Sei uno sviluppatore? Hai un’azienda informatica che si occupa di sviluppo software? O magari sei un consulente privacy. Ecco, se rientri in una delle categorie appena elencate, sei sicuramente una delle poche persone ad aver sentito nominare l’acronimo OWASP.
Ma andiamo con ordine.
Cos’è l’OWASP?
L’Open Web Application Security Project è un progetto open-source nato nel 2001 con lo scopo di diffondere la cultura della qualità del codice nelle fasi di sviluppo di un software. Negli anni, la community OWASP ha prodotto articoli, metodologie, documenti e tool per supportare gli sviluppatori nella realizzazione di software e applicazioni sicure.
I quattro controlli principali su cui si basa il metodo OWASP sono:
- La scansione automatica delle vulnerabilità;
- Il penetration testing di un applicativo;
- L’analisi statica del codice;
- La revisione manuale del codice.
I controlli OWASP sul codice sono annoverati tra le best practice riconosciute a livello internazionale nell’ambito della prevenzione di vulnerabilità di sicurezza e, se applicati correttamente, possono ridurre di molto il rischio di data breach (violazioni dei dati) causati da eventuali incidenti informatici favoriti dalla scarsa qualità del codice di software e applicazioni.
L’adozione dei controlli OWASP però, oltre a essere considerata una best practice facoltativa, in alcuni contesti sta progressivamente diventando un requisito obbligatorio. L’entrata in vigore del GDPR ha accelerato questo processo.
Nel corso dell’ultimo biennio 2023-2025, OWASP ha consolidato ulteriormente la sua fama grazie alla crescente diffusione dei cloud, dell’AI generativa e dell’applicazione web sempre più evolute, con un focus specifico su standard come “OWASP Top 10 2025” aggiornato proprio quest’anno per includere minacce emergenti quali vulnerabilità legate all’AI e agli attacchi supply chain sulle librerie open-source.
Ma quali sono i rapporti tra OWASP e GDPR?
Il GDPR, Regolamento UE 2016/679 relativo alla privacy e alla protezione dei dati personali, fra i vari adempimenti, richiede alle aziende di:
- Adottare i principi di “Privacy by Design” e “Privacy by Default”. In pratica, non si dovrebbe “lanciare” un nuovo prodotto o un nuovo servizio se non conformi al GDPR fin dalla fase di progettazione, ad oggi è ormai consolidata la prassi secondo cui ogni nuova applicazione o servizio digitale deve incorporare, fin dalle fasi iniziali di ideazione e progettazione, i criteri di conformità al GDPR;
- Adottare le adeguate misure di sicurezza al fine di prevenire il rischio di violazione dei dati.
Per questo motivo, sempre più organizzazioni che esternalizzano la realizzazione di software o affidano a terzi trattamenti informatici di dati personali, richiedono ai loro fornitori o Responsabili del trattamento di adottare e documentare l’adozione dei controlli OWASP sul codice.
Inoltre, negli ultimi anni le autorità di controllo europee per la protezione dei dati (come l’Autorità Garante Privacy in Italia) e l’Agenzia per l’Italia Digitale (AGID) hanno sempre più spesso indicato OWASP Top 10 come esempio e riferimento di una buona prassi tecnica raccomandata, pur non rendendola mai formalmente obbligatoria o vincolante[1]. Le Linee Guida ENISA e quelle dell’EDPB (European Data Protection Board) indicano in linea generale l’opportunità di adottare standard codificati ed universalmente riconosciuti—tra questi risulta implicitamente compresa anche la OWASP Top 10.. Le autorità europee per la protezione dei dati hanno progressivamente inasprito i controlli e reso esplicite linee guida che richiedono espressamente ai fornitori di applicazioni web e cloud l’adozione documentata di metodologie OWASP aggiornate al 2025.
In Italia, anche l’Agenzia per l’Italia Digitale (AGID), nel 2025, prevede requisiti sempre più rigidi per qualificare piattaforme in modalità SaaS e Cloud Service Provider (CSP) per la Pubblica Amministrazione. Tra questi requisiti figura, in maniera esplicita e tassativa, un’attestazione certificata dell’esecuzione dei controlli OWASP aggiornati, come garanzia obbligatoria per ridurre i rischi di sicurezza nelle piattaforme utilizzate dalle pubbliche amministrazioni.
Quindi, se stai leggendo questo approfondimento nel 2025, probabilmente lo fai perché stai affrontando richieste esplicite da parte di clienti privati o enti pubblici che ti chiedono la conformità agli standard OWASP aggiornati.
Controlli OWASP sul codice, rivolgiti ad Argo
Argo può supportare la tua azienda nell’applicazione delle best practice OWASP, utilizzando appositi tool e producendo la documentazione che attesta il superamento dei test.
Scrivici una mail, trasmettici una richiesta tramite il nostro form dei contatti o telefonaci. Il superamento dei test OWASP renderà il tuo codice più sicuro e la tua azienda sarà percepita come affidabile da clienti e pubblica amministrazione.
[1] https://www.agid.gov.it/it/infrastrutture/cloud-pa/qualificazione-servizi-cloud/modello-cloud-pa