Il cloud è ormai fondamentale per le aziende moderne, ma molte organizzazioni faticano ancora a sviluppare le competenze necessarie per proteggerlo efficacemente.

Inoltre, la diversità dei controlli tra i vari provider e l’approccio specifico richiesto dalla sicurezza cloud continua a mettere alla prova i team di sicurezza.

Il recente Thales Cloud Security Study conferma una verità scomoda: mentre le organizzazioni danno priorità agli investimenti nella sicurezza del cloud, la crescente complessità, l’aumento della pressione legata all’intelligenza artificiale e l’ampliamento delle lacune nella protezione dei dati le stanno mettendo a rischio.

E, con un aumento dei dati, delle applicazioni e dei carichi di lavoro che si spostano sul cloud, la posta in gioco non è mai stata così alta. Pertanto, la maggior parte delle organizzazioni necessita di progressi significativi nella protezione dei dati cloud, una sfida amplificata dall’avvento dell’intelligenza artificiale.

2025 Thales Cloud Security Study: a che punto siamo

Thales Cloud Security Study è scaturito dalle interviste di circa 3.200 professionisti in 20 paesi e fornisce una visione completa delle sfide, delle priorità e dei progressi delle organizzazioni che gestiscono la sicurezza del cloud.

Fonte immagine: 2025 Thales Cloud Security Study.

Il studio conferma che, mentre le organizzazioni danno priorità agli investimenti nella sicurezza del cloud, la crescente complessità, le sfide nella protezione delle proprie risorse cloud, un problema ulteriormente amplificato dalle esigenze dei progetti di intelligenza artificiale che spesso operano nel cloud e richiedono l’accesso a grandi volumi di dati sensibili.

Ad aggravare questo problema, quattro delle prime cinque risorse prese di mira negli attacchi segnalati sono basate sul cloud. Ne consegue che il rafforzamento della sicurezza del cloud e la semplificazione delle operazioni sono passaggi essenziali per migliorare l’efficacia e la resilienza complessive della sicurezza.

Lo studio rivela altresì, altresì, che la sicurezza del cloud rimane l’area di preoccupazione più urgente, evidenziando le difficoltà che le organizzazioni devono affrontare. Queste sfide riguardano non solo la protezione degli ambienti cloud ma anche il mantenimento della forza lavoro qualificata necessaria per gestirli in modo efficace.

Di fatto, quasi due terzi degli intervistati (64%) hanno identificato la sicurezza del cloud come una delle prime cinque discipline di sicurezza più urgenti, con il 17% che la classifica come la disciplina n. 1.

È interessante notare che la sicurezza del cloud è in cima alla lista delle sfide di sicurezza, anno dopo anno, nonostante i notevoli investimenti, a conferma della complessità e la persistenza del problema. Non si tratta solo di una sfida tecnica, ma di una sfida articolata che coinvolge le operazioni, il personale e l’evoluzione delle minacce.

Fonte immagini: 2025 Thales Cloud Security Study.

La sicurezza del cloud continua a rappresentare una voce di spesa prioritaria per le aziende, alimentata dall’evoluzione costante dei servizi cloud e dall’integrazione di nuove tecnologie. Inoltre, tale investimento continuo consente alle organizzazioni di colmare il divario nelle competenze e di supportare la migrazione progressiva verso ambienti cloud.

Lo studio di Thales rivela che un elemento di novità quest’anno è rappresentato dalla sicurezza per l’intelligenza artificiale, che si è posizionata al secondo posto tra le priorità di spesa, riflettendo l’urgenza di proteggere le implementazioni AI.

Tuttavia, emerge una criticità significativa: oltre la metà degli intervistati (52%) segnala che gli investimenti nella sicurezza AI stanno attingendo ai budget già destinati alla sicurezza esistente.

Pertanto, considerando che gran parte delle applicazioni di intelligenza artificiale operano in ambienti cloud, tale dinamica rischia di impattare negativamente proprio sugli investimenti per la sicurezza del cloud, sollevando questioni importanti sull’allineamento strategico e sull’efficace distribuzione delle risorse disponibili.

Fonte immagine: 2025 Thales Cloud Security Study.

