I migliori strumenti di sicurezza API nel 2025: Proteggi le tue API dalle vulnerabilità

1. Plexicus

Sicurezza Completa in Una Piattaforma, Plexicus ASPM non è solo un semplice strumento API o SCA; è una piattaforma di Gestione della Postura di Sicurezza delle Applicazioni (ASPM) che unifica molteplici discipline di sicurezza sotto un unico tetto. Fornisce una visibilità unificata su codice, dipendenze, infrastruttura e API, e poi sfrutta un motore di rimedio alimentato dall’IA per aiutare il tuo team a correggere automaticamente le vulnerabilità, piuttosto che solo segnalarle.

Caratteristiche Principali:

• Rimedio Alimentato dall’IA: La piattaforma genera correzioni di codice sicure, test unitari e documentazione per automatizzare il processo di correzione.
• Analisi Unificata: Analisi Statica del Codice (SAST), Rilevamento di Segreti, scansione delle Dipendenze (SCA), sicurezza dell’Infrastructure-as-Code (IaC) e Scansione delle Vulnerabilità API tutto in una piattaforma.
• Scanner di Vulnerabilità API: Evidenzia specificamente la scoperta, l’analisi e la protezione degli endpoint API contro i vettori di attacco comuni.
• Integrazione Facile: Progettato per integrarsi nei flussi di lavoro esistenti (GitHub, GitLab, Bitbucket, AWS, pipeline CI/CD) con un’interruzione minima.

Pro:

• Una piattaforma veramente unificata, che combina il testing delle vulnerabilità API, la sicurezza del codice applicativo, la scansione della catena di fornitura (SCA) e la sicurezza cloud/IaC in un’unica soluzione
• La rimedio guidato dall’AI riduce il lavoro manuale, accelera le correzioni e abbassa il carico di lavoro per gli sviluppatori.
• Ideale per i team che desiderano copertura dallo sviluppo all’esecuzione, aiutandoti a individuare i problemi precocemente e gestire i rischi durante l’intero ciclo di vita dell’applicazione.
• Abbastanza conveniente rispetto ad altre piattaforme orientate all’impresa

Contro:

• L’ampiezza della copertura può farlo sembrare più complesso di un semplice scanner API per i team con una sola preoccupazione.

Prezzo:

• Prova gratuita per 30 giorni
• USD $50/sviluppatore
• Prezzi personalizzati per le imprese (contattare Plexicus per un preventivo)

Ideale per:

• Team di sicurezza e sviluppo alla ricerca di una piattaforma unica e scalabile che unifichi la scansione API, la sicurezza del codice applicativo, l’analisi delle dipendenze e la gestione della postura cloud/IaC

2. Salt Security

Salt Security offre una soluzione infusa di AI costruita per l’intero ciclo di vita delle API, aiutandoti a proteggere le API dalla scoperta alla protezione dalle minacce in esecuzione. La sua piattaforma è progettata per identificare tutte le API (comprese le API ombra e zombie), scoprire percorsi di dati sensibili, rilevare attacchi alla logica aziendale e far rispettare la postura e la governance delle API nelle applicazioni moderne.

Caratteristiche principali:

• Scoperta API: mappatura automatica delle API interne, esterne e di terze parti, comprese quelle non gestite da gateway.
• Rilevamento delle anomalie in tempo reale: modelli AI/ML monitorano il traffico API e rilevano attacchi comportamentali come BOLA (Broken Object Level Authorization) e abuso logico.
• Gestione della postura e della conformità: Traccia i dati sensibili in movimento, applica politiche e soddisfa standard come PCI, HIPAA e GDPR.
• Riduzione del rischio di API ombra/zombie: Identifica ed elimina le API non scoperte che possono introdurre rischi.
• Distribuzione su scala cloud: Progettato per scalare con alti volumi di API e si integra con i principali fornitori di cloud come AWS.

Pro:

• Eccellente copertura delle minacce API in tempo reale e degli attacchi comportamentali, non solo scansione delle vulnerabilità standard.
• Forte visibilità su API nascoste e endpoint non monitorati.
• Posizionato per grandi imprese e ambienti API complessi.

Contro:

• Prezzi non pubblicamente trasparenti, principalmente per contratti a livello aziendale.
• Configurazione e ottimizzazione richieste per traffico ad alto volume e integrazioni complesse.
• Meno focalizzato sui test di sicurezza API “shift-left” anticipati rispetto ad alcuni strumenti incentrati sugli sviluppatori.

