Le attività di compliance, soprattutto negli ambiti dove i dati sensibili transitano attraverso API ad alta esposizione, stanno vivendo una fase di trasformazione profonda. La normativa sta evolvendo rapidamente, diventando (troppo) spesso più complessa e caratterizzata da requisiti sempre più specifici e diversificati tra le varie regioni geografiche e autorità di controllo. Questo rappresenta una sfida da non sottovalutare non soltanto nella gestione della sicurezza, ma anche nella capacità di dimostrare la conformità in modo continuo e affidabile. Le API, da tempo al centro dell’innovazione digitale, amplificano questa difficoltà: sono numerose, distribuite, a volte poco documentate e rappresentano una superficie di attacco in rapida espansione.
Secondo Akamai, molti programmi di conformità non sono progettati per tenere il passo con l’evoluzione delle minacce che colpiscono le API, né con il ritmo con cui queste vengono create e messe in produzione. Inoltre, la stessa Akamai sottolinea che, secondo un loro report dedicato al tema, il 78% delle organizzazioni ha subito un incidente di sicurezza legato alle API in un solo anno, mentre il 44% ha ricevuto sanzioni dagli enti regolatori per carenze nella protezione di questi asset critici.
Questi dati evidenziano che oggi la conformità non può più essere gestita in maniera reattiva. Servono processi continui, strumenti specializzati e capacità di garantire controlli di sicurezza che vadano oltre quelli tipicamente destinati alle applicazioni web tradizionali.
API sempre più potenti, connesse e sotto attacco
Del resto, le API oggi non alimentano soltanto applicazioni web e mobile, ma anche microservizi, sistemi cloud-native, piattaforme IoT e strumenti di intelligenza artificiale generativa. Questa proliferazione rende sempre più difficile mantenere aggiornati gli inventari con conseguente perdita di coerenza dei controlli, e sempre più aziende non sanno quante API possiedono né quali restituiscono dati sensibili.
Non è un caso che i criminali informatici abbiano capito che le API sono una risorsa importante quando si cercano vulnerabilità: sono semplici da testare, a volte mal configurate e spesso accessibili direttamente da Internet. La lista OWASP API Top 10 conferma che vulnerabilità come autorizzazioni insufficienti, esposizione eccessiva di dati e abuso della logica applicativa figurano tra i difetti più sfruttati per portare a termine compromissioni ed esfiltrazioni. Una sola API non protetta può consentire esfiltrazioni massive in quanto basta un singolo endpoint privo delle necessarie protezioni per esporre milioni di record sensibili.
Per fronteggiare il rischio, gli enti normativi stanno aumentando la pressione sulle aziende tramite una normativa sempre più esigente; basti guardare i requisiti necessari per una formale conformità al GDPR, DORA o al PCI DSS v4.0 a cui vanno aggiunti Il CRA, gli standard NIST e così via. Molte normative non citano esplicitamente le API, ma richiedono “misure adeguate di protezione dei dati” che, in caso di violazione, possono poi essere identificate proprio in quel campo. Poiché le API manipolano e trasmettono tali informazioni, la loro sicurezza diventa automaticamente un requisito inderogabile.
Dov’è la complessità nella gestione adeguata delle API?
La gestione della compliance e della sicurezza delle API pone alle aziende problematiche di natura sia tecnica che organizzativa. La prima riguarda la corretta allocazione delle risorse. Mantenere un inventario aggiornato, eseguire test continui, monitorare traffico e anomalie, garantire controlli di autenticazione e autorizzazione richiede competenze specialistiche e strumenti avanzati. Il ciclo di vita delle API è molto più dinamico rispetto a quello delle applicazioni monolitiche e impone una gestione proattiva che molte organizzazioni non sono pronte a sostenere. Questo significa anche doversi scontare con l’annoso problema dello skill shortage. Le figure specializzate sono poche e farle crescere in azienda richiede tempi che oggi diventano un rischio.