La complessità è nemica della sicurezza del cloud

La sicurezza del cloud continua ad attirare un’attenzione e investimenti significativi, in gran parte a causa della complessità degli ambienti cloud odierni. Da quanto si evince dal report di Thales la maggior parte delle aziende utilizza più sedi IT e più provider di cloud, rendendo l’infrastruttura sempre più ibrida e multicloud.

Inoltre, il numero medio di fornitori di cloud pubblico è leggermente aumentato a 2,1, rispetto al 2024, poiché la maggior parte delle organizzazioni gestisce almeno due piattaforme cloud oltre ai propri sistemi on-premise.

Questa crescente complessità è un fattore chiave delle crescenti sfide per la sicurezza del cloud. Infatti, il 55% degli intervistati ha affermato che la protezione degli ambienti cloud è più complessa della protezione dell’infrastruttura on-premise, segnando un aumento di 4 punti percentuali rispetto allo scorso anno.

Fonte immagine: 2025 Thales Cloud Security Study.

Ancora, il fatto di avere più fornitori di IaaS significa che i team di sicurezza devono essere esperti nel tradurre i controlli tra le piattaforme. Come illustra il grafico seguente, l’adozione è in crescita in quasi tutti i fornitori.

Strumenti di sicurezza mettono a rischio il cloud

La proliferazione di strumenti di sicurezza sta complicando significativamente la gestione della sicurezza cloud. I dati dello studio di Thales evidenziano una frammentazione preoccupante: il 61% delle aziende utilizza cinque o più strumenti per l’individuazione, il monitoraggio o la classificazione dei dati, mentre il 57% impiega almeno cinque gestori di chiavi aziendali per la crittografia.

È doveroso evidenziare che tale moltiplicazione di soluzioni incrementa notevolmente il rischio di configurazioni errate ed errori operativi.

Inoltre, il problema si amplifica quando si lavora con più fornitori cloud: ciascuno tende ad avere il proprio sistema nativo di gestione delle chiavi, che difficilmente si estende ad altri ambienti cloud e si integra con i sistemi locali.

Ancora, considerando che un’azienda media si affida a più di due fornitori cloud, si creano inevitabilmente “isole di gestione” che complicano l’intero ciclo di vita della crittografia.

La soluzione suggerita dallo studio è l’adozione di una piattaforma comune e unificata per la gestione delle chiavi, integrata nell’intero portafoglio infrastrutturale ed estendibile a nuovi fornitori cloud, dato che tale approccio centralizzato può semplificare le operazioni e rafforzare efficacemente la protezione dei dati.

Il cloud nel centro del mirino degli attacchi cyber

L’infrastruttura cloud è diventata il bersaglio preferito dei cybercriminali. Lo studio rivela che quattro dei primi cinque obiettivi di attacco sono basati sul cloud, attirando gli aggressori verso ambienti dove i dati sono maggiormente concentrati e dove la superficie di attacco risulta spesso più ampia.

Particolarmente significativo è il cambiamento nelle tipologie di attacco: mentre il 54% degli intervistati ha registrato un aumento degli attacchi diretti all’infrastruttura, ben il 68% segnala una crescita degli attacchi basati sull’accesso che sfruttano credenziali e dati sensibili rubati. Un trend che rappresenta un rischio critico quando i controlli di accesso costituiscono l’unica linea di difesa dei dati.

Secondo il report, solo l’8% degli intervistati crittografa l’80% o più dei propri dati cloud, anche se l’85% afferma che almeno il 40% dei propri dati cloud è sensibile. Si tratta di una netta disconnessione che rappresenta, nelle parole di Thales, “un rischio gestibile che le organizzazioni dovrebbero affrontare con urgenza”.

Ancora, nonostante le organizzazioni stiano crittografando una percentuale crescente di dati sensibili, i livelli di protezione rimangono inadeguati. Ne consegue che, con la prevalenza degli attacchi basati sull’autenticazione, la crittografia diventa essenziale per contrastare gli aggressori che riescono a violare le protezioni di accesso; tuttavia, la sua adozione resta ancora molto al di sotto dei livelli necessari.

Fonte immagine: 2025 Thales Cloud Security Study.

Inoltre, anche le protezioni dell’accesso devono essere migliorate: sebbene l’uso di autenticazioni più sofisticate sia in crescita, solo il 65% ha riferito che l’autenticazione a più fattori (MFA) è in atto per difendere l’accesso al cloud. Ancora, la combinazione di autenticazione debole e dati sensibili non crittografati rappresenta un rischio critico per le aziende.

