Hai un e-commerce e ti sembra che "tanto chi vuoi che attacchi il mio negozio"? Peccato che i cybercriminali la pensino diversamente: dati di carte di credito, informazioni personali, credenziali di migliaia di utenti, tutto concentrato in un unico punto. Nel 2025, il 32% degli attacchi web ha colpito piattaforme e-commerce, con un danno medio per incidente di €150.000 tra vendite perse, sanzioni e reputazione distrutta. Qui ti spieghiamo come proteggere il tuo negozio online con misure concrete — senza tecnicismi inutili.
Indice dei Contenuti
Perché gli E-commerce Sono Bersagli Così Ghiotti
I cybercriminali attaccano gli e-commerce per una ragione banale: sono concentrazioni di valore. Un singolo negozio online contiene tutto quello che serve per trasformare un attacco in denaro.
Cosa rende il tuo negozio online un bersaglio perfetto
- Dati di pagamento – numeri di carte di credito venduti a €5-50 ciascuno sul dark web
- Dati personali – nomi, indirizzi, email, telefoni di migliaia di clienti per identity theft
- Credenziali riutilizzabili – il 65% degli utenti riusa la stessa password su più siti
- Superficie di attacco ampia – frontend, backend, API, plugin, integrazioni con terze parti
- Disponibilità critica – ogni ora di downtime costa vendite perdute, danno reputazionale e clienti che non tornano
A peggiorare le cose, molti e-commerce sono costruiti su piattaforme open source (WooCommerce, Magento, PrestaShop) con plugin di terze parti che nessuno aggiorna. Ogni plugin è una porta potenziale per un attaccante. Pensa: il 97% delle falle di WordPress/WooCommerce arriva dai plugin, non dal core.
I 5 Attacchi Più Comuni agli E-commerce
1. SQL Injection
L'attaccante inserisce codice SQL malevolo nei campi di input del sito (barra di ricerca, form di login, parametri URL) per accedere direttamente al database. Può estrarre l'intero database: utenti, password, ordini, numeri di carta. È una delle vulnerabilità più antiche ma ancora tra le più diffuse: nel 2025, il 23% degli e-commerce testati era vulnerabile a SQL injection. La prevenzione richiede: prepared statements, input validation, WAF e penetration test regolari.
2. Cross-Site Scripting (XSS)
L'attaccante inietta script JavaScript malevolo nelle pagine del sito (recensioni prodotti, commenti, campi di ricerca) che viene eseguito nel browser di altri utenti. Può rubare cookie di sessione, reindirizzare verso pagine di phishing, modificare il contenuto visualizzato o catturare i dati inseriti nei form. L'XSS stored (persistente) è particolarmente pericoloso perché colpisce tutti gli utenti che visitano la pagina infetta.
3. Magecart / Web Skimming
Uno degli attacchi più insidiosi e specifici per gli e-commerce. I criminali iniettano codice JavaScript malevolo nelle pagine di checkout che cattura i dati delle carte di credito in tempo reale mentre i clienti li inseriscono, e li invia a un server controllato dall'attaccante. Il codice è invisibile: il pagamento va a buon fine, il cliente non si accorge di nulla, e i dati della carta vengono rubati. Gruppi come Magecart hanno compromesso migliaia di e-commerce, inclusi brand famosi come British Airways e Ticketmaster.
4. Credential Stuffing
Gli attaccanti utilizzano liste di credenziali rubate da data breach precedenti (milioni di combinazioni email/password) per tentare automaticamente il login sugli e-commerce. Poiché il 65% degli utenti riutilizza le password, una percentuale significativa di questi tentativi ha successo. Una volta dentro, i criminali possono: effettuare acquisti con i metodi di pagamento salvati, rubare punti fedeltà, modificare gli indirizzi di spedizione, o raccogliere ulteriori dati personali.
5. DDoS (Distributed Denial of Service)
Un attacco DDoS sovraccarica il server dell'e-commerce con milioni di richieste simultanee, rendendolo inaccessibile ai clienti legittimi. Per un e-commerce, il danno è diretto e immediato: vendite perdute, clienti frustrati, danni reputazionali. Gli attacchi DDoS vengono spesso usati anche come copertura per altri attacchi simultanei (exfiltration) o come strumento di estorsione (“paga o continueremo a tenerti offline”). La protezione richiede CDN con mitigazione DDoS (Cloudflare, AWS Shield).
PCI-DSS: Cos'È e Ti Riguarda?
Il PCI-DSS (Payment Card Industry Data Security Standard) è lo standard di sicurezza creato dai circuiti di pagamento (Visa, Mastercard, American Express) per proteggere i dati delle carte. In parole semplici: se accetti pagamenti con carta, devi essere conforme, che tu venda 10 o 10.000 prodotti al mese.
Lo standard prevede 12 requisiti, raggruppati in 6 obiettivi:
- Rete sicura – installazione e gestione di firewall, cambio delle credenziali di default
- Protezione dati del titolare – crittografia dei dati delle carte in transito e a riposo
- Gestione vulnerabilità – aggiornamento antivirus, software sicuro e aggiornato
- Controllo accessi – accesso ai dati solo per chi ne ha bisogno, ID univoco per ogni utente
- Monitoraggio e test – monitoraggio degli accessi ai dati, test di sicurezza regolari
- Policy di sicurezza – policy documentata e mantenuta per la sicurezza delle informazioni
Semplifica con i Gateway
Utilizzando gateway di pagamento conformi (Stripe, PayPal, Nexi, Adyen), i dati delle carte non transitano mai dal tuo server. Il form di pagamento è ospitato dal gateway (iframe o redirect). Questo riduce drasticamente gli obblighi PCI-DSS: passi dal SAQ D (326 requisiti) al SAQ A (22 requisiti).