Vi è poi la sfida della compliance internazionale. Le API operano spesso in ecosistemi distribuiti su più regioni e con partner multipli. Questo comporta l’obbligo di garantire livelli di protezione coerenti anche quando i dati si muovono tra soggetti con policy diverse o regolatori differenti. Gli enti di controllo, infatti, richiedono la capacità di “rendicontare tutte le API, incluse quelle ombra” e di applicare controlli adeguati su ciascun punto di accesso ai dati sensibili. Questo in formati e su piattaforme diverse, creando carichi di lavoro a basso valore, ma di grande importanza.
Un terzo problema riguarda la velocità del cambiamento normativo e tecnologico. Con l’aumento dell’adozione di architetture a microservizi, AI generativa e API esterne, i rischi evolvono più rapidamente dei processi interni. In molti casi, gli strumenti tradizionali come WAF o gateway API non offrono la visibilità necessaria, né la capacità di identificare API non gestite o comportamenti anomali distribuiti su più endpoint. Non è un caso che, secondo Akamai, solo il 27% delle aziende con un inventario completo sa (o pensa di sapere) quali API restituiscono dati sensibili.
Infine, c’è il tema della business continuity. Un’interruzione causata da un attacco a un’API o da una non conformità può bloccare servizi critici, generare costi operativi significativi e compromettere relazioni con partner e clienti. Le API sono ormai un elemento portante dei processi aziendali e i rischi che le riguardano hanno un impatto diretto sulla resilienza operativa tirando in ballo altre normative, SLA da garantire e clienti a cui giustificare l’eventuale discrepanza su livelli di protezione dichiarati e incidenti registrati.
Uno scenario impossibile da ignorare, se si vuole restare sul mercato
Trascurare la sicurezza e la conformità delle API comporta conseguenze immediate e potenzialmente devastanti. La prima è il rischio elevato di violazioni dei dati e ransomware. Le API espongono dati in forma strutturata e facilmente interpretabile: un obiettivo perfetto per attaccanti che cercano di collezionare dataset utilizzabili per attacchi futuri, frodi, estorsioni o rivendite sul dark web. Gli esempi di scraping massivo e accesso non autorizzato visti in questi anni mostrano come i criminali possano sfruttare anche un singolo endpoint mal configurato per raccogliere milioni di record sensibili.
La seconda conseguenza riguarda l’impatto operativo. Violazioni, downtime causati da abusi delle API o attacchi di tipo resource exhaustion possono interrompere servizi essenziali, rallentare transazioni, compromettere l’esperienza utente e generare perdita di fiducia. Poiché molte API sono parte di processi mission-critical, anche un malfunzionamento temporaneo può tradursi in costi significativi.
Terzo elemento: sanzioni economiche e legali. Il GDPR, il PCI DSS v4.0, la NIS 2, i requisiti NIST e altre normative puniscono direttamente l’incapacità di proteggere adeguatamente i dati personali o di pagamento. La multa da 5 miliardi inflitta a un noto social network per mancata supervisione sulle API usate da un vendor terzo rappresenta un precedente emblematico delle responsabilità estese che le aziende devono assumersi anche per gli ecosistemi indiretti.
Infine, un programma di compliance non allineato ai rischi delle API produce cicli di verifica più lunghi, carichi di lavoro manuali, difficoltà nel rispondere alle richieste degli auditor e impossibilità di dimostrare in modo credibile l’efficacia dei controlli. Con la crescita del numero di API e della loro complessità, questa distanza operativa tende solo ad aumentare, erodendo la resilienza complessiva dell’organizzazione.
Servono, quindi, procedure, know-how e servizi che possano costituire un sistema di controllo affidabile, efficace e sostenibile da un punto di vista economico. Un buon punto di partenza è il white paper di Akamai che elenca le 11 funzioni critiche nella gestione delle API scaricabile qui sotto.