Aggiornamenti recenti Gennaio 16th, 2026 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il 64% delle app di terze parti accede a dati sensibili senza un motivo valido. La ricerca di Reflectiz
- Microsoft smantella RedVDS, rete globale di cybercrime-as-a-service
- “Truman Show”: la truffa finanziaria che crea una realtà sintetica per ingannare le vittime
- Allarme password aziendali deboli: più del 40% è violabile in meno di un’ora
- Black Axe, arrestati oltre trenta individui legati alla cybergang
Il 64% delle app di terze parti accede a dati sensibili senza un motivo valido. La ricerca di Reflectiz
Dall’ultima ricerca di Reflectiz, “The State of Web Exposure 2026“, emerge una questione allarmante: secondo il report, il 64% delle app di terze parti accede a dati sensibili senza una vera necessità tecnica o aziendale. Si tratta di un aumento importante rispetto al 51% registrato nel 2024 che evidenzia come la “Web exposure”, ovvero la superficie di esposizione web stia sfuggendo di mano ai team di sicurezza.
Nel dettaglio, il termine “Web exposure”, così come definito da Gartner, comprende i rischi provenienti da applicazioni di terze parti quali analytics, pixel di marketing, widget social, CDN e strumenti di analisi, tutte componenti che spesso operano nel browser dell’utente finale al di fuori della protezione dei firewall e dei sistemi di monitoraggio lato server.
L’analisi di Reflectiz, la quale ha coinvolte oltre 4.700 siti web leader in 10 settori diversi, evidenzia che nonostante ci sia stata una lieve riduzione della quantità totale di dipendenze esterne, la qualità della sicurezza è peggiorata. La maggior parte delle app esterne sta raccogliendo dati sensibili che non servono al loro funzionamento.
Tra i colpevoli ricorrenti di queste dinamiche il report identifica Facebook Pixel, presente sul 53% dei siti web, Google Tag Manager, coinvolto nell’8% delle violazioni rilevate, e Shopify, responsabile del 5% degli accessi non autorizzati ai dati sensibili.
Secondo l’analisi, il 43% della superficie di rischio è generata dai dipartimenti marketing e digital, un numero enorme soprattutto se comparato con il 18% relativo all’IT. I team di questi due reparti inseriscono script e tracker per scopi di business senza passare per i controlli di sicurezza. I tracker “abbandonati” perché non più utilizzati non vengono eliminati, ma continuano a essere eseguiti e possono diventare pericolosi vettori d’attacco.
Sebbene l’81% dei responsabili di sicurezza veda gli attacchi web come una priorità da gestire, soltanto il 39% di essi afferma di avere strumenti adeguati per mitigare i rischi derivanti da terze parti.
La situazione per settore e gli indicatori di pericolo
Il report evidenzia una polarizzazione netta nella postura di sicurezza tra i diversi comparti industriali. Il settore delle assicurazioni appare il più virtuoso essendo riuscito a ridurre l’attività malevola del 60%; al contrario, quello dell’istruzione è il settore più a rischio: rispetto al 2024, l’attività malevola è quadruplicata e in media 1 sito su 7 è compromesso.
Anche la pubblica amministrazione ha registrato un’impennata di attività malevole, passando dal 2% al 12,9% dal 2024, mentre il settore degli acquisti online è riuscito a ridurre l’accesso ai dati sensibili del 17%. Per quanto riguarda la sanità, la situazione rimane stagnante, senza miglioramenti significativi nei parametri di rischio.
Reflectiz ha inoltre isolato i segnali tecnici che precedono un attacco o una violazione; tra questi c’è l’età dei domini: i siti che interagiscono con domini registrati negli ultimi 6 mesi hanno una probabilità 3,8 volte superiore di essere coinvolti in attività malevole.
Per misurare il livello di rischio bisogna inoltre tenere in considerazione la configurazione dei siti web: i portali leader, classificati come più sicuri, contano meno di 8 applicazioni esterne, meno di 3 tracket e meno di 18 domini collegati. Tra i fattori di rischio principali ci sono inoltre le CDN esterne non monitorare, identificate come vettore primario per gli attacchi alla supply chain.
Proteggere i dati sensibili
Il messaggio è chiaro: ora più che mai è necessario prendere dei provvedimenti per proteggere i dati sensibili e rendere la navigazione sul web più sicura. Le sole policy, sia le normative che i regolamenti interni alle aziende, hanno evidentemente fallito nel controllo del rischio.
I ricercatori di Reflectiz consigliano innanzitutto di implementare flussi di governance automatizzati per bloccare gli accessi ingiustificati, direttamente a livello tecnico, di ridurre il numero di applicazioni che rimangono in esecuzione nelle pagine di pagamento e di eliminare i tracker non più utilizzati.
È inoltre fondamentale implementare sistemi per rilevare in tempo reale se un pixel (come quello di Facebook) cambia comportamento o inizia a raccogliere dati diversi da quelli dichiarati e integrare le decisioni del marketing nel framework di sicurezza dell’IT.
“Il costo dell’inazione – violazione dei dati dei clienti, sanzioni normative e perdita di fiducia – supera di gran lunga l’investimento necessario per una governance sistematica. Il tuo sito web è la tua vetrina digitale, la tua piattaforma di transazione e il tuo centro di relazione con i clienti. Proteggerlo non è una sfida tecnica, è un imperativo aziendale. La domanda per il 2026 non è se investire nella gestione dell’esposizione web, ma se puoi permetterti di non farlo” conclude il report.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of...
-
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una...
-
“Truman Show”: la truffa finanziaria che crea... I ricercatori di Check Point Research hanno individuato una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,...
-
Black Axe, arrestati oltre trenta individui legati alla... La Polizia Nazionale spagnola, in collaborazione con la...
Ransomware: la serie
No posts found.