Akamai amplia le funzionalità dedicate alla sicurezza delle API con il nuovo Security Posture Center e con strumenti avanzati di mappatura code-to-runtime, pensati per collegare l’attività delle API osservata in tempo reale alla proprietà del codice sorgente. L’obiettivo è fornire alle aziende una visione più ordinata del rischio, superare la gestione frammentata degli alert e ridurre i tempi necessari per correggere le vulnerabilità.
L’annuncio, diffuso il 5 maggio 2026, si inserisce in un contesto in cui le API sostengono una parte sempre più ampia dei servizi digitali, delle architetture cloud, delle applicazioni aziendali e dei sistemi basati su intelligenza artificiale. La crescita del numero di endpoint, integrazioni, microservizi e connessioni verso modelli AI aumenta la superficie d’attacco e rende più difficile stabilire quali API siano esposte, quali trattino dati sensibili e quali team siano responsabili della loro manutenzione.
Security Posture Center: dal singolo alert alla misurazione del rischio
Il Security Posture Center nasce per trasformare i risultati tecnici legati alle API in controlli più leggibili per i team di sicurezza e per le funzioni aziendali. Invece di lavorare solo su singole segnalazioni, le organizzazioni possono valutare il proprio livello di conformità rispetto a best practice relative ad aree come autenticazione, protezione dei dati, igiene delle API e integrità degli endpoint.
Questo approccio permette di costruire una sorta di registro strutturato del rischio API, utile per capire quali controlli risultano già applicati, dove restano lacune e quali interventi richiedono priorità. Per molte aziende il punto non è soltanto rilevare un’anomalia, ma capire quanto quella singola evidenza incida sulla postura complessiva di sicurezza.
La questione è rilevante anche alla luce del quadro tracciato da OWASP, che nella classifica API Security Top 10 2023 indica tra i principali rischi problemi come Broken Object Level Authorization, autenticazione errata, autorizzazione impropria a livello di proprietà degli oggetti e gestione incompleta dell’inventario delle API. Si tratta di vulnerabilità che spesso non dipendono da un singolo bug isolato, ma da debolezze nella progettazione, nella documentazione e nel controllo del ciclo di vita delle API.
La mappatura code-to-runtime collega traffico reale e codice sorgente
La seconda novità riguarda la mappatura code-to-runtime. Akamai associa le API rilevate nel traffico reale ai rispettivi repository, ai file di codice e agli ultimi autori delle modifiche. In questo modo, quando emerge un problema, il team di sicurezza può individuare più rapidamente il gruppo o lo sviluppatore responsabile della porzione di codice interessata.
Il vantaggio operativo è chiaro: ridurre il tempo perso nella ricerca manuale della proprietà tecnica di una API. In ambienti complessi, con più team, più repository e applicazioni distribuite, il passaggio dall’alert alla correzione può richiedere molto tempo. La mappatura diretta tra runtime e codice punta a rendere più rapido il lavoro di triage, riproduzione e mitigazione, con un possibile impatto sul Mean Time To Remediation, cioè il tempo medio necessario per correggere un problema.
Akamai aveva già lavorato su integrazioni orientate alla visibilità dal codice al runtime, anche attraverso la collaborazione con Apiiro, con l’obiettivo di associare rischi e vulnerabilità ai repository, alle linee di codice e ai responsabili tecnici. Le nuove funzionalità portano questo approccio dentro una logica più ampia di gestione della postura API.
Perché la sicurezza delle API è sempre più legata all’intelligenza artificiale
La diffusione di applicazioni basate su AI, agenti software e modelli linguistici amplia il ruolo delle API. Gli agenti AI, per esempio, possono effettuare chiamate verso strumenti esterni, database, sistemi interni e servizi di terze parti. Questo crea flussi meno prevedibili rispetto alle applicazioni tradizionali e rende più complesso distinguere un uso legittimo da un abuso.
La pagina prodotto di Akamai API Security cita, tra le funzioni, la capacità di scoprire e classificare API collegate a modelli GenAI, LLM e servizi AI, oltre al rilevamento di integrazioni shadow AI e agenti basati su MCP. Il tema è ormai parte della sicurezza applicativa: le API non rappresentano solo un canale tecnico, ma anche un punto di controllo per governance, accessi, dati sensibili e comportamento dei sistemi automatizzati.
Secondo un’analisi pubblicata da Zuplo sui dati dell’Akamai API Security Impact Survey 2026, l’87% delle organizzazioni considerate avrebbe subito almeno un incidente di sicurezza API nell’ultimo anno, con un costo medio superiore a 700.000 dollari per incidente. La stessa analisi segnala anche un problema di visibilità: solo il 23% delle imprese dichiarerebbe di avere inventari completi delle API con indicazione dei dati sensibili esposti.
Il ruolo dei team DevSecOps
Le nuove funzionalità puntano anche a ridurre la distanza tra security team e sviluppatori. In molti contesti aziendali, la sicurezza delle API produce alert tecnici che devono poi essere tradotti in attività concrete per chi gestisce il codice. Senza contesto sul repository, sul file coinvolto e sulla proprietà del componente, la mitigazione rischia di restare lenta o frammentata.
Il collegamento tra traffico runtime, codice e controlli di postura può aiutare i team DevSecOps a intervenire con più precisione. Una API priva di adeguata autenticazione, un endpoint che espone dati sensibili o una configurazione non allineata alle policy interne possono essere ricondotti più rapidamente alla parte di codice da correggere.
Oz Golan, Vice President API Security di Akamai, ha spiegato che la sicurezza delle API è stata storicamente basata su risultati frammentati, con difficoltà nel misurare la reale postura di sicurezza. Il nuovo Security Posture Center definisce cosa significa “sicuro” attraverso controlli basati su policy, mentre la mappatura diretta tra API e codice mira a colmare una lacuna operativa rilevante per il settore.
Una risposta alla proliferazione delle API
La proliferazione delle API resta uno dei principali problemi per le aziende. Endpoint non documentati, API obsolete, servizi interni esposti in modo improprio e integrazioni create fuori dai processi ufficiali possono diventare punti deboli difficili da individuare. Il problema aumenta nelle architetture multi-cloud, ibride e distribuite, dove il traffico può attraversare gateway, CDN, ambienti SaaS e sistemi legacy.
Akamai posiziona il Security Posture Center e la mappatura code-to-runtime come strumenti per riportare ordine in questo scenario. La logica è quella di un ciclo continuo: scoprire le API, valutarne la postura, proteggere il runtime, collegare i problemi al codice e dimostrare l’allineamento ai controlli richiesti.
Per le imprese, il punto operativo sarà capire se questi strumenti riusciranno a integrarsi nei flussi già esistenti, dai sistemi SIEM/SOAR agli strumenti di ticketing, dai repository Git alle pipeline CI/CD. La sicurezza delle API, infatti, diventa efficace solo se entra nei processi quotidiani di sviluppo e gestione applicativa, senza restare una dashboard separata dal lavoro dei team tecnici.