I dati mostrano progressi incoraggianti nell’approccio alla gestione delle chiavi di crittografia. La strategia BYOK (Bring Your Own Key) è cresciuta al 28% rispetto al 25% dell’anno precedente, diventando l’approccio più comune, oltre a testimoniare una maggiore consapevolezza sulla necessità di mantenere il controllo delle proprie chiavi.

Tuttavia, persiste una criticità significativa: il 48% delle organizzazioni gestisce ancora le chiavi di crittografia direttamente tramite le console dei fornitori cloud.

Questo approccio frammentato incrementa notevolmente la complessità operativa, specialmente in ambienti multicloud dove ciascun fornitore richiede una gestione separata.

Pertanto, diventa necessario adottare un sistema di gestione delle chiavi unificato, che permetta di centralizzare il controllo, ridurre il carico operativo e semplificare la governance della crittografia attraverso tutti gli ambienti cloud utilizzati dall’organizzazione.

Fonte immagine: 2025 Thales Cloud Security Study.

Sovranità digitale in un mondo ibrido

L’espansione dell’utilizzo del cloud ha trasformato quello che era un vantaggio – i.e. l’indipendenza dalla posizione geografica dei dati – in una fonte di preoccupazione legata alla sovranità dei dati.

Di fatto, le capacità di gestione efficace dei dati emergono come elemento fondamentale per affrontare i requisiti di sovranità digitale. Inoltre, le protezioni basate sulla crittografia sono considerate dal 42% degli intervistati un mezzo efficace per mitigare i problemi di localizzazione dei dati.

Lo studio rivela un dato particolarmente interessante sulle priorità organizzative: il principale fattore che guida gli sforzi di sovranità dei dati è garantire la portabilità dei dati e dei carichi di lavoro, indicato dal 33% degli intervistati.

Tale obiettivo supera significativamente la necessità di conformarsi ai mandati normativi locali (16%) o globali (21%). Una tendenza che evidenzia come le organizzazioni stiano ponendo una forte attenzione sulla flessibilità e sulla capacità di spostare i propri dati e workload tra diversi ambienti cloud, piuttosto che limitarsi alla semplice compliance normativa.

Human in the Loop: tra controllo e vulnerabilità nella sicurezza cloud

L’intelligenza artificiale sta crescendo rapidamente, ma persiste la necessità di mantenere la supervisione umana per validare le decisioni dell’IA. Paradossalmente, proprio la fallibilità umana rappresenta un punto critico nella sicurezza, creando una contraddizione evidente nei dati dell’indagine.

Emerge, infatti, una discrepanza significativa: mentre gli aggressori esterni rappresentano la preoccupazione principale, l’errore umano rimane la causa effettiva più comune delle violazioni, posizionandosi al terzo posto tra i problemi di attacco segnalati.

Una situazione che riflette un disallineamento nelle priorità di protezione adottate dalle organizzazioni, aggravato dal divario di competenze e dalla crescente complessità delle operazioni di sicurezza cloud.

Il problema si intensifica considerando che il 68% degli intervistati segnala gli attacchi basati su credenziali e dati sensibili rubati, come la tattica in più rapida crescita. È ben noto che la compromissione dell’identità di un utente può consentire l’accesso diretto a dati non protetti.

Sul fronte delle contromisure, l’autenticazione multi-fattore (MFA – Multi Factor Authentication) rimane il meccanismo più diffuso con il 65% di adozione, ma non viene applicata universalmente. Inoltre, lo studio rivela che emergono tecniche innovative – quali, l’autenticazione resistente al phishing, la biometria e gli approcci senza password – che mostrano livelli di adozione notevoli.

Tuttavia, la gestione degli accessi privilegiati (PAM – Privileged Access Management) – tecnologia particolarmente efficace negli ambienti cloud – registra ancora un’adozione relativamente bassa (38%).

Di fatto, da quanto si evince dallo studio, la chiave per ridurre gli errori risiede nel consolidamento e nell’integrazione delle operazioni di sicurezza, semplificando così i processi.

