La cybersecurity per ecommerce è una delle tematiche più importanti a cui prestare attenzione quando si tratta di proteggere il vostro negozio online e tutelare l'operatività della vostra attività commerciale.
In questa guida pratica, analizzeremo i 6 aspetti principali da prendere in considerazione per sviluppare la vostra strategia di cybersecurity per ecommerce.
Introduzione
Il tema della cybersecurity per commerce è, come facilmente comprensibile, molto vasto ed è caratterizzato dalla necessità di un costante aggiornamento. È di comune esperienza che gli attacchi digitali siano in perenne evoluzione e diversificazione, seppure su due direttive principali:
- Attacchi di tipo tecnico informatico: quando vengono sfruttate delle vulnerabilità del sistema informatico basate su porte di rete aperte e non presidiate, oppure sfruttando degli errori di programmazione o di applicazioni, o ancora sistemi o applicazioni non aggiornate e infine sfruttando qualche “zero-day” (ovvero vulnerabilità informatiche non ancora nota allo sviluppatore);
- Tecniche di social engineering: si basano sul convincere il bersaglio a fornire le credenziali di accesso ad un servizio oppure, più in generale, a compiere un'azione che permetta all'attaccante di accedere al device del bersaglio o ai servizi da lui utilizzati. Per un aggiornamento delle tecniche via in sviluppo è sempre consigliabile monitorare i threat report delle associazioni dedicate, come quello annuale OWASP Top Ten.
Sotto il profilo della cybersecurity, l'obiettivo di ogni merchant è quello di difendere il proprio sito ecommerce e la propria attività, il flusso dei pagamenti nonché i dati dei clienti, ed evitare che questi vengano colpiti da qualche malware. In questa analisi, non va dimenticata l'importanza del danno alla reputazione: un attacco cyber-informatico ad un sito ecommerce, che ad esempio lo renda temporaneamente irraggiungibile (attacco di tipo DDoS, Denial of Service, che esaurisce le risorse di un sistema informatico), avrà un effetto molto negativo sulla fiducia dei clienti, a cui si aggiunge il danno per il mancato incasso per il tempo in cui l’ecommerce è rimasto irraggiungibile.
L’impatto economico negativo di un attacco cyber ha quindi una serie di sfaccettature che possono andare oltre all’immediata e temporanea perdita di ricavi: a questa si può aggiungere, tra gli altri, l'abbandono della piattaforma da parte dei clienti o, peggio, il rischio di doverli risarcire.
Per aiutarvi nella definizione e sviluppo della vostra strategia di cybersecurity per ecommerce, ecco sei aspetti tra i più importanti da prendere in considerazione.
1. La scelta della piattaforma
Il punto di partenza è quello di affidarsi ad una piattaforma affidabile e professionale (leggi la nostra guida sulle migliori piattaforme ecommerce), che dia garanzie di fornire un servizio conforme alla normativa sulla protezione dei dati e, più in generale, alla disciplina civilistica, in modo da non incorre in responsabilità contrattuali o relative al codice del consumo. Deve trattarsi inoltre di una piattaforma che fornisca un servizio scalabile, così da potersi evolvere con la crescita del negozio online. La scelta della piattaforma diviene quindi fondamentale anche sotto il profilo della business continuity, ovvero la capacità continuare ad erogare il servizio di anche a seguito di un incidente informatico o a un attacco di cyber criminali.
Da questo punto di vista, Shopify è una certezza: le funzioni per la sicurezza di Shopify includono, con tutti i piani, un certificato SSL, la conformità PCI di livello 1 e aggiornamenti di sicurezza sempre gratuiti.
2. La procedura di disaster recovery
Ogni negozio online dovrebbe prevedere una strategia di disaster recovery, ovvero una procedura tecnologica e organizzativa che gli permetta di poter rispristinare i dati da accadimenti accidentali o da attacchi informatici.
La misura principale da attivare è quella del backup, ovvero una copia di sicurezza di tutti i dati del negozio online; questa copia deve essere strutturata in modo automatico ed attuata quotidianamente in modo da essere sicuri che venga fatta indipendentemente dall’intervento umano. Implementare una pratica di backup regolare può anche aiutarvi a ripristinare il sito in caso di cancellazioni accidentali. Shopify offre diverse opzioni per il backup o la duplicazione del negozio online.
3. La protezione del negozio ecommerce
La crescita di tutto l'ecommerce a seguito della pandemia di Covid-19 è andata di pari passo con l'incremento degli attacchi informatici volti ad acquisire i dati dei clienti ed in particolar modo i dati delle loro carte di credito. Le tipologie di attacco per acquisire illecitamente questi dati sono principalmente il phishing, lo skimming o attacchi tramite software di malware e spyware. Tra questi è utile richiamare l'attenzione, vista l’impennata nella sua diffusione, sullo skimming digitale: l'e-skimmer è un codice malevolo inserito dal criminale informatico nelle favicon del sito ecommerce, ovvero nelle immagini o nei loghi di un negozio di ecommerce in modo, quindi, perfettamente nascosto al cliente e con lo scopo preciso di intercettare tutti i dati inseriti nel form del pagamento online.