Prezzo:

• Solo per aziende (contratto personalizzato).
• Menzione da AWS Marketplace:
  • 36.000 USD/anno per fino a 5 milioni di chiamate API/mese;
  • 100.000 USD/anno per fino a 100 milioni di chiamate API/mese.

Ideale per:

Grandi organizzazioni con attacchi API estesi, alti volumi di traffico o problemi di API ombra. Ideale per team che necessitano di monitoraggio e governance in tempo reale attraverso ecosistemi cloud-native.

3. 42Crunch

42Crunch è una piattaforma di sicurezza API end-to-end che ti aiuta a proteggere la tua applicazione dal design all’esecuzione. Combina test di sicurezza API, validazione dei contratti e protezione in tempo reale. Consente alle organizzazioni di integrare la sicurezza nel ciclo di vita delle API tramite integrazioni IDE e CI/CD, mentre applica la governance attraverso politiche basate su OpenAPI/Swagger.

Caratteristiche principali:

• Audit dei contratti API (OpenAPI/Swagger) con oltre 300 controlli di sicurezza.
• Scansione di conformità degli endpoint attivi per vulnerabilità e deviazioni dalle specifiche.
• Micro-firewall API in tempo reale (“API Protect”) che applica un modello di whitelist dalle definizioni dei contratti, rilevando API ombra/zombie.
• Integrazioni centrate sullo sviluppatore: estensioni IDE (VS Code, IntelliJ, Eclipse) e flussi di lavoro CI/CD.
• Governance e inventario API: scopri automaticamente le API, catalogale e applica politiche attraverso team distribuiti.

Pro:

• Forti “shift-left” tramite auditing dei contratti + strumenti per sviluppatori
• Copre l’intero ciclo di vita: sviluppo → distribuzione → runtime
• Riduce i falsi positivi grazie all’applicazione basata su contratti
• Adatto per le imprese con un uso intensivo delle API

Contro:

• Alcune funzionalità di protezione runtime nei livelli superiori (micro-firewall, applicazione completa) possono richiedere un investimento maggiore.
• I livelli per singolo utente o piccoli team possono offrire volumi limitati di endpoint/scansioni.
• Per team API più piccoli o meno maturi, l’ampiezza delle funzionalità potrebbe essere eccessiva.

Prezzo:

• Livello gratuito: $0/mese per un singolo utente, con fino a 100 audit operativi e 100 scansioni operative al mese.
• Livello a pagamento per singolo utente: A partire da ~$15/mese (per utente) per un uso maggiore.
• Livello Team: Da ~$375/mese (fino a ~25 utenti e ~500 endpoint).
• Livello Enterprise: Prezzi personalizzati per un uso maggiore, distribuzione su larga scala.

Ideale per:

Team di sviluppo e imprese che desiderano una soluzione di sicurezza API completa con una forte integrazione nel flusso di lavoro degli sviluppatori e una robusta applicazione runtime dei contratti API.

4. Akamai API Security

La sicurezza API di Akamai è una piattaforma di protezione API end-to-end che ti aiuta a proteggere le tue API dalla scoperta, test, monitoraggio runtime e rimedio.

Aiuta le organizzazioni a scoprire e inventariare tutte le API, comprese quelle legacy, shadow e AI/LLM, quindi a valutare le vulnerabilità, monitorare il comportamento del traffico in tempo reale per trovare anomalie e abilitare un flusso di lavoro di risposta automatizzato per proteggere le tue API.

Caratteristiche principali:

• Scoperta e classificazione automatica delle API, inclusi endpoint shadow o zombie.
• Scansione delle vulnerabilità e audit delle configurazioni errate allineati con OWASP API Top-10.
• Monitoraggio comportamentale e delle anomalie in tempo reale per l’abuso delle API, attacchi alla logica aziendale e esfiltrazione di dati.
• Integrazione nei pipeline CI/CD per test shift-left così come protezione runtime tramite connettori e servizi edge.
• Distribuzione indipendente dalla piattaforma (cloud, ibrido, on-prem), con integrazione senza soluzione di continuità nei gateway API esistenti, CDN e soluzioni WAAP.

