Le Application Programming Interface, più conosciute per il loro acronimo API, restano un punto debole della cybersicurezza. Il problema della loro vulnerabilità ad attacchi e compromissioni è ben noto ma di difficile risoluzione: le aziende utilizzano molte interfacce di programmazione delle applicazioni, distribuite su collocazioni diverse, e spesso lo fanno senza conoscerne i dettagli, senza averne una documentazione. Akamai aveva già sottolineato il problema e torna a parlarne in un nuovo report che evidenzia come il numero medio di attacchi API giornalieri sia aumentato del 113% nel 2025, rispetto al 2024.
L’87% delle aziende intervistate ha registrato almeno un incidente relativo alla sicurezza delle API nel 2025. Questi strumenti di programmazione, d’altro canto, sono utilissimi alle aziende per connettere tra loro le applicazioni, creare flussi di dati e integrazioni. Farne a meno è quasi impossibile, specie considerando le esigenze di adozione dell’intelligenza artificiale. Come sottolineato da Akamai, i cybercriminali stanno cavalcando quest’onda al punto che le API sono diventate la principale superficie di attacco.
Nel medesimo studio, titolato “2026 Apps, API, and DDoS State of the Internet Report”, si parla anche del parallelo incremento dei Distributed Denial-of-Service Layer 7, diretti cioè al livello delle applicazioni: sono più che raddoppiati nel corso di due anni (+104%), anche per via del facile accesso alle botnet tramite servizi DDoS-for-hire e script basati su intelligenza artificiale. Tra il 2023 e il 2025 anche gli attacchi alle applicazioni Web sono aumentati drasticamente, del 73%.
L’evoluzione di cybercrimine e hacktivismo
Secondo quanto osservato da Akamai, gli attacchi stanno seguendo un’evoluzione: non più operazioni mordi e fuggi, ma campagne coordinate e scalabili, che combinano lo sfruttamento di API, assalti alle applicazioni Web e DDoS Layer 7. Lo scopo è soprattutto quello di creare scompiglio, interrompere un servizio e causare impatti finanziari per l’azienda target, anche all'interno di campagne di hacktivismo. Le “superbotnet”, come Aisuru e Kimbolf (evoluzioni dell’architettura di Mirai) ora sono alla base degli ecosistemi di DDoS-as-a-Service, utilizzati sia dai criminali informatici comuni sia dagli hacktivisti.
“I criminali informatici puntano sempre più a compromettere le performance, ad aumentare i costi dell'infrastruttura e all'utilizzo su vasta scala dell'automazione basata sull'intelligenza artificiale, piuttosto che realizzare campagne che fanno notizia", ha commentato Patrick Sullivan, Cto of security strategy di Akamai. "L’automazione e l'intelligenza artificiale stanno rendendo queste campagne sofisticate economiche, ripetibili e veloci. Inoltre, poiché le aziende investono in modo massiccio nella trasformazione dell'intelligenza artificiale, gli hacker puntano alle API che favorisce questo processo".
I rischi di una gestione frammentaria
Sebbene molte aziende continuino a gestire separatamente la sicurezza delle applicazioni e quella delle API, queste due componenti sono ormai inscindibili e per affrontarle servirebbe, quindi, il famigerato “approccio olistico”. Una gestione frammentaria, di contro, crea delle lacune di visibilità che i criminali possono sfruttare.
L’analisi di Akamai ha anche evidenziato i rischi legati al vibe coding (come ormai viene identificata l’attività di scrittura di codice assistita dall’intelligenza artificiale) e all’abitudine di saltare a piè pari i testi di sicurezza sul codice, andando direttamente “in produzione”. Così facendo, nelle applicazioni le vulnerabilità e le configurazioni errate si moltiplicano.