SQL Injection nel 2026 — è davvero ancora così comune?

Continuo a leggere che SQLi è "old school" ma in CTF e anche in bug bounty reale è ancora ovunque. La settimana scorsa ho trovato un form vulnerabile su un sito italiano di medie dimensioni (responsible disclosure inviata). La causa: concatenazione diretta di stringa nell'input senza prepared statements. Nel 2026. Come mai le aziende italiane sono così indietro sulla sicurezza web?