Pro:

• Soluzione completa: dalla progettazione/test delle API alla scoperta e sicurezza runtime.
• Di livello enterprise con scala globale e una solida esperienza per API ad alto traffico e mission-critical.
• Progettato per affrontare le minacce moderne, inclusi endpoint Gen AI/LLM, abuso della logica aziendale e superfici di attacco delle API shadow.

Contro:

• Il prezzo è solo per enterprise e non è pubblicamente trasparente, il che potrebbe renderlo fuori portata per team più piccoli o startup in fase iniziale.
• La distribuzione e la messa a punto possono richiedere uno sforzo significativo per ambienti API grandi e complessi.
• Più focalizzato sulla runtime e sul portafoglio enterprise che sui test shift-left leggeri per piccoli team.

Prezzo:

• Prezzo personalizzato (contattare Akamai per un preventivo)

Ideale per:

Le grandi imprese e organizzazioni con ecosistemi API estesi (inclusi API partner/pubblici, integrazioni Gen AI/LLM, API ombra e alti volumi di traffico API) che richiedono monitoraggio, scoperta e protezione avanzata 24/7.

5. Cequence Unified API Protection

Cequence Unified API Protection è una piattaforma che copre l’intero ciclo di vita delle API, scoperta, conformità/test e protezione in tempo reale. Aiuta la tua organizzazione a proteggere le API da attacchi, frodi e abusi della logica aziendale.

Caratteristiche principali:

• Scoperta e inventario delle API: Trova automaticamente API interne, esterne, non documentate (“ombra”) e genera specifiche se mancanti.
• Test di sicurezza delle API: Consente il test delle API in pre-produzione per vulnerabilità (ad es., configurazioni errate, errori di codifica) e può integrarsi nel CI/CD.
• Rilevamento e protezione delle minacce in tempo reale: Utilizza analisi ML/comportamentale per identificare abusi della logica aziendale, stuffing delle credenziali, esfiltrazione di dati, e può applicare risposte di blocco, limitazione del tasso o inganno.
• Conformità e governance: Monitora le API rispetto a politiche interne e quadri normativi (ad es., PCI, GDPR) e fornisce classificazione del rischio API.
• Distribuzione flessibile: SaaS, on-premise, ibrido; strumentazione minima richiesta per la distribuzione; può scalare per proteggere miliardi di chiamate API al giorno.

Pro:

• Copre ogni fase del ciclo di vita della sicurezza API (progettazione, test, runtime) piuttosto che solo un segmento.
• Forte nel rilevare rischi nascosti come API ombra e abuso di endpoint legittimi.
• Scala e flessibilità a livello aziendale con modelli di distribuzione multipli.

Contro:

• I prezzi non sono dettagliati pubblicamente, principalmente per contratti aziendali, il che potrebbe essere costoso per team più piccoli.
• L’impostazione iniziale e la messa a punto possono richiedere uno sforzo significativo, specialmente per ecosistemi API complessi.
• Per i team focalizzati esclusivamente sui test API pre-distribuzione, alcune funzionalità potrebbero essere più del necessario.

Prezzo:

• Prezzi personalizzati per le imprese;
• La AWS Marketplace mostra circa US $52,500/anno per un contratto di 12 mesi che copre fino a 5 milioni di chiamate API/mese.

Ideale per:

Grandi organizzazioni con ecosistemi API complessi, traffico pesante pubblico, partner, interno, abuso di bot/API, rischi di API ombra o requisiti regolamentati che richiedono una protezione della sicurezza API a ciclo completo.

6. Piattaforma di Sicurezza API Traceable

Traceable è una piattaforma di sicurezza API di livello enterprise che copre l’intero ciclo di vita delle API, dalla scoperta e gestione della postura, attraverso i test pre-produzione, fino al rilevamento e alla protezione dalle minacce in tempo reale. Fornisce alle organizzazioni una visibilità completa sul loro panorama API (comprese API interne, partner, shadow e di terze parti) e utilizza analisi AI/ML contestuali per rilevare anomalie, esporre flussi di dati e bloccare gli abusi.

