Italia, è boom per l’e-commerce. Ma è sicuro?

L’emergenza Covid ha dato una forte spinta agli italiani verso gli acquisti online. Ma il 90% dei principali siti italiani non protegge adeguatamente i clienti dal rischio di frodi. Per cosmetici, home decor, libri e alimentari il rischio potenziale è particolarmente alto

Lockdown prima e distanziamento sociale poi: l’emergenza Covid ha rivoluzionato di fatto i comportamenti degli italiani anche per quanto riguarda gli acquisti. Nel giro di poche settimane, l’e-commerce è diventato quasi l’unico canale di contatto, sia per l’acquisto che per la vendita.

In Italia, da inizio anno a oggi sono due milioni i nuovi consumatori online, di cui 1,3 milioni sono arrivati alle piattaforme di acquisto digitale proprio durante la crisi sanitaria. Secondo i dati dall’Osservatorio eCommerce B2C promosso dalla School of Management del Politecnico di Milano e da Netcomm, il Consorzio del Commercio Elettronico Italiano, gli acquisti dei consumatori nel comparto Food&Grocery varranno 2,5 miliardi di euro, con una crescita del +55%, quasi un miliardo in valore assoluto in più rispetto al 2019.

È un dato di fatto che la pandemia ha portato nel giro di pochi mesi a un importante salto in avanti nella digitalizzazione di utenti e imprese. I dati Istat lo confermano: ad aprile 2020 il commercio tradizionale ha registrato un vero e proprio crollo rispetto all’anno precedente con un calo del 16,4% per la grande distribuzione e del 37,1% per le imprese operanti su piccole aree. L’e-commerce ha preso ulteriomente piede, con una crescita del +27,1% rispetto all’aprile 2019.

Digitalizzazione ed e-commerce però portano con sé una serie di rischi legati alla sicurezza, che potrebbero compromettere lo shopping degli utenti e non solo. Non sempre i clienti vanno direttamente sul sito di un determinato retailer. Magari decidono di visitarlo dopo aver ricevuto un messaggio relativo a una promozione o un’offerta speciale. Ma quante sono le email che ogni giorno promettono sconti, a cui accedere tramite un link incluso nel testo? Sono tutte legittime e sicure? Forse è opportuno non fidarsi sempre ciecamente.

A questo proposito, Proofpoint, leader nella sicurezza informatica e compliance, ha condotto un’analisi approfondita sulle misure di protezione messe in campo dai principali siti italiani di e-commerce, verificando la presenza e la completa implementazione del protocollo DMARC (Domain-based Message Authentication Reporting and Conformance). Questo protocollo impedisce ai cybercriminali di impossessarsi dell’identità di un’organizzazione e riduce il rischio di frodi via e-mail per i clienti.

I criminali informatici utilizzano regolarmente il metodo dell’impersonificazione (spoofing) dei domini per spacciarsi per organizzazioni come i siti di e-commerce, inviando un’email da un indirizzo che appare lo stesso del mittente legittimo. Ciò rende quasi impossibile per un normale utente di Internet identificare un mittente falso da uno reale.

“I brand più noti portano con sé un atteggiamento generalmente positivo da parte del consumatore, che tende ad accettare con fiducia comunicazioni in arrivo da un marchio che conosce,” spiega Luca Maiocchi, country manager di Proofpoint in Italia. “Gli hacker lo sanno e cercano di sfruttare questa predisposizione, impersonificando i brand più noti e familiari per ognuno di noi. Esistono misure per difendersi e difendere i consumatori, è decisamente preoccupante però che non siano adottate in modo più esteso.”

L’analisi ha preso in considerazione i dieci principali siti di e-commerce divisi per categorie merceologiche, in base alla classifica di Semrush, e di beni alimentari (fonte Altroconsumo), per un totale di 79 siti web. Il risultato non è confortante: quasi il 90% non protegge adeguatamente il cliente dai rischi di frode online via posta elettronica.

Nonostante quasi la metà dei rivenditori analizzati (39 su 79, 49%) disponga del protocollo DMARC, solo l’11% (9 su 79) ha impostato la modalità “reject” (rifiuto), che fornisce il livello di protezione più rigoroso e raccomandato, che comporta una protezione attiva dei loro clienti dalle frodi via email. Nella sostanza, la modalità reject impedisce che un messaggio email utilizzante un determinato dominio raggiunga il destinatario, se non è stato fisicamente inviato dal mittente legittimo.

La percentuale più alta di adozione (80%) del protocollo DMARC si verifica nel settore della moda (siti monomarca) e dei complementi dì arredo, la più bassa (20%) tra gli shop di cosmetici. È decisamente preoccupante però che in più di un settore – cosmetici, alimentari, libri, elettronica di consumo – nessuno dei siti analizzati abbia scelto la modalità “reject”. I clienti di questi siti possono ricevere email pericolose e di phishing senza nessun controllo sui domini che appaiono al destinatario.

Questa l’analisi settore per settore:

Abbigliamento (monomarca)
8 siti su 10 (80%) hanno implementato il protocollo DMARC. Solo 3 su 10 però hanno scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per il 70% del campione preso in esame un rischio significativo di frode via email.

Abbigliamento (multimarca)
5 siti su 10 (50%) hanno implementato il protocollo DMARC. Solo 2 su 10 però hanno scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per l’80% del campione preso in esame un rischio significativo di frode via email.

Cosmetici
2 siti su 10 (20%) hanno implementato il protocollo DMARC. Nessuno però ha scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per il 100% del campione preso in esame un rischio significativo di frode via email.

Elettronica di consumo
4 siti su 10 (40%) hanno implementato il protocollo DMARC. Nessuno però ha scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per il 100% del campione preso in esame un rischio significativo di frode via email.

Marketplace
5 siti su 10 (50%) hanno implementato il protocollo DMARC. Solo 2 su 10 però hanno scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per l’80% del campione preso in esame un rischio significativo di frode via email.

Complementi d’arredo
8 siti su 10 (80%) hanno implementato il protocollo DMARC. Solo 2 su 10 però hanno scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per l’80% del campione preso in esame un rischio significativo di frode via email.

Libri
3 siti su 10 (30%) hanno implementato il protocollo DMARC. Nessuno però ha scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per il 100% del campione preso in esame un rischio significativo di frode via email.

Alimentari
La spesa online è diventata la scelta di molti nella fase di lockdown. 4 siti su 9 (44%) hanno implementato il protocollo DMARC. Nessuno però ha scelto la modalità “reject”, che impedisce in modo preventivo che le email che sfruttano un determinato dominio raggiungano i destinatari. Questo significa per il 100% del campione preso in esame un rischio significativo di frode via email.

Il protocollo DMARC
Per molte organizzazioni, la possibilità di ridurre il rischio di frodi via email è legata all’utilizzo di DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocollo email adottato a livello globale come un vero e proprio “controllo passaporti” del mondo della sicurezza della posta elettronica. Il protocollo verifica che il dominio del mittente non venga utilizzato in modo illegittimo. DMARC effettua una verifica basandosi sugli standard DKIM (DomainKeys Identified Mail) e SPF (Sender Policy Framework) per garantire che il messaggio email non mostri un dominio impersonificato in modo illegittimo. Questa autenticazione protegge dipendenti, clienti e partner dai criminali informatici che intendono impersonificare un dominio noto e fidato.