In questo panorama è del tutto evidente che il titolare di un ecommerce debba preoccuparsi di tutelare la sicurezza del proprio sito e di conseguenza dei suoi clienti anche al fine di non essere considerato, da questi ultimi, responsabile civilisticamente per quanto possa accadere. Questa attività di protezione dell’ecommerce deve essere condotta a vari livelli e può, in modo conciso, essere suddivisa in misure volte ad attenuare gli attacchi verso il sito e quelle che dovrebbero attuare i clienti per proteggere loro stessi. Nell'ambito delle misure da attivare nell'ecommerce ve ne sono alcune di competenza della piattaforma che ospita l'ecommerce ed altre in capo al gestore del negozio online. Senza avere la pretesa di fare un'elencazione esaustiva si possono indicare:
- L'utilizzo di firewall aggiornati per scongiurare accessi non autorizzati;
- L'aggiornamento costante del sistema operativo e del software della piattaforma;
- L'adozione di software anti-malware sempre aggiornati;
- La cifratura del database del sito (anche per evitare attacchi SQL Injection);
- L'attivazione del protocollo SSL/TLS;
- La scelta di una password molto robusta (o di una passphrase) per accedere come amministratore al proprio ecommerce;
- L'imposizione di requisiti minimi agli utenti nella scelta delle loro password (lunghezza minima ormai di 10/12 caratteri o di una passphrase, l'utilizzo di caratteri maiuscoli, minuscoli e di punteggiatura ecc.);
- L'attivazione dell'autenticazione forte (o PSD2) per accedere al sito come amministratore e l'invito ai clienti a fare altrettanto;
- L'utilizzare un circuito di credito affidabile ed impiegare con i clienti mezzi di pagamento sicuri (vedi il successivo punto 5);
- Da ultimo, potrebbe essere interessante ricorrere, con cadenza annuale e previo consenso scritto della piattaforma che ospita il sito di ecommerce, ad aziende specializzate che effettuino delle prove di vulnerabilità del sito ecommerce (c.d. penetration test).
Scegliendo una piattaforma come Shopify, non dovrete mai preoccuparvi di tutto ciò, in quanto le opzioni e gli strumenti per la sicurezza più avanzati sono attivati per impostazione predefinita.
Le misure che dovrebbero attuare i clienti sono quelle più difficili perché esulano, ovviamente, dal perimetro di intervento diretto del titolare dell'ecommerce; questo potrà tutt'al più prevedere una serie di suggerimenti operativi da inviare via e-mail al cliente quando si registra al sito ecommerce (e magari periodicamente, in una sorta di mini-formazione proattiva). Tra le indicazioni possibili si può tuttavia ricordare l'importanza di:
- Mantenere sempre aggiornato il proprio sistema operativo, il browser che si utilizza per lo shopping online e i relativi plug-in;
- Adottare un plug-in Adblocker per il controllo dell’esecuzione di banner, script e popup all'interno del browser;
- Utilizzare un software anti-malware aggiornato;
- Scegliere una password robusta o ancora meglio di una passphrase;
- Attivare l'autenticazione a due fattori.
4. La sicurezza del flusso di dati
Il negozio online è caratterizzato da un flusso costante di dati, come quelli della carta di credito del cliente oppure le sue credenziali di accesso. L'importanza e la tutela di questi dati risulta evidente non solo nell'ottica delle previsioni imposte dal GDPR, ma in ogni caso dalla necessità dell'azienda, che vende mediante ecommerce, di tutelare il proprio business nonché di offrire ai propri clienti un servizio professionale, che venga da questi peraltro così percepito anche sotto il profilo dell'affidabilità.
Il flusso di questi dati deve quindi essere adeguatamente protetto: il negozio online deve così dotarsi o attivare la protezione SSL (Secure Sockets Layer) o quella relativamente più recente TLS (Transport Layer Security). Questi sono di fatto un protocollo crittografico basato su certificati che protegge tutti i dati in transito tra il negozio ecommerce e l'utente. L'utente di norma riconosce che la piattaforma ecommerce abbia adottato tale sistema di protezione perché nella barra dell'url del browser, l'indirizzo del sito è preceduto da HTTPS (Hyper Text Transfer Protocol Secure) e viene rappresentato graficamente da un lucchetto. Questo sistema dovrebbe così proteggere da attacchi di tipo "man-in-middle", ovvero quelli in cui un cybercriminale intercetta i dati della carta di credito dell'utente inseriti in fase di perfezionamento dell'ordine nel negozio online.