Caratteristiche principali:

• Scoperta e Inventario delle API: Scopri automaticamente tutte le API, pubbliche, interne, non documentate, rivolte ai partner, e costruisci un catalogo completo del patrimonio API.
• Gestione della Postura delle API: Assegna punteggi di rischio alle API in base all’esposizione, alla sensibilità dei dati, ai modelli di traffico e alle vulnerabilità conosciute.
• Test di Sicurezza delle API Contestuali: Utilizza dati di traffico reali (senza richiedere file di specifiche) per testare le vulnerabilità prima della produzione e ridurre i falsi positivi.
• Rilevamento e Protezione dalle Minacce in Tempo Reale: Monitora l’attività delle API, rileva modelli di abuso (attacchi alla logica aziendale, esfiltrazione di dati, frodi bot/API) e blocca le minacce in tempo reale.
• Protezione AI Generativa e API Shadow: Include capacità per proteggere le integrazioni AI generative/API e scoprire endpoint “shadow” o “ghost” che mancano di governance.

Pro:

• Copertura completa: dalla progettazione/test alla protezione in fase di esecuzione, non solo una singola parte della sicurezza API.
• Analisi contestuale approfondita: apprende il comportamento delle API e i flussi di dati per differenziare le vere minacce dal rumore.
• Scala aziendale: progettato per grandi patrimoni API con distribuzioni ibride cloud/on-premise.

Contro:

• Il prezzo è solo per le imprese ed è personalizzato, e potrebbe essere fuori portata per i team più piccoli.
• Configurazione complessa: il pieno beneficio richiede un’adeguata distribuzione, cattura del traffico o integrazione dell’agente, il che potrebbe richiedere tempo/sforzo.
• Il testing “shift-left” incentrato sugli sviluppatori potrebbe essere meno maturo rispetto agli strumenti progettati esclusivamente per gli sviluppatori API.

Prezzo:

• Licenza aziendale personalizzata; contattare il fornitore per un preventivo.
• USD $20,000/mese per la scoperta, limitato a 250 endpoint API
• USD $70,000/mese per la protezione, limitato a 50M di chiamate API/mese

Ideale per:

Grandi organizzazioni con ecosistemi API estesi e ad alto traffico, specialmente quelle che gestiscono API partner, microservizi interni, endpoint AI generativi e che necessitano di supporto completo per il ciclo di vita (scoperta → test → runtime).

7. Piattaforma di Sicurezza API Wallarm

Wallarm offre una piattaforma unificata per la sicurezza delle API che va dalla scoperta, al testing, fino alla protezione runtime di API, microservizi ed endpoint guidati dall’AI. È progettata per architetture moderne e cloud-native e supporta REST, GraphQL, gRPC e WebSockets in ambienti ibridi e multi-cloud.

Caratteristiche principali:

• Scoperta e Inventario delle API: Identifica automaticamente le API pubbliche, private e non documentate (shadow/zombie) con aggiornamenti continui basati sul traffico.
• Rilevamento e Protezione delle Minacce in Runtime: Utilizza analisi comportamentali/ML per rilevare abusi della logica di business, attacchi bot/API, minacce OWASP API Top 10 e fornisce blocco in tempo reale.
• Test di Sicurezza delle API: Si integra nei pipeline CI/CD, automatizza le scansioni di sicurezza delle API e degli agenti, e esegue test di vulnerabilità sia in fase di sviluppo che in produzione.
• Distribuzione Multi-Ambiente: Supporta la distribuzione edge inline, proxy sidecar, cloud ibridi inclusi AWS, GCP, Azure, Kubernetes e data center on-premises.
• Livello Gratuito e Prezzi Basati sull’Uso: Il livello gratuito supporta fino a 500 K richieste/mese, includendo funzionalità complete per protocolli selezionati; i contratti enterprise scalano fino a centinaia di milioni di richieste.

Pro:

• Copertura completa della sicurezza delle API: design, testing, runtime e monitoraggio.
• Scala per grandi portafogli API aziendali con modelli di traffico complessi.
• Flessibilità di distribuzione e forte supporto per protocolli moderni (GraphQL, gRPC).

Contro:

• I prezzi sono principalmente a livello aziendale e non trasparenti per le PMI.
• L’implementazione e la regolazione possono richiedere uno sforzo significativo per ambienti complessi.
• Potrebbe offrire più capacità del necessario per piccoli team focalizzati solo sui test API pre-distribuzione.

