Lo sviluppo software è diventato un processo industriale continuo: microservizi, container, release giornaliere e, soprattutto, API ovunque, perché sono queste a tenere insieme app, partner, filiere e canali digitali. Ma troppo spesso è proprio questa “colla” del business digitale a trasformarsi in un punto di ingresso per i criminali che, ormai, non cercano soltanto bug “classici”, ma falle di logica, errori nei flussi, autorizzazioni sbagliate e scorciatoie nei processi.
Il rischio per chi sviluppa, quindi, è molto concreto: la vulnerabilità software resta una delle strade più battute per arrivare a dati, identità, pagamenti e continuità operativa. Quando l’azienda vive di software, e oggi sono in molte a farlo, la sua sicurezza diventa un tema di governance e non un dettaglio tecnico da delegare a fine progetto. Bisogna pensare in ottica di “secure by design”, non di patch applicate in fretta e furia.
Serve qualcuno che dia una mano su di un tema molto sottovalutato
Equixly è una realtà italiana focalizzata sulla sicurezza applicativa e, in particolare, sulla sicurezza delle API, con un approccio che punta ad automatizzare attività tipicamente lente e costose come i test di sicurezza avanzati. L’idea di fondo è scalare il security testing con la stessa velocità con cui scala lo sviluppo, evitando che la sicurezza resti “a campione” o episodica.
L’azienda veronese è una start-up deep tech che applica agenti AI autonomi al testing di sicurezza delle API, con l’obiettivo di individuare anche vulnerabilità di business logic che gli strumenti tradizionali faticano a intercettare.
La certificazione ISO 27001 e la qualificazione ACN a livello QC2 garantiscono un approccio metodologico molto preciso che rappresenta una condizione imprescindibile per chi deve affidare processi critici a un fornitore esterno, soprattutto in ambiti pesantemente regolamentati.
Per iniziare, si parla di controlli continui
Uno dei problemi più noiosi dell’esame di sicurezza sul codice prodotto è che di solito lo si compie quando uno o più moduli sono completi e se salta fuori un problema si può esser costretti a dover riscrivere (o addirittura reimpostare) grandi blocchi di codice. Equixly propone dei bot/agent che eseguono scansioni regolari del codice per intercettare eventuali difetti il prima possibile, riducendo il costo della correzione e l’impatto sulle release. La sicurezza, in altre parole, diventa un controllo ricorrente che “sta al passo” della pipeline, con una logica compatibile con CI/CD e DevSecOps, e non una fase del processo produttivo slegata da quelle precedenti.
Inoltre, l’azienda progetta ed esegue scenari d’attacco sulle API, allineati a rischi noti e a modelli di minaccia diffusi nel settore, con riferimento esplicito alla OWASP Top 10 per i rischi API. Si va a simulare, quindi, come un attaccante abuserebbe di richieste e risposte dell’API per far emergere vulnerabilità tecniche e logiche, prima che lo faccia qualcuno dall’esterno.
Infine, si arriva alla classica analisi della mappatura della superficie d’attacco, con inventario delle API e classificazione di operazioni, dipendenze e dati che attraversano gli endpoint. Del resto, senza inventario non esiste controllo: non si può proteggere né rendicontare ciò che non si sa di avere e la scoperta di endpoint “ombra” è un tema che, nelle grandi organizzazioni, ricorre molto più spesso di quanto si ammetta.
Molto utili in ambiti fortemente normati sono le funzioni “compliance-oriented” come il modello di “plain reporting” che mette in relazione endpoint, rischi e dati sensibili esposti, in modo da tracciare requisiti regolatori e portare a una riduzione della superficie d’attacco.
In tutti questi processi, l’IA ha un ruolo molto importante con particolare riferimento alla caccia di vulnerabilità “non banali” che spesso si annidano nella business logic. Il tema, ovviamente, non è “AI sì/AI no”, ma il beneficio che si ottiene in termini di riduzione del rumore e aumento dell’efficacia operativa dei team AppSec.
Perché questi servizi sono utili anche in chiave compliance
NIS2, DORA, GDPR e gli standard di settore spingono verso controlli ripetibili, misurabili e dimostrabili: non basta “dire” che si testano le applicazioni, bisogna poterlo provare, con la giusta reportistica, continuità e governance. Automatizzare e mettere a regime i test di sicurezza sulle API aiuta a trasformare un’attività artigianale in un processo sottoponibile ad audit, riducendo la distanza tra security posture reale e security posture dichiarata.
Anche la logica di inventario e data classification è direttamente collegata agli obblighi: sapere dove transitano dati personali o dati “sensibili” (in senso regolatorio o di business) è la base per fare valutazioni d’impatto, minimizzazione, segregazione e controllo degli accessi. Se i dati viaggiano via API, la compliance dei dati passa inevitabilmente dalla sicurezza delle API, altrimenti resta un esercizio documentale.
Per molte organizzazioni sottoposte a regolamentazione, la differenza tra “data residency” e “vendor jurisdiction” è diventata una variabile da mettere a bilancio nel modello di rischio, non un dettaglio da procurement, e ha conseguenze pesanti anche nella valutazione della provenienza geopolitica del fornitore.
Nel caso specifico di Equixly, la “preferibilità” in chiave europea si legge quindi in tre strati. Innanzitutto, essendo a Verona c’è una spiccata prossimità normativa e culturale al quadro UE (privacy, sicurezza, procurement pubblico, responsabilità contrattuali), che tende a semplificare valutazioni e audit quando si lavora su codice, log e flussi applicativi. IN secondo luogo, sono allineati a schemi nazionali/europei, come la comunicazione su ISO 27001 e sul percorso legato ad ACN. Quando la sicurezza del software entra in perimetri critici, questi “bollini” non sono marketing, ma scorciatoie utili per strutturare la due diligence, pur restando necessaria una verifica tecnica.
Infine, la riduzione di dipendenza strategica da fornitori extra-UE su un dominio sensibile come l’Application Security, dove gli strumenti “guardano dentro” al modo in cui l’azienda costruisce e difende i propri processi digitali, ha anche un impatto psicologico oltre che pratico. Qui la domanda che il board deve farsi non è “quanto costa”, ma “quanto ci espone”, perché tool e telemetrie di sicurezza sono parte della supply chain della fiducia.