Sicurezza AppSec e DevOps e cloud

I progressi più recenti nello sviluppo applicativo e architetturale si concentrano nell’infrastruttura cloud. Di fatto, l’adozione di metodi nativi cloud e dell’infrastruttura come codice accelera significativamente il rilascio di nuove applicazioni, ma richiede parallelamente l’implementazione di nuove misure di sicurezza adeguate alla velocità e al contesto operativo.

Pertanto, la protezione delle API emerge come priorità assoluta, dato che l’automazione delle operazioni cloud si basa massicciamente su di esse: oltre un terzo delle organizzazioni ne utilizza 500 o più. Inoltre, i servizi maturi di intelligenza artificiale operano tipicamente attraverso API, rendendo la loro sicurezza fondamentale per le iniziative AI.

Lo studio di Thales rivela, altresì, che le vulnerabilità del codice rappresentano la preoccupazione principale al 59%, seguite dai problemi della supply chain software al 48%, mentre gli attacchi alle API si posizionano al 38%.

Tuttavia, questa apparente minore preoccupazione per le API potrebbe essere ingannevole: le API stesse sono vulnerabili a difetti del codice e possono trasformarsi in vettori di accesso per compromissioni della catena di approvvigionamento a monte, rendendo la loro sicurezza un elemento critico e trasversale nell’intero ecosistema applicativo cloud.

Fonte immagine: 2025 Thales Cloud Security Study.

È interessante notare che la gestione dei dati sensibili emerge come la principale sfida per la sicurezza nello sviluppo applicativo. Una preoccupazione giustificata dal fatto che i dati sensibili sottratti costituiscono il principale vettore di attacco all’infrastruttura cloud.

Ne consegue che la gestione efficace di credenziali e segreti risulta fondamentale negli ambienti cloud, anche se presenta complessità significative: i team di sviluppo faticano a padroneggiare le competenze necessarie per un’implementazione corretta, mentre i team di sicurezza incontrano difficoltà nel valutare la resilienza degli ambienti applicativi.

Lo studio rivela un dato particolarmente preoccupante: solo il 16% degli intervistati identifica gli strumenti DevSecOps per la gestione delle chiavi segrete tra le tre tecnologie più efficaci per la protezione dei dati.

Questa scarsa adozione – combinata con il limitato grado di crittografia applicato ai dati sensibili nel cloud – rappresenta un pericolo significativo dato che i cyber criminali, compromettendo le credenziali, possono accedere direttamente a dati non crittografati.

La protezione efficace delle applicazioni cloud richiede, quindi, un approccio integrato che vada oltre la semplice localizzazione dei dati. È essenziale poter classificare e proteggere i dati in modo efficace, garantendo che la gestione dei dati, la classificazione, la crittografia e la protezione degli accessi funzionino in modo orchestrato e senza soluzione di continuità.

Fonte immagine: 2025 Thales Cloud Security Study.

Conclusione

Il cloud è diventato un pilastro fondamentale dell’infrastruttura aziendale moderna e la sua sicurezza rappresenta un fattore critico per competitività e fiducia dei clienti.

Lo studio di Thales evidenzia che, nonostante i progressi nella crittografia, una parte significativa di dati sensibili rimane non protetta nel cloud.

La soluzione risiede nella semplificazione e integrazione degli strumenti di sicurezza attraverso piattaforme comuni che unifichino ambienti on-premise e cloud, riducendo il carico operativo e abilitando l’innovazione.

Tale approccio è cruciale nell’era dell’intelligenza artificiale, che sta ridefinendo budget, infrastrutture e disponibilità dei dati.

Si tratta, di fatto, di migliorare la produttività dei team di sicurezza per ridurre l’errore umano, principale causa delle violazioni. È doveroso evidenziare che un ambiente unificato libera risorse per iniziative strategiche, sbloccando opportunità di business e permettendo di sfruttare le tecnologie emergenti.

Pertanto, la sicurezza del cloud è oggi abilitazione all’innovazione, non solo difesa.

Le organizzazioni devono concentrarsi su automazione negli ambienti ibridi, strategie consolidate di crittografia e gestione delle chiavi, protezione rafforzata di identità e accessi (soprattutto per AI e API), e piattaforme adattive. I dati sono al centro della trasformazione digitale e la loro protezione – ovunque si trovino – deve rimanere la priorità assoluta.