Prezzo:

• Livello gratuito: fino a 500K richieste/mese con funzionalità di base.
• Livello aziendale di ingresso: ad esempio, ~50.000$/anno per fino a ~150 milioni di richieste/mese per annuncio AWS Marketplace.
• Valore medio del contratto basato su 24 acquisti reali: ~90.000$/mese-anno.

Ideale per:

Grandi organizzazioni o aziende con ecosistemi API estesi (pubblici, partner, interni), traffico ad alto volume e necessità di protezione API a ciclo completo, inclusa la scoperta, la difesa in tempo reale e l’integrazione DevSecOps.

8. Imperva API Security

Imperva API Security fornisce protezione end-to-end per API pubbliche, private e shadow. Offre visibilità continua sull’intero patrimonio API, scoprendo e classificando automaticamente gli endpoint, mentre applica politiche basate sul rischio e monitora il traffico API in tempo reale per rilevare e bloccare le minacce.

Caratteristiche principali:

• Scoperta e Classificazione delle API: Identificare automaticamente tutte le API (comprese quelle non documentate) tra microservizi, gateway e ambienti cloud.
• Inventario delle API Basato sul Rischio: Classificare le API per sensibilità, esposizione e utilizzo, consentendo una protezione prioritaria.
• Applicazione di Contratti e Schemi: Garantire che il traffico API sia conforme alle specifiche dichiarate (OpenAPI/Swagger) e bloccare gli endpoint inaspettati.
• Monitoraggio del Traffico in Tempo Reale e Analisi delle Minacce: Monitorare continuamente le chiamate API, rilevare anomalie e abusi (ad esempio, esfiltrazione di dati, uso improprio della logica aziendale) e integrare con WAAP/WAF.
• Opzioni di Distribuzione Flessibili: Disponibile come gestito nel cloud o autogestito, compatibile con i principali gateway API (Kong, Azure APIM, Apigee) e supporta la distribuzione sidecar/agent per ambienti ibridi/edge.

Pro:

• Offre protezione API di livello enterprise coprendo scoperta → valutazione del rischio → difesa in tempo reale.
• Integrazione profonda con l’ecosistema WAAP/WAF più ampio di Imperva per una protezione unificata web e API.
• Flessibilità nella distribuzione (cloud o on-prem) adatta ad ambienti regolamentati o ibridi.

Contro:

• Il prezzo non è elencato pubblicamente, mirato a implementazioni aziendali con un potenziale budget elevato.
• Alta complessità: l’installazione e la messa a punto (soprattutto per il monitoraggio del traffico e l’applicazione degli schemi) possono richiedere un forte team di sicurezza/programmazione.
• Le capacità di test “pre-deployment” orientate allo sviluppatore o “shift-left” sono meno enfatizzate rispetto agli strumenti orientati agli sviluppatori.

Prezzo:

• Prezzi personalizzati per le imprese (contattare il reparto vendite)
• Disponibile come componente aggiuntivo per Imperva Cloud WAF (Web Application Firewall) o come soluzione autonoma

Ideale per:

Grandi organizzazioni o industrie regolamentate con ampi patrimoni API (incluse API pubbliche per partner, microservizi interni e API di terze parti/integrative) che richiedono visibilità completa del ciclo di vita, applicazione basata sul rischio e protezione runtime di livello produttivo.

9. APIsec

APIsec è una piattaforma dedicata al testing della sicurezza delle API, specializzata nella scoperta e nel testing automatizzato delle vulnerabilità delle API. Si concentra sull’individuazione di difetti logici, autorizzazioni interrotte e uso improprio delle API oltre la scansione standard delle vulnerabilità. La piattaforma è progettata per l’integrazione nei pipeline CI/CD e supporta il testing continuo degli endpoint API.

Caratteristiche principali:

• Generazione automatica di migliaia di casi di test su misura per un’architettura API specifica (tramite container scanner) per trovare vulnerabilità.
• Copertura completa dei 10 principali rischi di sicurezza API OWASP, inclusi difetti di logica aziendale (ad es., BOLA, assegnazione di massa).
• Integrazione continua dei test: esegue scansioni come parte di CI/CD, genera automaticamente ticket per i risultati e fornisce rapporti dettagliati per i team di sviluppo/sicurezza.
• Supporta le specifiche degli endpoint API (OpenAPI/Swagger, collezioni Postman) e offre opzioni di demo/valutazione gratuite.
• Onboarding e dashboard a misura di sviluppatore per la visibilità sulla postura di sicurezza API. I revisori notano la facilità di integrazione.

