Il nuovo report “State of Web Exposure 2026” di Reflectiz fotografa un problema sempre più grave: il 64% delle applicazioni di terze parti accede a dati sensibili senza una reale necessità, in aumento rispetto al 51% del 2024.

Nel frattempo, un sondaggio condotto tra i responsabili della sicurezza evidenzia una lacuna critica: nonostante l’81% consideri gli attacchi web una priorità assoluta, solo il 39% ha implementato soluzioni dedicate per difendersi dai rischi legati a script e strumenti di terze parti.

I 5 risultati chiave

  1. Il marketing è il responsabile della metà dei rischi del web: i team di marketing/digitale creano il 43% dell’esposizione a terze parti, contro il 19% dell’IT
  2. Pagamenti retail più esposti: il rischio di compromissione dei sistemi di pagamento è salito dal 10% al 14%, ampliando la superficie di attacco dello skimming nonostante il calo del 29% delle app totali
  3. Settori critici sotto assedio: tassi di compromissione del governo sono aumentati dal 2% al 12,9%; l’istruzione è quadruplicata al 14,3%
  4. I nuovi domini predicono la compromissione: i domini registrati di recente compaiono 3,8 volte di più sui siti compromessi (15% contro 4%), l’indicatore più forte di attività dannosa
  5. I peggiori trasgressori dei tag manager: Google Tag Manager è in testa per l’accesso ingiustificato ai dati (8%), seguito da Shopify (5%) e Facebook Pixel (4%)

Che cosa è la Web Exposure

Gartner ha coniato il termine “Web Exposure Management” per descrivere i rischi per la sicurezza derivanti da applicazioni di terze parti come analisi, pixel di marketing, CDN e strumenti di pagamento. Ogni connessione amplia la superficie di attacco; la compromissione di un singolo fornitore può innescare una violazione dei dati su larga scala, iniettando codice per raccogliere credenziali o clonare i pagamenti.

Spesso vengono installate senza supervisione IT e con permessi eccessivi, arrivando a leggere dati come credenziali o informazioni di pagamento senza un motivo valido.

Il problema principale è la mancanza di governance: il marketing introduce strumenti per migliorare le conversioni, ma questi finiscono anche in pagine critiche come checkout e login.

Il vero gap: consapevolezza senza azione

Budget limitati, carenza di personale e complessità normativa stanno rallentando gli interventi. Il risultato è un divario di 42 punti tra chi riconosce il rischio e chi agisce davvero — e l’accesso ingiustificato ai dati continua a crescere. Casi in cui a strumenti di terze parti viene concesso l’accesso a dati sensibili senza una dimostrabile necessità aziendale.

Un accesso viene considerato ingiustificato se lo script di terze parti rispetta almeno uno dei seguenti criteri:

  • Funzione irrilevante: legge dati non necessari per il proprio compito (es. un chatbot che accede ai campi di pagamento).
  • ROI pari a zero: rimane attivo su pagine ad alto rischio per oltre 90 giorni senza trasmettere dati utili.
  • Shadow deployment: installazione tramite Tag Manager senza supervisione della sicurezza o senza privilegi minimi.
  • Over-permissioning: uso di “Full DOM Access” per leggere intere pagine invece di elementi limitati.

Lo studio identifica alcuni strumenti principali responsabili dell’esposizione ai dati:

  • Google Tag Manager: genera l’8% di tutti gli accessi ingiustificati ai dati sensibili.
  • Shopify: coinvolto nel 5% dei casi di accesso ingiustificato.
  • Facebook Pixel: nel 4% delle implementazioni analizzate, il pixel aveva permessi eccessivi, raccogliendo dati sensibili non necessari per il tracciamento.

Infrastrutture critiche sotto assedio

I dati mostrano picchi di violazioni nei settori pubblico e dell’istruzione, principalmente per motivi finanziari.

  • Settore pubblico: attività illecite in crescita dal 2% al 12,9%.
  • Istruzione: siti compromessi quadruplicati al 14,3% (1 sito su 7).
  • Assicurativo: riduzione delle attività dannose del 60%, al 1,3%.

Le istituzioni con budget limitati faticano a gestire la supply chain, mentre i settori privati con risorse adeguate mantengono l’ambiente più stabile.

Secondo il sondaggio, il 34% degli intervistati indica i vincoli di bilancio come principale ostacolo e il 31% la mancanza di personale, un problema che colpisce in particolare le organizzazioni pubbliche.

Le priorità consigliate dal report

Il report suggerisce di fare un inventario completo di pixel e tracker, di attivare un monitoraggio automatico degli accessi ai dati sensibili e di creare una governance condivisa tra marketing e sicurezza per ridurre i rischi legati alle terze parti.

Il report completo è disponibile qui

https://www.reflectiz.com/blog/web-exposure-2026-article/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: