©2026 Akamai Technologies
Promuovere un'innovazione sicura nel digital banking
Commerzbank, una delle maggiori istituzioni finanziarie europee con una forte presenza internazionale, offre valore ai clienti tramite innovativi servizi digitali basati sulle API. Fin dall'inizio, la banca ha sottolineato la creazione di soluzioni altamente riutilizzabili, a partire dalle operazioni CRUD (Create, Read, Update, Delete). Questo approccio ha creato le basi per raggiungere un eccezionale livello di scalabilità ed estendibilità, rendendo più facile l'integrazione delle API interne ed esterne nell'ecosistema della banca nel tempo.
Ma in un'epoca accelerata dall'intelligenza artificiale, Commerzbank ha riconosciuto che le tradizionali funzionalità di sicurezza in fase di progettazione non erano sufficienti per mantenere la fiducia dei clienti e soddisfare le crescenti aspettative di un accesso sicuro e agevole. La banca ha implementato un'ampia gamma di solidi meccanismi, tra cui l'adesione ai principi dell'OWASP, interfacce chiare e intuitive, policy rigorose, token di sicurezza e test di penetrazione regolari. Nonostante la crescita delle minacce e della complessità, Commerzbank aveva bisogno di una soluzione in grado di adattarsi in tempo reale.
A tal fine, la banca ha collaborato con Akamai e Deloitte per implementare un livello di sicurezza delle API dedicato tale da rafforzare e ampliare la sua piattaforma di gestione delle API esistente. L'iniziativa ha aiutato la banca a rilevare anomalie, scoprire le API ombra non gestite e rafforzare la governance tra i vari reparti, mantenendo, al contempo, caratteristiche di agilità, conformità e scalabilità sicura man mano che il suo ecosistema delle API si espande.
Espansione della visibilità oltre il gateway API
Commerzbank elabora oltre 6 miliardi di chiamate API ogni mese, supportando un vasto ecosistema digitale di clienti, partner e applicazioni interne. Dal 2017, si è affidata alla soluzione Axway Amplify API Management Platform per la gestione delle API interne e presenti su Internet. Tuttavia, con l'aumento delle minacce sempre più sofisticate, Volker Sulzbach, Principal Software Engineer e Solutions Architect, ha riconosciuto l'esigenza di migliorare la difesa delle API.
"La nostra piattaforma di gestione delle API va bene", ha affermato Sulzbach, "però eravamo alla ricerca di un modo per identificare comportamenti anomali delle API e potenziali attacchi prima che causassero problemi".
Mentre il SOC della banca gestiva un più ampio sistema di protezione della rete come i firewall, il team di Sulzbach voleva raggiungere una supervisione diretta di tutte le API aziendali per rilevare tempestivamente eventuali anomalie e API ombra senza rallentare l'innovazione.
Presentazione di Akamai API Security
Dopo aver valutato più fornitori, Commerzbank ha scelto la soluzione Akamai API Security, che rileva, classifica e protegge continuamente le API in tutti gli ambienti. "Il rilevamento delle anomalie era la nostra priorità principale", ha affermato Sulzbach.
"Avevamo bisogno di una valutazione basata sui comportamenti, non solo di un'ispezione per singola chiamata, e Akamai ci consente di fare tutto ciò", ha continuato. Utilizzando il rilevamento delle anomalie basato sull'apprendimento automatico, API Security identifica comportamenti anomali delle API, potenziali usi impropri e API ombra, fornendo piena visibilità sia sugli endpoint gestiti che su quelli non gestiti.
"Siamo rimasti favorevolmente colpiti dal fatto che API Security contribuisca ad identificare le API non autorizzate e ad integrare le funzionalità di sicurezza durante la fase di sviluppo", ha spiegato Sulzbach.
Scalabilità della protezione per migliaia di API
La prima fase di implementazione è iniziata con il gateway sandbox di Commerzbank, utilizzato per simulare e testare le API prima della loro implementazione. Una volta verificata la precisione e la reattività di API Security, il team ha inizialmente protetto circa 25 API in fase di produzione.
"Innanzitutto, desideriamo definire le regole, ridurre il numero di falsi positivi e garantire che i nostri team possano agire in base agli avvisi. Nella fase successiva, ci occuperemo di ampliare l'uso di API Security", spiega Sulzbach.
