Il rapporto State of Web Exposure 2026 pubblicato da Reflectiz rivela un quadro sul quale riflettere: il 64% delle applicazioni di terze parti integrate nei siti web accede a dati sensibili senza alcuna giustificazione legittima, facendo peraltro segnare incremento del 25% rispetto all’anno precedente.
Il dato, già di per sé indicativo, evidenzia una tendenza strutturale che si traduce in una lettura lapidaria: la superficie di attacco lato client cresce più velocemente della capacità delle organizzazioni di governarla. Questo però, come spiega il funzionario ICT e membro Clusit Salvatore Lombardo, è un aspetto che non riguarda i siti e le piattaforme più gettonate e attendibili.
L’analisi, condotta da Reflectiz su 4.700 siti web globali, mette in luce un ecosistema digitale in cui strumenti di marketing, widget, tag manager e componenti esterni operano con livelli di permesso eccessivi, spesso senza che i team IT ne siano consapevoli.
Il risultato è un ambiente web in cui la supply chain digitale diventa il principale vettore di rischio. Si torna a parlare, insomma di Web exposure management, pure confinandola ai siti meno seri e meno affidabili che, tuttavia, non scarseggiano.
Indice degli argomenti
Un’escalation di rischio guidata da integrazioni non governate
Il 64% delle applicazioni di terze parti usate dai 4.700 siti web esaminati accede a dati sensibili senza una legittima giustificazione aziendale, rispetto al 51% dell’anno scorso: un aumento del 25% relativo su base annua che evidenzia un divario di governance sempre più ampio e che, di fatto, autorizzano a parlare di ingerenze sistemiche.
Stando al rapporto, la maggior parte delle esposizioni deriva da applicazioni di terze parti installate senza un’adeguata valutazione del rischio. Tra i principali responsabili figurano:
- Google Tag Manager (8%)
- Shopify (5%)
- Facebook Pixel (4%)
Questi strumenti, pure essendo ampiamente utilizzati e legittimi, vengono spesso configurati con permessi troppo ampi o inseriti in contesti in cui non dovrebbero accedere a dati sensibili.
Il problema non è la tecnologia in sé, ma la mancanza di governance.
Checkout e pagamenti: quasi la metà delle applicazioni è “ingiustificata”
Il rapporto evidenzia un altro dato critico: il 47% delle applicazioni presenti nei “payment frame “, ovvero le e aree più sensibili di un sito ecommerce, non ha una giustificazione valida.
Questo significa che quasi la metà degli script che operano durante una transazione potrebbe (il condizionale non giustifica allarmismi):
- intercettare dati di pagamento;
- tracciare comportamenti sensibili;
- introdurre vulnerabilità sfruttabili da attori malevoli.
È un rischio sistemico che ricorda da vicino gli attacchi Magecart, ma su scala potenzialmente molto più ampia.
Nel complesso, così come ha sottolineato Simon Arazi di Reflectiz: “Le organizzazioni stanno concedendo accesso ai dati sensibili di default e non come eccezione e gli attaccanti stanno sfruttando questo divario.
Il marketing come vettore di rischio?
Il rapporto attribuisce il 43% del rischio di terze parti ai team Marketing e Digital, che spesso introducono nuovi strumenti senza un processo di approvazione formale o senza coinvolgere la sicurezza.
Un male che suggerisce l’esistenza di un problema pregresso e irrisolto, ossia quello secondo cui la sicurezza è percepita ancora come un ostacolo alla semplicità e all’agilità e non come un prerequisito essenziale.
Il parere di Salvatore Lombardo tende però a gettare acqua sul fuoco: “Sebbene i servizi di terze parti usati per marketing aumentano la superficie di esposizione dei dati degli utenti, l’allarmismo può talvolta essere eccessivo. Il rischio reale riguarda principalmente privacy e profilazione, non minacce immediate alla sicurezza informatica e il pericolo può diventare concreto solo se i fornitori sono poco affidabili, raccolgono dati sensibili senza protezioni o subiscono violazioni”.
Le considerazioni a margine
Il report State of Web Exposure 2026 si concentra solo sul web ma, a prescindere, i team di sicurezza andrebbero coinvolti in qualsivoglia progetto aziendale, fosse anche solo per le tecniche operative deputate alla protezione della privacy.
Questo, almeno a una prima lettura, suggerisce che le organizzazioni non vedono nei rispettivi comparti IT un fulcro per ogni attività aziendale, a discapito della protezione dei dati.
Un’analisi più approfondita lascia però intravvedere qualcosa di diverso, come spiega Salvatore Lombardo: “Il limitato coinvolgimento delle funzioni IT e cybersecurity nei progetti aziendali, evidenziato dal report, non costituisce una prova diretta di scarsa attenzione alla sicurezza informatica da parte dei ruoli apicali, come poteva accadere in un recente passato. Piuttosto, riflette un modello organizzativo in cui la cybersecurity è ancora trattata come funzione di supporto o di controllo, anziché come componente integrata di un progetto”.
Si può fare di meglio, certo, ma nel suo insieme, la situazione non rispecchia una totale insensibilità delle organizzazioni nei confronti dei principi di cyber security.
Il settore pubblico non fa eccezione
Tra i dati riportati da Reflectiz svetta un +545%, numero che corrisponde alla crescita delle attività malevole che riguardano siti gestiti dal settore pubblico.
In buona sostanza, le attività malevole sui siti governativi sono passate dal 2% al 12,9% nel corso di un solo anno.
Un sito educativo su 7 (il 14% circa) mostra segni di compromissione attiva e, anche in questo caso, si tratta di un valore in crescita rispetto al 2025.
I budget limitati, la mancanza di personale specializzato che spinge a rivolgersi a fornitori terzi sono elementi che rendono queste infrastrutture deboli e vulnerabili.
Quindi, in generale, non si tratta (più) di proteggere esclusivamente i sistemi, ma anche i dati che transitano verso e dai browser.
