Una nuova ricerca di F5 – azienda di servizi applicativi e sicurezza multi-cloud – evidenzia come, con l’ascesa dell’AI generativa, i bot accedano ad alcuni contenuti web più frequentemente rispetto agli esseri umani.
Il rapporto Advanced Persistent Bots 2025 pubblicato dagli F5 Labs analizza ben 207 miliardi di transazioni web e API, comprese nel periodo tra novembre 2023 e settembre 2024. Lo studio esamina i dati raccolti da clienti che già dispongono di difese contro i bot, rivelando come si comportano gli operatori di traffico automatizzato quando prendono contromisure.
Il report rivela che il 50,04% delle richieste di pagine per contenuti web proviene da fonti automatizzate, rispetto al 22,3% delle richieste di ricerca sul web e al 21,5% delle transazioni “Add to Cart” (“Aggiungi al carrello”). Questo suggerisce una crescita significativa dei web scraper utilizzati da provider di LLM come OpenAI, Anthropic e Perplexity, e una certa persistenza di questi bot nel continuare a inviare richieste anche se bloccati.
In totale, 21,22 miliardi delle transazioni analizzate (ovvero il 10,2%) provengono da una varietà di fonti automatizzate, alcune innocue, ma ben 10 miliardi (4,8%) costituiscono traffico bot dannoso.
“Quando scomponiamo il traffico automatizzato in base al flusso (funzione) a cui è destinato, i contenuti superano ormai qualsiasi altra area sulle piattaforme web”, spiega David Warburton, Director degli F5 Labs.
“Per anni, il traffico bot ha colpito principalmente i flussi di ricerca (‘Search flows’), così come tutti gli aspetti del percorso di noi utenti, da quando ci si iscrive o si accede per utilizzare un servizio, fino al momento in cui si aggiunge un articolo al proprio carrello, si effettua il checkout o si cerca di cambiare la propria password. L’enorme aumento dello scraping dei contenuti, indubbiamente associato all’esplosione dell’AI generativa e degli LLM, sottolinea quanto sia dinamico il traffico bot, evidenziando la necessità per le organizzazioni di vigilare costantemente sui cambiamenti nei modelli di attacco”.
I bot allentano la loro presa, ma non per tutti
Modelli e prevalenza del traffico bot variavano a seconda del settore, sottolinea F5. I settori più presi di mira sul web risultano essere l’hospitality (44,6% del traffico da bot), la sanità (32,6%) e l’eCommerce (22,7%).
Sui dispositivi mobili, l’industria dell’intrattenimento (23%) è stata di gran lunga la più colpita, ben oltre l’eCommerce (4,5%) e i ristoranti Quick Service (QSR), con il 4,2%.
Alcuni settori subiscono ancora alti livelli di attacchi di credential stuffing, che mirano a prendere il controllo degli account utente. Sul web, oltre un terzo dei tentativi di accesso nelle aziende del settore tecnologico sono stati account takeover (33,5%), superiori al retail (25,7%) e al gaming (19,6%). Sui dispositivi mobili, questi attacchi risultano più frequenti contro le aziende operanti nel settore dell’entertaiment (24,7%) e dell’eCommerce (23,8%).
Anche la sofisticazione degli attacchi varia di settore in settore. La stragrande maggioranza del traffico automatizzato che prende di mira il settore dell’healthcare su web e mobile è stata classificata come “basico”. Altri settori hanno sperimentato livelli relativamente alti di traffico più sofisticato considerato “avanzato”, con il retail, le banche e le compagnie aeree in cima alla lista (web).
Nonostante i livelli elevati di traffico bot, mette ancora in evidenza F5, la maggior parte dei settori monitorati ha registrato un calo dell’attività automatizzata rispetto al 2023, suggerendo che i controlli sui bot in atto stanno dando l’effetto desiderato.
Le eccezioni sono rappresentate dall’hospitality sul web, che ha visto un aumento del 18,3% e dal settore fast food (QSR) sul web, in aumento dell’11,2%. Anche se il settore dell’intrattenimento ha registrato una quota molto maggiore di traffico bot sui dispositivi mobili rispetto a qualsiasi altra industria, ha comunque visto un calo dell’11,5% rispetto al 2023.
“Alcuni settori sono perennemente bersaglio di traffico bot indesiderato”, aggiunge Warburton. “Il settore dell’hospitality sperimenta volumi elevati perché gli aggregatori vogliono raccogliere dati sui tassi e sulla disponibilità delle camere d’albergo, oppure gli attori malevoli cercano di rubare punti fedeltà. A loro volta, i provider di eCommerce sono presi di mira da rivenditori e bot addestrati a sfruttare dati di voucher e carte regalo”.
“Questi dati mostrano anche come certi settori si siano adattati nel tempo: organizzazioni fortemente prese di mira come le compagnie aeree e i servizi finanziari hanno costruito difese per ostacolare gli attacchi meno sofisticati, il che significa che ora devono affrontare una maggiore percentuale di traffico da operatori più avanzati e altamente persistenti”.
Mitigazione: una lama a doppio taglio?
Il report – spiega F5 – ha anche valutato l’impatto della deterrenza sul traffico bot, confrontando le esperienze delle aziende clienti che monitoravano il traffico automatizzato con quelle che lo mitigavano.
Sui dispositivi mobili, la tendenza è chiara e attesa. Le organizzazioni che mitigano il traffico hanno visto una quota significativamente inferiore di attività automatizzata nel loro traffico di ricerca (0,9% rispetto al 24,8% per coloro che monitoravano), un modello simile nei login (5% rispetto al 21,7% per coloro che monitoravano) e nell’iscrizione (sign up), ovvero 2,4% contro 21,7%.
Sul web, la situazione è decisamente diversa. Nella maggior parte dei flussi di lavoro, il traffico automatizzato è più alto per le organizzazioni che mitigano attivamente i bot. Questi clienti hanno registrato il 20,9% del traffico automatizzato nella ricerca rispetto al 14,9% per coloro che monitoravano semplicemente, e l’equazione era la stessa in “Aggiungi al carrello” (19,2% vs. 18,2%), Checkout (8,6% vs. 7,4%) e recupero account (6,6% vs. 4,6%).
“In genere, ci aspettiamo che la mitigazione porti a un calo del traffico bot, poiché gli operatori bloccati si spostano alla ricerca di obiettivi più deboli”, dichiara Warburton. “Questo è accaduto in parte in questa analisi, ma abbiamo anche osservato operatori frustrati tentare ancora di più di accedere alle informazioni che stavano cercando”.
“Sebbene sembri controintuitivo che la mitigazione porti a un aumento del traffico, ha anche senso in certi contesti. Ora ci sono interi modelli di business costruiti attorno allo scraping di dati, prezzi e proprietà intellettuale: quegli operatori non si arrenderanno facilmente quando vengono ostacolati. Un aumento del traffico significa che questi attori stanno tentando più intensamente e in modi diversi, non che stiano riuscendo a violare le difese. La tendenza costante rilevata da questa ricerca, e tutta la nostra esperienza a F5, dimostra che la mitigazione funziona, e la deterrenza fa la differenza”.