Tale espansione consentirà di proteggere migliaia di API e di endpoint, fornendo un livello costante di visibilità e sicurezza sia sul traffico interno che su quello esterno.
Integrazione degli obiettivi di governance e conformità
Oltre alla sicurezza, la soluzione ha migliorato la strategia di governance delle API di Commerzbank. La banca applica rigorosi standard di denominazione e formattazione per le API per garantire coerenza e trasparenza. Tuttavia, alcuni proprietari di API, in precedenza, avevano ignorato le regole, come quella di evitare abbreviazioni e termini tedeschi, per accelerare il loro rilascio.
Con la soluzione API Security, questo problema non accade più. "Ora conosciamo tutte le nostre API aziendali, quindi possiamo assicurarci che rispettino le nostre regole di governance", ha affermato Sulzbach. "Questa visibilità ci consente di sfruttare al meglio le funzionalità di gestione e ci aiuta a dimostrare alle autorità di regolamentazione, compresa la Banca centrale europea, che stiamo proteggendo le nostre API in modo proattivo".
On-premise con la flessibilità delle soluzioni SaaS
Sebbene Akamai offra API Securitycome soluzione SaaS, Commerzbank ha scelto di iniziare con un'implementazione on-premise per un maggiore controllo e un processo di onboarding più rapido. Questo approccio graduale consente al team di acquisire fiducia, perfezionare le policy e, infine, integrarsi con i workflow cloud-native man mano che migliora il sistema di sicurezza.
"Non si trattava di rifiutare il cloud. Volevamo iniziare rapidamente, verificare la soluzione e mantenere internamente i nostri dati di sicurezza, ottenendo, al contempo, tutti i vantaggi derivanti dal rilevamento", ha spiegato Sulzbach.
Collaborare con Deloitte per una rapida implementazione
Per semplificare le operazioni di implementazione e configurazione, Commerzbank ha collaborato con Deloitte, che ha fornito un supporto tecnico e strategico. Questa partnership ha contribuito ad accelerare la configurazione, ottimizzare le regole e preparare il team interno della banca per gestire la piattaforma nel lungo termine.
"Deloitte conosce in modo approfondito il nostro ambiente e la tecnologia di Akamai, quindi ci ha fornito indicazioni chiare e competenze che hanno semplificato l'implementazione", ha affermato Sulzbach.
Una protezione continua delle API su scala globale
Adottando Akamai API Security, Commerzbank si è collocata in un'ottima posizione per ridurre i rischi, rafforzare la conformità e innovarsi in modo sicuro in un ecosistema finanziario sempre più connesso. La roadmap della banca include l'integrazione di API Security in tutte le API aziendali, offrendo una protezione continua dalla progettazione al runtime. In ultima analisi, la soluzione avvisa i proprietari delle API di un potenziale uso improprio, consente ai team di correggere tempestivamente le vulnerabilità e, persino, blocca automaticamente le minacce.
"Vogliamo proteggere il nostro vasto panorama delle API nel miglior modo possibile. API Security ci consente di fare proprio questo catalogando, esaminando e proteggendo tutte le API critiche per la nostra azienda", ha concluso Sulzbach.
Informazioni su Commerzbank
Con i suoi due segmenti aziendali (clienti corporate e piccole imprese/privati), Commerzbank, in qualità di banca full-service, offre una gamma completa di servizi finanziari. Si tratta della principale banca per i clienti corporate e per le piccole e medie imprese in Germania ed è un partner solido per circa 24.000 gruppi di clienti aziendali. Con un patrimonio gestito di oltre 400 miliardi di euro, Commerzbank è anche una delle principali banche tedesche per le piccole imprese e i privati. Commerzbank offre un'ampia gamma di prodotti e servizi con un approccio omnicanale: online e mobile, tramite telefono o video nel centro di consulenza remoto e di persona nelle sue 400 filiali.
Informazioni su Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, l'innovativa intelligence sulle minacce e il team presente su scala globale forniscono una difesa approfondita in grado di proteggere applicazioni e dati critici ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere le loro attività senza rischi. Per ulteriori informazioni, visitate il sito akamai.com/it o akamai.com/it/blog e seguite Akamai Technologies su X e LinkedIn.