Italia: cresce l'eCommerce ma aumentano anche i rischi per la sicurezza

Lockdown prima e distanziamento sociale poi: l'emergenza COVID-19 ha rivoluzionato di fatto i comportamenti degli italiani anche per quanto riguarda gli acquisti. Nel giro di poche settimane, l'e-commerce è diventato quasi l'unico canale di contatto, sia per l'acquisto che per la vendita.

In Italia, da inizio anno a oggi sono due milioni i nuovi consumatori online, di cui 1,3 milioni sono arrivati alle piattaforme di acquisto digitale proprio durante la crisi sanitaria. Secondo i dati dall'Osservatorio eCommerce B2C promosso dalla School of Management del Politecnico di Milano e da Netcomm, il Consorzio del Commercio Elettronico Italiano, gli acquisti dei consumatori nel comparto Food&Grocery varranno 2,5 miliardi di euro, con una crescita del +55%, quasi un miliardo in valore assoluto in più rispetto al 2019.
È un dato di fatto che la pandemia ha portato nel giro di pochi mesi a un importante salto in avanti nella digitalizzazione di utenti e imprese. I dati Istat lo confermano: ad aprile 2020 il commercio tradizionale ha registrato un vero e proprio crollo rispetto all'anno precedente con un calo del 16,4% per la grande distribuzione e del 37,1% per le imprese operanti su piccole aree. Il commercio elettronico ha preso ulteriormente piede, con una crescita del +27,1% rispetto all'aprile 2019.

Digitalizzazione ed eCommerce però portano con sé una serie di rischi legati alla sicurezza, che potrebbero compromettere lo shopping degli utenti e non solo. Non sempre i clienti vanno direttamente sul sito di un determinato retailer. Magari decidono di visitarlo dopo aver ricevuto un messaggio relativo a una promozione o un'offerta speciale. Ma quante sono le email che ogni giorno promettono sconti, a cui accedere tramite un link incluso nel testo? Sono tutte legittime e sicure? Forse è opportuno non fidarsi sempre ciecamente.
Proofpoint ha condotto un'analisi approfondita sulle misure di protezione messe in campo dai principali siti italiani di eCommerce, verificando la presenza e la completa implementazione del protocollo DMARC (Domain-based Message Authentication Reporting and Conformance). Questo protocollo impedisce ai cybercriminali di impossessarsi dell'identità di un'organizzazione e riduce il rischio di frodi via email per i clienti.

I criminali informatici utilizzano regolarmente il metodo dell'impersonificazione (spoofing) dei domini per spacciarsi per organizzazioni come i siti di e-commerce, inviando un'email da un indirizzo che appare lo stesso del mittente legittimo. Ciò rende quasi impossibile per un normale utente di Internet identificare un mittente falso da uno reale.
"I brand più noti portano con sé un atteggiamento generalmente positivo da parte del consumatore, che tende ad accettare con fiducia comunicazioni in arrivo da un marchio che conosce," spiega Luca Maiocchi, country manager di Proofpoint in Italia. "Gli hacker lo sanno e cercano di sfruttare questa predisposizione, impersonificando i brand più noti e familiari per ognuno di noi. Esistono misure per difendersi e difendere i consumatori, è decisamente preoccupante però che non siano adottate in modo più esteso."

L'analisi ha preso in considerazione i dieci principali siti di eCommerce divisi per categorie merceologiche, in base alla classifica di Semrush, e di beni alimentari (fonte Altroconsumo), per un totale di 79 siti web. Il risultato non è confortante: quasi il 90% non protegge adeguatamente il cliente dai rischi di frode online via posta elettronica.
Nonostante quasi la metà dei rivenditori analizzati (39 su 79, 49%) disponga del protocollo DMARC, solo l'11% (9 su 79) ha impostato la modalità "reject" (rifiuto), che fornisce il livello di protezione più rigoroso e raccomandato, che comporta una protezione attiva dei loro clienti dalle frodi via email. Nella sostanza, la modalità reject impedisce che un messaggio email utilizzante un determinato dominio raggiunga il destinatario, se non è stato fisicamente inviato dal mittente legittimo.

La percentuale più alta di adozione (80%) del protocollo DMARC si verifica nel settore della moda (siti monomarca) e dei complementi dì arredo, la più bassa (20%) tra gli shop di cosmetici. È decisamente preoccupante però che in più di un settore - cosmetici, alimentari, libri, elettronica di consumo - nessuno dei siti analizzati abbia scelto la modalità "reject". I clienti di questi siti possono ricevere email pericolose e di phishing senza nessun controllo sui domini che appaiono al destinatario.