Pro:

• Focalizzato esclusivamente sui test di sicurezza API, offre profondità nel rilevamento dei difetti di logica API.
• Forte integrazione con le pipeline DevSecOps: ideale per i team che desiderano spostare a sinistra la sicurezza API.
• Livelli di prezzo trasparenti a livelli di utilizzo inferiori, aiutando i team più piccoli a valutare senza una barriera di costo aziendale.

Contro:

• L’ambito è più ristretto rispetto alle piattaforme di sicurezza API a ciclo completo: si concentra principalmente sui test, meno sulla protezione runtime o sulla scoperta di API ombra.
• Curva di apprendimento ripida per la configurazione avanzata.
• Potrebbe mancare di alcune funzionalità a livello aziendale (monitoraggio delle anomalie runtime, gestione del traffico API su larga scala) rispetto ai fornitori più grandi.

Prezzo:

• Livello gratuito: Gratuito per l’uso di base.
• Edizione Standard: US$650/mese per 100 endpoint
• Edizione Pro: US$2.600/mese per 100 endpoint

Ideale per:

Le squadre di sviluppo e di sicurezza di medie dimensioni che desiderano una robusta scansione delle vulnerabilità API e rilevamento dei difetti logici integrati nel CI/CD, senza la necessità di un’infrastruttura di protezione API runtime a livello aziendale.

10. Strumento di Sicurezza API Akto

Akto è una moderna piattaforma di sicurezza API costruita per i team che vogliono integrare il rilevamento delle vulnerabilità durante tutto il ciclo di vita delle API, dalla scoperta e test al monitoraggio della postura in runtime. Si concentra su un inventario continuo delle API, test automatizzati e integrazione del flusso di lavoro CI/CD.

Caratteristiche Principali:

• Scoperta e Inventario delle API: Scopre automaticamente API pubbliche, private, interne e dei partner (incluse API shadow o zombie) utilizzando oltre 50 connettori di traffico e codice.
• Test di Sicurezza API Continuo: Utilizza una vasta libreria (oltre 1000 test) per rilevare i rischi OWASP API Top 10, autenticazioni rotte, difetti di logica aziendale, ecc., integrati nel CI/CD.
• Monitoraggio della Postura API in Runtime: Traccia le API esposte, le configurazioni errate, l’esposizione di dati sensibili e il punteggio di rischio basato su modelli di traffico e vulnerabilità.
• Integrazione DevSecOps: Si integra facilmente con i tuoi pipeline di sviluppo, supporta REST, GraphQL, gRPC e SOAP, e supporta sia il test “shift-left” che quello in runtime.

Pro:

• Consente una copertura ampia della sicurezza API (scoperta + test + postura) piuttosto che solo una parte.
• Amichevole per sviluppatori e CI/CD: adatto per team che vogliono integrare la sicurezza API fin dall’inizio.
• Enfasi trasparente sui tipi di API moderni (GraphQL, gRPC) e sui difetti di logica aziendale.

Contro:

• Meno enfasi sulle analisi runtime su larga scala rispetto ai fornitori di livello più alto.
• Prezzi e livelli possono richiedere un preventivo o un contratto personalizzato per un uso ad alto volume.
• Essendo un nuovo arrivato, ha meno riferimenti di grandi imprese legacy rispetto ai fornitori più grandi.

Prezzo:

• Livello gratuito disponibile; utilizza un modello basato sull’uso/licenza tramite marketplace (SaaS) per contratto.
• Piano Team [Connettori Avanzati]:
  • $1,990/mese
  • Fino a 500 API, 20,000 Test al mese, 30 test personalizzati al mese
• Piano Business:
  • $990/mese
  • Fino a 1000 API, 25,000 Test, 50 test personalizzati
• Piano Business [Connettori Avanzati]
  • $4,990/mese
  • Fino a 1000 API, 50,000 Test, Test personalizzati illimitati
• Piano Enterprise:
  • $6,990/mese.
  • API illimitate, secondo contratto

Ideale per:

Sviluppo, DevSecOps e team di sicurezza di medie dimensioni che cercano test di sicurezza API integrati e visibilità continua della postura API senza investire in soluzioni esclusivamente per grandi imprese.