Vulneralt
Postazione e-commerce con dispositivi multipli - sicurezza negozio online

Settori

E-commerce italiani sotto attacco: come proteggere il tuo negozio online

PubblicatoLettura5 min

Gli e-commerce italiani sono un target sempre più strategico per i criminali informatici. La ragione è semplice: trattano carte di credito, dati personali, ordini ricorrenti, integrazioni con corrieri e pagamenti. Un singolo e-commerce compromesso può fruttare a un attaccante decine di migliaia di euro tra carte rubate e ordini fraudolenti.

Vediamo le minacce più frequenti e come difendersi senza dover rifare il sito da zero.

Magecart e skimmer JavaScript

Il Magecart è una famiglia di attacchi che inietta codice JavaScript malevolo nel checkout del tuo e-commerce, intercettando i dati delle carte di credito prima che vengano inviati al gateway di pagamento. Il cliente non si accorge di nulla: paga normalmente, riceve la conferma d'ordine, ma la sua carta è stata clonata.

Il vettore di attacco è spesso una libreria JavaScript terza (analytics, chat, recensioni) compromessa a monte. Difesa pratica: usare la Content Security Policy (CSP) per limitare i domini da cui il browser può caricare script; integrare Subresource Integrity (SRI) per le librerie esterne; ridurre al minimo i tracker di terze parti.

Account takeover e credential stuffing

I criminali usano password rubate da altri data breach per provarle massivamente sui tuoi clienti. Se un cliente ha riutilizzato la stessa password tra il tuo e-commerce e un sito che è stato bucato, il suo account su di te è in pericolo. Account compromesso uguale ordini fraudolenti, indirizzi modificati, dati personali esfiltrati.

Difese efficaci: forzare il rate limiting sul login (es. 5 tentativi prima di blocco temporaneo); offrire (e in alcuni casi richiedere) l'autenticazione a due fattori; controllare la lista email dei clienti contro database di breach pubblici come HaveIBeenPwned e avvisare gli account a rischio.

Frodi al checkout

Differente dal Magecart, qui i criminali usano carte rubate altrove per fare acquisti sul tuo sito. Tu spedisci la merce, poi il legittimo proprietario contesta la transazione e tu perdi sia il prodotto sia il valore (chargeback).

Difese: integrare 3D Secure 2 (obbligatorio per PSD2 in UE); usare un servizio antifrode con scoring del rischio (Stripe Radar, Adyen Risk, ecc.); verificare manualmente ordini ad alto valore o con incongruenze (es. indirizzo di spedizione diverso da quello di fatturazione, IP da paese diverso).

Plugin e tema obsoleti

Se usi WordPress + WooCommerce, PrestaShop o Magento, la sicurezza dipende dal plugin più obsoleto installato. Un singolo plugin non aggiornato è la porta d'ingresso più comune per attacchi a e-commerce in Italia. Le statistiche sono brutali: il 60% delle vulnerabilità sfruttate negli e-commerce WordPress nel 2024 erano in plugin con patch disponibili da oltre 6 mesi.

Difesa: routine mensile di update di CMS, tema e plugin; rimozione di plugin non più usati (anche se disattivati, restano vulnerabili); monitoraggio dei plugin abbandonati dal vendor (cambia plugin se non riceve aggiornamenti da oltre 1 anno).

Il piano minimo per un e-commerce italiano

Se gestisci un e-commerce e vuoi dormire più tranquillo, le priorità da chiudere nei prossimi 30 giorni sono: aggiornare tutto (CMS, plugin, tema); attivare HTTPS strict e CSP; integrare 3D Secure 2; configurare backup automatici giornalieri offsite; impostare alert sui pattern di acquisto anomali. Sono interventi che, fatti insieme, riducono drasticamente la superficie d'attacco senza richiedere una riscrittura del sito.