Un nuovo report degli F5 Labs ha rilevato che oltre la metà delle richieste di pagine per contenuti web sono ormai automatizzate, con gli scraper basati su LLM che dominano il panorama
Oltre un terzo dei tentativi di accesso che colpiscono il settore tech sono attacchi di account takeover
I settori della sanità e dell’hospitality sono i più bersagliati sul web, mentre l’industria dell’entertainment è la più presa di mira sui dispositivi mobili
Milano, 1 aprile 2025 – Una nuova ricerca di F5 evidenzia come, con l’ascesa dell’AI generativa, i bot accedano ad alcuni contenuti web più frequentemente rispetto agli esseri umani.
Il rapporto Advanced Persistent Bots 2025 pubblicato dagli F5 Labs analizza ben 207 miliardi di transazioni web e API, comprese nel periodo tra novembre 2023 e settembre 2024. Lo studio esamina i dati raccolti da clienti che già dispongono di difese contro i bot, rivelando come si comportano gli operatori di traffico automatizzato quando prendono contromisure.
Il report rivela che il 50,04% delle richieste di pagina per contenuti web1 proviene da fonti automatizzate, rispetto al 22,3% delle richieste di ricerca sul web e al 21,5% delle transazioni “Add to Cart” (“Aggiungi al carrello”). Questo suggerisce una crescita significativa dei web scraper utilizzati da provider di LLM come OpenAI, Anthropic e Perplexity, e una certa persistenza di questi bot nel continuare a inviare richieste anche se bloccati.
In totale, 21,22 miliardi delle transazioni analizzate (ovvero il 10,2%) provengono da una varietà di fonti automatizzate, alcune innocue, ma ben 10 miliardi (4,8%) costituiscono traffico bot dannoso.
“Quando scomponiamo il traffico automatizzato in base al flusso (funzione) a cui è destinato, i contenuti superano ormai qualsiasi altra area sulle piattaforme web”, spiega David Warburton, Director degli F5 Labs.
“Per anni, il traffico bot ha colpito principalmente i flussi di ricerca (“Search flows”), così come tutti gli aspetti del percorso di noi utenti, da quando ci si iscrive o si accede per utilizzare un servizio, fino al momento in cui si aggiunge un articolo al proprio carrello, si effettua il checkout o si cerca di cambiare la propria password. L’enorme aumento dello scraping dei contenuti, indubbiamente associato all’esplosione dell’AI generativa e degli LLM, sottolinea quanto sia dinamico il traffico bot, evidenziando la necessità per le organizzazioni di vigilare costantemente sui cambiamenti nei modelli di attacco”.
I bot allentano la loro presa, ma non per tutti
Modelli e prevalenza del traffico bot variavano a seconda del settore. I settori più presi di mira sul web risultano essere l’hospitality (44,6% del traffico da bot), la sanità (32,6%) e l’eCommerce (22,7%).
Sui dispositivi mobili, l’industria dell’intrattenimento (23%) è stata di gran lunga la più colpita, ben oltre l’eCommerce (4,5%) e i ristoranti Quick Service (QSR), con il 4,2%.
Alcuni settori subiscono ancora alti livelli di attacchi di credential stuffing, che mirano a prendere il controllo degli account utente. Sul web, oltre un terzo dei tentativi di accesso nelle aziende del settore tecnologico sono stati account takeover (33,5%), superiori al retail (25,7%) e al gaming (19,6%). Sui dispositivi mobili, questi attacchi risultano più frequenti contro le aziende operanti nel settore dell’entertaiment (24,7%) e dell’eCommerce (23,8%).
Anche la sofisticazione degli attacchi varia di settore in settore. La stragrande maggioranza del traffico automatizzato che prende di mira il settore dell’healthcare su web e mobile è stata classificata come “basico”. Altri settori hanno sperimentato livelli relativamente alti di traffico più sofisticato considerato “avanzato”, con il retail, le banche e le compagnie aeree in cima alla lista (web).
Nonostante i livelli elevati di traffico bot, la maggior parte dei settori monitorati ha registrato un calo dell’attività automatizzata rispetto al 2023, suggerendo che i controlli sui bot in atto stanno dando l’effetto desiderato.
