L’adozione rapida dell’intelligenza artificiale sta aumentando il peso strategico delle API e, allo stesso tempo, ne amplia il profilo di rischio. È quanto emerge dall’ultima edizione dell’Akamai API Security Impact Survey, ricerca globale condotta su 1.840 professionisti della sicurezza in sei settori e dieci Paesi. Il report è arrivato alla quarta edizione e fotografa una situazione in cui molte aziende accelerano il rilascio di nuove API senza disporre di controlli, test e inventari adeguati. Il dato principale è netto: l’87% degli intervistati dichiara di aver subito almeno un incidente di sicurezza legato alle API nell’ultimo anno, in aumento rispetto al 76% registrato nel 2022. In media, le aziende coinvolte hanno segnalato 3,5 incidenti API negli ultimi dodici mesi, con un costo medio superiore a 700.000 dollari per singolo incidente.
Perché le API sono centrali nell’era dell’intelligenza artificiale
Le API sono l’infrastruttura invisibile che consente ad applicazioni, servizi cloud, piattaforme aziendali, agenti software e modelli di intelligenza artificiale di scambiare dati e comandi. Proprio per questo motivo, quando le imprese introducono soluzioni basate su AI, LLM e automazione, le API diventano spesso il punto di accesso più delicato verso dati interni, sistemi operativi e servizi di terze parti. Nel report Akamai, il 38% dei team di sicurezza indica la protezione delle tecnologie di intelligenza artificiale come prima priorità di cybersecurity per il prossimo anno. Il dato più rilevante riguarda però gli attacchi già osservati: il 42% dei professionisti della sicurezza afferma che le API alla base di applicazioni AI, agenti e Large Language Models sono state colpite da cyberattacchi negli ultimi dodici mesi.
Il punto non riguarda solo il numero di API esposte, ma anche la loro funzione. Un’API collegata a un sistema di IA può gestire prompt, dati aziendali, output generati, autorizzazioni, chiamate verso database, integrazioni SaaS o azioni automatizzate. Se manca un controllo solido su autenticazione, autorizzazioni, rate limit, logging e validazione degli input, l’adozione dell’IA può trasformare un’integrazione utile in una nuova superficie di attacco.
Il problema della visibilità: le aziende non sanno sempre quali API espongono dati sensibili
Uno degli elementi più critici riguarda la mancanza di visibilità. Akamai segnala che solo il 23% delle aziende con inventari API completi sa quali API espongono dati sensibili. Nel 2022 la percentuale era pari al 40%. Questo calo indica che molte organizzazioni riescono forse a censire una parte delle API presenti, ma faticano a collegare ogni endpoint al relativo livello di rischio. Il problema diventa più serio in presenza di applicazioni basate su IA. Un’azienda può avere API ufficiali, API interne, API temporanee create per test, endpoint ereditati da vecchie applicazioni e integrazioni nate per progetti sperimentali. Senza un inventario aggiornato, alcune interfacce possono restare esposte oltre il necessario oppure mantenere permessi eccessivi. In questo scenario, la sicurezza delle API non può essere trattata come un controllo finale prima del rilascio. Deve entrare nel ciclo di vita dello sviluppo, dalla progettazione alla messa in produzione, con test, monitoraggio, policy di accesso e analisi del comportamento anomalo.
I settori più esposti e i costi degli incidenti
Il settore dei servizi finanziari risulta tra i più colpiti: il 96% degli intervistati in questo ambito dichiara di aver subito un attacco legato alle API negli ultimi dodici mesi. Si tratta di un dato coerente con la natura del settore, dove API e integrazioni digitali hanno un ruolo centrale in pagamenti, identità, open banking, servizi mobile e piattaforme di trading.
I costi medi più elevati sono stati registrati nei comparti energia e utility, con 860.000 dollari per incidente, manifatturiero, con 732.000 dollari, e sanità e life sciences, con 725.000 dollari. In questi settori un incidente API può incidere su continuità operativa, sicurezza dei dati, processi industriali, supply chain e obblighi regolatori. Quasi l’80% delle aziende inserisce ormai la sicurezza delle API tra le tre principali priorità di cybersecurity. Tuttavia, poco più della metà delle organizzazioni, il 53%, dispone di personale dedicato alla protezione delle API. Questa distanza tra priorità dichiarata e risorse effettive resta uno dei nodi più delicati.
Il divario tra vertici aziendali e team tecnici
Il report evidenzia anche una differenza di percezione tra management e team operativi. Il 40% dei leader C-level dichiara un livello avanzato di maturità nei test delle API, mentre la stessa valutazione arriva solo dal 28% dei team DevSecOps.
Questa differenza suggerisce un rischio frequente nei programmi di sicurezza: i vertici aziendali possono avere una percezione più ottimistica della postura reale, mentre i team tecnici vedono limiti più concreti nella gestione quotidiana. Nel caso delle API, il divario può nascere da inventari incompleti, processi di test non uniformi, strumenti non integrati tra sviluppo e sicurezza, oppure da una crescita delle integrazioni più rapida rispetto alla governance.
Sean Lyons, Senior Vice President e General Manager Application and Infrastructure Security di Akamai, ha collegato il problema alla crescita della superficie di attacco. Secondo Lyons, le aziende che dipendono in modo significativo dalle API affrontano rischi, impatti finanziari e problemi di visibilità sempre più rilevanti; per questo, nel contesto dell’adozione dell’IA, la sicurezza delle API deve diventare una base tecnica per sistemi affidabili.
Cosa dovrebbero fare le aziende
Dal report emerge una linea operativa chiara: le imprese devono prima di tutto costruire un inventario completo delle API, con particolare attenzione a quelle collegate a applicazioni AI, LLM e agenti software. L’inventario deve indicare non solo l’esistenza degli endpoint, ma anche i dati trattati, le autorizzazioni, gli utenti o sistemi autorizzati, il livello di esposizione e l’eventuale presenza di informazioni sensibili.
Un secondo passaggio riguarda l’inserimento dei controlli nel ciclo di vita delle API. Test di sicurezza, validazione degli input, gestione delle autorizzazioni, monitoraggio dei comportamenti anomali e controlli sul traffico devono essere parte del processo di sviluppo e rilascio, non un’attività successiva.
Il messaggio più rilevante riguarda l’IA: un sistema basato su intelligenza artificiale può essere affidabile solo se le API che lo alimentano sono protette, tracciate e governate. La sicurezza delle API diventa quindi un prerequisito per l’adozione sicura dell’IA, soprattutto quando i modelli accedono a dati aziendali, workflow interni o funzioni operative.
