Secondo il nuovo rapporto Advanced Persistent Bots 2025 pubblicato dagli F5 Labs, il traffico automatizzato rappresenta ormai oltre la metà delle richieste di accesso ai contenuti web. Su 207 miliardi di transazioni analizzate tra novembre 2023 e settembre 2024, il 50,04% delle richieste di pagina è riconducibile a bot, alimentati in buona parte da scraper basati su modelli linguistici di grandi dimensioni (LLM), come quelli utilizzati da OpenAI, Anthropic e Perplexity.
“Quando scomponiamo il traffico automatizzato in base al flusso (funzione) a cui è destinato, i contenuti superano ormai qualsiasi altra area sulle piattaforme web”, ha dichiarato David Warburton, Director degli F5 Labs.
L’aumento massiccio dello scraping evidenzia, secondo F5, un cambio di paradigma nella natura delle minacce: non più solo attacchi legati a credenziali o tentativi di accesso, ma un’aggressiva raccolta automatizzata di contenuti, spesso finalizzata all’addestramento di modelli di intelligenza artificiale.
Se 21,2 miliardi delle interazioni analizzate provengono da fonti automatizzate, circa 10 miliardi – pari al 4,8% – sono classificati come traffico dannoso. Il fenomeno si declina in modo diverso a seconda del settore: hospitality (44,6%), sanità (32,6%) ed eCommerce (22,7%) sono i più colpiti sul web, mentre sui dispositivi mobili è l’intrattenimento a dominare.
Il report segnala anche che, nonostante una generale flessione del traffico automatizzato rispetto al 2023, settori come hospitality e fast food registrano ancora aumenti a doppia cifra, segno di una pressione costante da parte degli attori malevoli.
Credential stuffing e scraping le minacce più diffuse
Oltre un terzo dei tentativi di login nel settore tecnologico è riconducibile a tentativi di account takeover (33,5%), seguito dal retail (25,7%) e dal gaming (19,6%). Per la piattaforma mobile, questi attacchi risultano più frequenti contro le aziende operanti nel settore dell’entertaiment (24,7%) e dell’eCommerce (23,8%).
La sofisticazione degli attacchi varia: il traffico che colpisce il settore sanitario è prevalentemente basico, mentre banche, retailer e compagnie aeree si confrontano con bot più avanzati e persistenti.
Interessante l’analisi dell’efficacia delle misure di mitigazione. Contrariamente alle aspettative, sul web il traffico bot è risultato spesso superiore presso le organizzazioni che attivamente bloccano i bot, rispetto a chi si limita al monitoraggio. “Sebbene sembri controintuitivo che la mitigazione porti a un aumento del traffico, ha anche senso in certi contesti”, spiega Warburton. “Ora ci sono interi modelli di business costruiti attorno allo scraping di dati, prezzi e proprietà intellettuale: quegli operatori non si arrenderanno facilmente”.