Le eccezioni sono rappresentate dall’hospitality sul web, che ha visto un aumento del 18,3% e dal settore fast food (QSR) sul web, in aumento dell’11,2%. Anche se il settore dell’intrattenimento ha registrato una quota molto maggiore di traffico bot sui dispositivi mobili rispetto a qualsiasi altra industria, ha comunque visto un calo dell’11,5% rispetto al 2023.
“Alcuni settori sono perennemente bersaglio di traffico bot indesiderato”, aggiunge Warburton. “Il settore dell’hospitality sperimenta volumi elevati perché gli aggregatori vogliono raccogliere dati sui tassi e sulla disponibilità delle camere d’albergo, oppure gli attori malevoli cercano di rubare punti fedeltà. A loro volta, i provider di eCommerce sono presi di mira da rivenditori e bot addestrati a sfruttare dati di voucher e carte regalo”.
“Questi dati mostrano anche come certi settori si siano adattati nel tempo: organizzazioni fortemente prese di mira come le compagnie aeree e i servizi finanziari hanno costruito difese per ostacolare gli attacchi meno sofisticati, il che significa che ora devono affrontare una maggiore percentuale di traffico da operatori più avanzati e altamente persistenti”.
Mitigazione: una lama a doppio taglio?
Il report ha anche valutato l’impatto della deterrenza sul traffico bot, confrontando le esperienze delle aziende clienti che monitoravano il traffico automatizzato con quelle che lo mitigavano.
Sui dispositivi mobili, la tendenza è chiara e attesa. Le organizzazioni che mitigano il traffico hanno visto una quota significativamente inferiore di attività automatizzata nel loro traffico di ricerca (0,9% rispetto al 24,8% per coloro che monitoravano), un modello simile nei login (5% rispetto al 21,7% per coloro che monitoravano) e nell’iscrizione (sign up), ovvero 2,4% contro 21,7%.
Sul web, la situazione è decisamente diversa. Nella maggior parte dei flussi di lavoro, il traffico automatizzato è più alto per le organizzazioni che mitigano attivamente i bot. Questi clienti hanno registrato il 20,9% del traffico automatizzato nella ricerca rispetto al 14,9% per coloro che monitoravano semplicemente, e l’equazione era la stessa in “Aggiungi al carrello” (19,2% vs. 18,2%), Checkout (8,6% vs. 7,4%) e recupero account (6,6% vs. 4,6%).
“In genere, ci aspettiamo che la mitigazione porti a un calo del traffico bot, poiché gli operatori bloccati si spostano alla ricerca di obiettivi più deboli”, dichiara Warburton. “Questo è accaduto in parte in questa analisi, ma abbiamo anche osservato operatori frustrati tentare ancora di più di accedere alle informazioni che stavano cercando”.
“Sebbene sembri controintuitivo che la mitigazione porti a un aumento del traffico, ha anche senso in certi contesti. Ora ci sono interi modelli di business costruiti attorno allo scraping di dati, prezzi e proprietà intellettuale: quegli operatori non si arrenderanno facilmente quando vengono ostacolati. Un aumento del traffico significa che questi attori stanno tentando più intensamente e in modi diversi, non che stiano riuscendo a violare le difese. La tendenza costante rilevata da questa ricerca, e tutta la nostra esperienza a F5, dimostra che la mitigazione funziona, e la deterrenza fa la differenza”.
F5
F5 è un’azienda di servizi applicativi e sicurezza multi-cloud impegnata a dare vita a un mondo digitale migliore. F5 collabora con le più grandi e avanzate organizzazioni del mondo per ottimizzare e proteggere app e API ovunque, on-premises, nel cloud o all’edge. F5 consente alle organizzazioni di offrire esperienze digitali eccezionali e sicure ai propri clienti e di essere sempre all’avanguardia rispetto alle minacce. Per ulteriori informazioni, visita il sito f5.com. (NASDAQ: FFIV).
1 Definite come richieste di pagine che mostrano un prodotto, un articolo, un prezzo o un servizio. Il “contenuto” era uno dei 17 flussi valutati nel rapporto: gli altri includevano “Ricerca”, “Aggiungi al carrello”, “Preventivi” (per assicurazioni, ecc.), “Sign Up”, “Transazione”, “Login”, “Gestione account”, “Ratings” e “Checkout”.