali. Le PMI, invece, potrebbero affidarsi a una fiducia informale e alla rapidità.

Dall’inizio del 2025, il Data Breach Observatory di Proton ha identificato 512 violazioni che hanno esposto più di 902 milioni di record. Questo tipo di visibilità è importante perché molte violazioni non rimangono isolate a una singola azienda una volta che credenziali, dettagli di contatto o dati aziendali vengono esposti.

Questo non significa che le piccole imprese abbiano bisogno della burocrazia delle grandi aziende. Significa però che hanno bisogno di un modo pratico per porre domande fondamentali prima di concedere l’accesso e per verificare l’accesso una volta che il lavoro cambia.

L’accesso dei fornitori è spesso più ampio del necessario

L’accesso dei fornitori all’interno di un’azienda di solito si estende per ragioni pratiche. A volte un collaboratore esterno ha bisogno di accedere a un drive condiviso, oppure un’agenzia ha bisogno di accedere ai dati analitici o all’account pubblicitario. In quel momento, concedere l’accesso sembra la via più rapida per far avanzare il lavoro, in particolare per una piccola impresa con poche persone o risorse.

Il rischio si presenta solo in un secondo momento, quando le autorizzazioni non vengono limitate, esaminate o rimosse. Un fornitore potrebbe mantenere l’accesso al termine di un progetto, un login condiviso potrebbe continuare a circolare o un’integrazione potrebbe rimanere connessa molto tempo dopo che la necessità originaria sia venuta meno.

Esempi reali di attacchi alla catena di approvvigionamento

I dati recenti sulle violazioni mostrano che il rischio legato alle terze parti non è teorico. Durante le ricerche per il nostro Data Breach Observatory, abbiamo scoperto diversi incidenti legati all’esposizione di terze parti o della catena di approvvigionamento, mostrando come i dati di clienti, dipendenti o aziendali possano apparire nei set di dati delle violazioni anche quando l’organizzazione colpita non è stata necessariamente il punto di compromissione originale.

Amtrak

Ad aprile 2026, il Data Breach Observatory ha rilevato un incidente relativo a terze parti associato ad Amtrak, con oltre 7,4 milioni di record esposti. I dati compromessi includevano nomi, indirizzi fisici, codici postali, numeri di telefono, indirizzi email e nomi utente.

Per le aziende, questo è un chiaro esempio di come un incidente legato a terze parti possa esporre dati di identità e di contatto su larga scala, creando rischi a valle di phishing, impersonificazione e attacchi basati sulle credenziali.

Canada Goose

L’azienda di abbigliamento Canada Goose è stata colpita da un incidente relativo a terze parti nel febbraio 2026, con oltre 921.000 record esposti. I dati compromessi includevano nomi, indirizzi fisici, numeri di telefono e indirizzi email.

Anche senza password, questo tipo di set di dati può comunque aumentare il rischio aziendale, perché i malintenzionati possono utilizzare le informazioni di contatto per rendere più credibili truffe, tentativi di phishing e ingegneria sociale.

Come valutare il rischio legato alle terze parti

Non hai bisogno di un grande team dedicato al rischio o di molte risorse per iniziare a valutare i rischi della tua azienda. Inizia con un semplice inventario e concentrati sui fornitori più importanti.

1. Mappa i tuoi fornitori e i loro accessi

Elenca i fornitori, i servizi SaaS, i collaboratori esterni e i partner che hanno accesso ai tuoi sistemi o dati. Per ognuno, annota:

  • A quali dati possono accedere.
  • Quali account o integrazioni utilizzano.
  • Se dispongono di autorizzazioni di amministratore.
  • Se l’accesso è individuale o condiviso.
  • Se è richiesta l’autenticazione a più fattori.
  • Chi gestisce la relazione internamente.
  • Quando l’accesso è stato esaminato l’ultima volta.

Questo inventario è molto più facile da mantenere quando l’accesso dei fornitori è gestito attraverso un sistema controllato con una chiara attribuzione delle responsabilità, visibilità da parte degli amministratori e accesso revocabile.

