- Le organizzazioni che operano nel settore del commercio devono affrontare frequenti incidenti relativi alle API, soprattutto gli attacchi legati al controllo degli accessi e all'AI. I responsabili che operano nel settore del commercio riferiscono che sfruttare la mancanza o l'inadeguatezza dei controlli degli accessi è stato il tipo di incidente più comune affrontato lo scorso anno, seguito da attacchi che coinvolgono le API collegate alle tecnologie basate sull'intelligenza artificiale.
- La mancanza di visibilità sui flussi di dati sensibili dei clienti e dei pagamenti rimane una lacuna critica. Anche se molte organizzazioni che operano nel settore del commercio affermano di disporre di un inventario completo delle API, un numero esiguo di esse sa quali di queste API restituiscono dati sensibili.
- I responsabili del settore del commercio privilegiano la sicurezza dell'intelligenza artificiale, che, tuttavia, i test sulla maturità dei sistemi e la protezione del runtime non sono più in grado di garantire. Proteggere le tecnologie basate sull'intelligenza artificiale dagli attacchi è considerata la principale priorità della cybersecurity per il 41% delle organizzazioni che operano nel settore del commercio.
Concetti chiave
Domande frequenti (FAQ)
Domande frequenti (FAQ)
Secondo il sondaggio del 2026, l'85% delle organizzazioni del settore del commercio ha segnalato almeno un incidente di sicurezza correlato alle API negli ultimi 12 mesi.
Il tipo di incidente più comune sfrutta la mancanza o l'inadeguatezza dei controlli degli accessi, seguito dagli attacchi sferrati contro le API collegate alle tecnologie basate sull'intelligenza artificiale.
I criminali possono utilizzare suggerimenti manipolati per indurre gli assistenti agli acquisti basati sull'intelligenza artificiale ad inviare richieste alle API sottostanti che non sono protette, esponendo così i dati sensibili dei clienti o le informazioni relative ai pagamenti.
La visibilità è pericolosamente bassa, in quanto solo il 22% circa delle organizzazioni che operano nel settore del commercio è in grado di monitorare quali API nel proprio inventario restituiscono effettivamente dati sensibili sui clienti o sui pagamenti.
Lo studio ha rilevato che i dirigenti, spesso, sovrastimano la disponibilità della propria organizzazione, segnalando livelli di maturità e integrazione superiori del 2%-12% rispetto ai professionisti dei team DevSecOps e AppSec che lavorano quotidianamente con le API.
Anche se il 92% delle aziende afferma di considerare le API nei loro processi di conformità, solo il 36% di esse le include nella creazione di rapporti formali sulla conformità, creando un divario tra intenzioni e azioni pratiche a livello di normative.
I team dovranno concentrarsi sull'implementazione di funzioni automatizzate per l'individuazione continua di tutte le API, passando da test sulla sicurezza funzionali a test rigorosi durante tutto il ciclo di vita dello sviluppo e aggiungendo una protezione dedicata per il runtime comportamentale.