Il cliente potrebbe, peraltro, aggiungere un livello ulteriore di sicurezza impiegando un servizio di VPN (Virtual Private Network), ovvero un servizio che crea una connessine cifrata fra due dispositivi (ad es lo smartphone dell’utente e il server del negozio online) come se fossero collegati ad una stessa rete; questa soluzione ha però un suo costo che la cui sostenibilità andrà opportunamente valutata.
5. La sicurezza dei pagamenti
La sicurezza dei pagamenti è un altro tema fondamentale nell'ecommerce ed è quindi un tema che il titolare del negozio online deve porsi sia perché previsto dalla normativa, sia per evitare responsabilità civilistiche o danni alla reputazione. Il 1° gennaio di quest'anno è diventata obbligatoria la Direttiva europea sui servizi di pagamento PSD2, che ha lo scopo di tutelare i pagamenti online dei consumatori europei nonché i titolari di ecommerce.
Si ricorda, infine, che chiunque si occupi dell'elaborazione, dell'archiviazione o della trasmissione di dati relativi a transazioni effettuate con carte di pagamento deve rispettare lo standard di sicurezza PCI-DSS; questo prescrive varie misure tra le quali, ad es., firewall, antivirus aggiornati, software sviluppato secondo pratiche sicure, limitazioni all’accesso interno dei dati, monitoraggio e test regolare delle reti. Anche da questo punto di vista, utilizzando una piattaforma come Shopify gli aspetti sono ampiamente coperti.
6. Cybersecurity e Compliance normativa
Infine, la cybersecurity per ecommerce deve tenere conto degli aspetti normativi. Ci si riferisce in particolare, avendo già fatto cenno alla PSD2 sui pagamenti e senza dimenticare il codice del consumo (D.Lgs. 206/2005), alla compliance con quanto previsto dal GDPR (Reg. UE/2016/679).
Nel quadro, infatti, del principio dell'accountability il titolare di un negozio online deve:
- Anzitutto effettuare un'analisi dei rischi concreta, calata cioè sulla propria realtà al fine di comprendere il livello di minaccia per i dati che tratta e i possibili attaccanti;
- Progettare sin dall'inizio la sua attività nell'ottica della protezione dei dati personali (c.d. Privacy by Design - cfr. art. 25 GDPR) o più in generale di quelli concernenti il suo business, con una privacy policy per ecommerce;
- Trattare, come modalità predefinita, unicamente i dati personali necessari per le finalità previste dall'attività economica scelta e per il tempo strettamente necessario a tali finalità (c.d. Privacy by Default - cfr. art. 25 GDPR);
- Adottare misure di sicurezza tecnico organizzative adeguate alla tipologia di dati trattati, ai relativi rischi ed al progresso tecnologico; queste misure non sono, peraltro, statiche ma devono costantemente essere aggiornate, tenendo conto della capacità di spesa dell'imprenditore (cfr. art. 32 GDPR). Da un punto di vista pratico queste misure, nell'ambito della cybersecurity, sono proprio quelle che si è cercato di schematizzare nei punti precedenti.
Non a caso l'aspetto legale è stato tenuto per ultimo. Si è voluto infatti evidenziare come una seria compliance normativa non costituisca un ostacolo al business bensì un facilitatore nella misura in cui questa venga confezionata su misura all'attività ecommerce prescelta avvalendosi, magari, della consulenza di professionisti preparati nel settore.
NOTA: Questo articolo può contenere delle semplificazioni e non è in alcun modo da intendersi come una consulenza legale, né instaura alcun tipo di relazione avvocato-cliente. Rivolgetevi a un professionista per informazioni specifiche relative alla vostra situazione.
Articolo a cura di Avv. Valerio Vertua (Socio) di 42 Law Firm, una Società tra avvocati, informatici ed esperti della digital transformation. Nasce con l’obiettivo di assistere i clienti grazie a professionisti in grado di colmare il divario tra diritto e tecnologia, anche nel settore ecommerce.
Continua a leggere
- Come portare online il vostro negozio fisico- guida pratica
- 9 modi per scrivere descrizioni di prodotto efficaci (con esempi)
- Informazioni su PSD2 e autenticazione forte del cliente
- PSD2- cos'è, significato, guida pratica alla direttiva europea sulla PSD2
- Maggiori informazioni circa l'impatto del GDPR sui merchant di Shopify
- Brand protection- come proteggersi dal furto d’identità digitale
- Come proteggere il vostro ecommerce online- 5 consigli legali
- Chargeback per ecommerce- cos'è e come gestirlo
- Termini & Condizioni e ODR- il vostro ecommerce è in regola?
- Forme giuridiche d'impresa individuale e collettiva- quale scegliere per la propria attività?