2. Classifica i fornitori in base al rischio

Non tutti i fornitori necessitano di un esame dettagliato. Un fornitore di servizi di buste paga, una piattaforma di archiviazione cloud, un fornitore IT, un CRM o un fornitore di servizi gestiti meritano maggiore attenzione rispetto a un servizio a basso rischio senza dati sensibili.

Dai la priorità ai fornitori che gestiscono dati dei clienti, credenziali, pagamenti, informazioni sui dipendenti, sistemi di produzione o accessi amministrativi.

3. Poni domande sulla sicurezza prima di concedere l’accesso

Prima di concedere l’accesso, è utile fare un passo indietro e valutare se la terza parte sia davvero necessaria, a quali sistemi o dati debba accedere e se tale livello di accesso sia giustificato. In questa fase, molte organizzazioni scoprono di affidarsi a un numero di fornitori, integrazioni e account esterni superiore a quanto ipotizzato.

Una valutazione rapida del fornitore può comunque rivelarsi utile. Chiedi:

  • Cosa succede ai nostri dati se decidiamo di andarcene?
  • Supporti la 2FA?
  • Come proteggi i dati dei clienti?
  • Offri controlli di accesso basati sui ruoli?
  • Consenti i log di controllo o i report sulle attività?
  • Possiedi certificazioni di sicurezza pertinenti o segui standard di sicurezza riconosciuti?
  • In che modo notifichi gli incidenti ai clienti?
  • Come gestisci l’accesso dei dipendenti a livello interno?
  • Supporti l’accesso basato sul principio del minor privilegio?

Cosa può fare la tua azienda per ridurre l’esposizione

Ridurre il rischio della catena di approvvigionamento inizia dal controllo. All’atto pratico, questo significa che la tua azienda ha bisogno di regole chiare su come vengono verificati i fornitori, a cosa possono accedere, come viene monitorata la loro attività e cosa succede se una terza parte viene compromessa.

Verifica le pratiche di sicurezza dei fornitori di terze parti

Prima di concedere a un fornitore l’accesso ai sistemi aziendali o ai dati sensibili, verifica se le sue pratiche di sicurezza corrispondono al livello di rischio. Un fornitore che gestisce record di clienti, dati finanziari o accessi amministrativi dovrebbe soddisfare requisiti più severi rispetto a una semplice app di produttività.

Cerca il supporto alla 2FA, le autorizzazioni basate sui ruoli, i log di controllo, gli impegni di notifica degli incidenti, i controlli sulla conservazione dei dati e processi di offboarding chiari.

Applica il principio del minor privilegio all’accesso di terze parti

Il principio del minor privilegio riduce la portata dei danni qualora l’account di un fornitore venisse compromesso. Ciò significa evitare di concedere autorizzazioni di amministratore quando è sufficiente un accesso in sola lettura, o ampie cartelle condivise quando basterebbe una cartella specifica.

Usa i principi zero trust per i fornitori

Zero trust non significa non fidarsi di alcun fornitore. Significa non presumere che una relazione attendibile debba comportare un accesso illimitato.

Per l’accesso dei fornitori, questo significa verificare l’identità, limitare le autorizzazioni, esaminare regolarmente gli accessi, richiedere la 2FA, monitorare l’attività e trattare ogni connessione come qualcosa che necessita di governance.

Monitora i modelli di accesso insoliti

Gli account collegati ai fornitori dovrebbero essere monitorati per individuare comportamenti insoliti. Presta attenzione a posizioni di login insolite, download imprevisti, nuovi utenti amministratori, modifiche alle autorizzazioni, attività fuori dall’orario di lavoro, nuove integrazioni o accessi a dati che non rientrano nel ruolo del fornitore.

Questi segnali non sempre dimostrano una compromissione, ma possono aiutare il tuo team a intervenire prima che un piccolo problema si trasformi in una violazione più ampia.

Preparati alla compromissione di terze parti

Il tuo piano di risposta agli incidenti dovrebbe includere gli incidenti legati ai fornitori. Se un fornitore segnala una violazione, la tua azienda deve sapere cosa fare. Abbiamo scritto un articolo sulla protezione dalle violazioni dei dati per le aziende, che può aiutarti a strutturare la risposta della tua attività in caso di compromissione di terze parti.

Definisci chi contatta il fornitore, chi esamina l’accesso, chi controlla i log, chi decide se ruotare le credenziali e chi comunica con i clienti o le autorità di regolamentazione se necessario.

Usa credenziali univoche per ogni fornitore e strumento di terze parti

Le credenziali univoche sono uno dei modi più semplici per ridurre il raggio d’azione di un attacco alla supply chain. Se il portale di un fornitore subisce una violazione e un dipendente ha riutilizzato quella password altrove, i malintenzionati potrebbero provare la stessa credenziale per accedere a email, piattaforme SaaS, strumenti finanziari o sistemi dell’amministratore.

Una password univoca per ogni fornitore impedisce il riutilizzo diretto. Inoltre, rende più lineare la risposta agli incidenti. Quando un fornitore viene compromesso, sai quali credenziali richiedono attenzione invece di doverti chiedere dove possa essere stata usata la stessa password.

Proton Pass è un gestore di password aziendale che può aiutare il tuo team a generare password forti e univoche per ogni fornitore e servizio di terze parti, archiviarle in casseforti crittografate, usare il riempimento automatico e condividere l’accesso in modo sicuro. In questo modo è più facile mantenere una buona igiene delle credenziali tra i numerosi servizi esterni su cui fanno affidamento le aziende moderne.

La connessione delle credenziali negli attacchi alla supply chain

Gli attacchi alla supply chain iniziano spesso dai fornitori, ma sono le credenziali a determinare l’ampiezza dell’impatto.

Se l’account di un collaboratore esterno è compromesso ma dispone di un accedere limitato, il danno può essere contenuto. Se lo stesso account ha autorizzazioni estese, credenziali condivise, password riutilizzate o l’accesso a sistemi sensibili, l’attaccante ha molto più spazio di manovra.

Ecco perché la gestione delle password e degli accessi rientra nella gestione del rischio della supply chain. Per ogni fornitore o strumento di terze parti, la tua azienda dovrebbe sapere:

  • Quali credenziali esistono.
  • Chi ha accesso ad esse.
  • Se la password è univoca.
  • Se l’MFA è attivata.
  • Se l’accesso è ancora necessario.
  • Se l’account è condiviso o individuale.
  • Chi è il proprietario dell’account internamente.

Un gestore di password aziendale come Proton Pass aiuta a rispondere più facilmente a queste domande. Invece di avere credenziali sparse in fogli di calcolo, profili del browser, messaggi di chat o note personali, le password dei fornitori possono essere archiviate in un sistema controllato con una condivisione sicura e una proprietà più chiara.

Questo non elimina la necessità di valutare i fornitori o monitorare le attività, ma rafforza uno dei controlli a più alto impatto: garantire che una violazione di terze parti non si trasformi in un problema di riutilizzo delle password all’interno della tua stessa azienda.

Integra la sicurezza di terze parti nelle operazioni quotidiane

Un attacco alla supply chain trasforma la fiducia in una via d’accesso. Un fornitore, un aggiornamento software, un account SaaS, un collaboratore esterno o un’integrazione che normalmente supportano l’attività possono diventare il percorso utilizzato dai malintenzionati per raggiungere dati o sistemi.

Le piccole imprese non possono evitare le terze parti, e non ne hanno bisogno. Gli strumenti SaaS, i fornitori di servizi IT, i collaboratori esterni e i fornitori fanno parte del modo in cui operano le aziende moderne. L’obiettivo è gestire queste relazioni con un controllo sufficiente affinché una singola compromissione non si trasformi in una violazione più ampia.

Inizia dalle basi: mappa i tuoi fornitori, valuta gli accessi, poni domande sulla sicurezza, applica il principio del privilegio minimo, usa i principi di zero trust, monitora le attività insolite e pianifica la risposta alla compromissione di terze parti. Riduci quindi il rischio legato alle credenziali assegnando a ogni fornitore e servizio di terze parti una propria password univoca.

Proton Pass aiuta le aziende a mettere in pratica questo controllo ogni giorno. Quando ogni login dei fornitori ha una propria credenziale univoca, l’accesso condiviso rimane all’interno di casseforti crittografate e i team possono revocare l’accesso nel momento in cui termina una collaborazione, rendendo molto meno probabile che una singola password violata scateni una reazione a catena nei tuoi account aziendali.