Attenzione al Magecart
Anche con gateway esterni, un attacco Magecart può intercettare i dati della carta prima che raggiungano il gateway, catturandoli dal form nel browser del cliente. La protezione richiede CSP (Content Security Policy), SRI (Subresource Integrity) e monitoraggio dell'integrità del codice JavaScript.
Il Tuo E-commerce È Davvero Protetto?
Chiedi un checkup di sicurezza del tuo negozio online. Troviamo le falle prima che lo facciano i cybercriminali.
Richiedi Checkup E-commerceProteggere l'E-commerce: 6 Misure Essenziali
WAF (Web Application Firewall)
CRITICOIl WAF è la prima linea di difesa: analizza tutto il traffico HTTP/HTTPS diretto al sito e blocca le richieste malevole (SQL injection, XSS, bot automatizzati). A differenza di un firewall di rete tradizionale, il WAF comprende il protocollo HTTP e può distinguere tra una richiesta legittima e un tentativo di attacco. Soluzioni raccomandate: Cloudflare WAF, Sucuri, AWS WAF. Implementazione: immediata, configurazione in poche ore.
Certificati SSL/TLS e HTTPS Ovunque
CRITICOTutto il sito deve essere servito tramite HTTPS, non solo le pagine di pagamento. Il certificato SSL/TLS crittografa le comunicazioni tra il browser del cliente e il server, proteggendo credenziali, dati personali e di pagamento dall'intercettazione. Usa certificati di provider affidabili (Let's Encrypt è gratuito e perfettamente adeguato). Configura HSTS per forzare sempre HTTPS e previeni il downgrade a HTTP.
Pagamenti Sicuri con Tokenizzazione
CRITICONon gestire direttamente i dati delle carte: usa gateway che supportano la tokenizzazione. Il numero di carta viene sostituito da un token univoco che non ha valore al di fuori del contesto della transazione. Anche se un attaccante ruba i token dal tuo database, non può usarli per effettuare transazioni. Attiva 3D Secure 2.0 per aggiungere un ulteriore livello di autenticazione del titolare della carta.
Monitoraggio Transazioni e Antifrode
ALTOImplementa sistemi di monitoraggio delle transazioni che rilevano anomalie: ordini multipli dallo stesso IP con carte diverse, ordini di valore anomalo, tentativi di pagamento multipli falliti (card testing), ordini da paesi ad alto rischio, discrepanza tra IP dell'utente e paese della carta. Strumenti come Stripe Radar o Signifyd automatizzano la fraud detection con machine learning.
Backup Regolari e Testati
ALTOBackup giornaliero del database (ordini, clienti, configurazioni) e settimanale dei file del sito. Conserva almeno 30 giorni di storico. Mantieni almeno una copia offline o immutabile non raggiungibile dalla rete. Testa il ripristino trimestralmente su un ambiente di staging. Un backup non testato non è un backup: è una speranza.
Aggiornamenti Piattaforma e Plugin
ALTOMantieni aggiornati CMS, framework, plugin e librerie di terze parti. Il 97% delle vulnerabilità WordPress/WooCommerce proviene dai plugin. Implementa un processo di aggiornamento: monitora i rilasci, testa su staging, applica in produzione entro 48h per le patch di sicurezza critiche. Rimuovi plugin non utilizzati: ogni plugin è superficie di attacco aggiuntiva. Per Magento: aggiorna SEMPRE le patch di sicurezza, sono il bersaglio preferito dei gruppi Magecart.
Noi di BullTech offriamo email security e antivirus aziendale che proteggono anche i server e la rete dove gira il tuo e-commerce, dal monitoraggio delle anomalie alla protezione attiva.
GDPR per E-commerce: Cosa Devi Fare con i Dati dei Clienti
Il tuo e-commerce raccoglie un sacco di dati personali: nome, indirizzo, email, telefono, storico acquisti, preferenze, dati di pagamento. Il GDPR ti impone regole precise su come trattarli, e le sanzioni per chi sgarra possono fare davvero male.
Obblighi GDPR specifici per e-commerce
Informativa privacy chiara e completa: spiega quali dati raccogli, perché, per quanto tempo e con chi li condividi
Consenso esplicito per marketing e profilazione: checkbox non pre-selezionate, separate per ogni finalità
Diritto all'oblio: possibilità per il cliente di richiedere la cancellazione completa dei propri dati
Data minimization: raccogli solo i dati strettamente necessari per la transazione
Crittografia dei dati personali in transito (HTTPS) e a riposo (encryption del database)
Cookie policy e gestione consenso cookie: banner conforme con opt-in per cookie non essenziali
Notifica data breach: 72 ore per notificare il Garante, senza ritardi ingiustificati per i clienti se rischio elevato
Registro dei trattamenti: documentazione di tutti i trattamenti dati effettuati dall'e-commerce
Essere conformi al GDPR non è solo un obbligo: è un vantaggio competitivo. I tuoi clienti sono sempre più attenti alla privacy e scelgono i negozi online che dimostrano di proteggere i loro dati. Un badge "Sito conforme GDPR" o "Pagamenti PCI-DSS" aumenta la fiducia e le conversioni.
Ti Hanno Bucato l'E-commerce: Cosa Fai Adesso?
Anche con le migliori protezioni, un incidente può capitare. Avere un piano di risposta già pronto fa la differenza tra gestire la situazione e andare nel panico. Ecco le fasi:
Fase 1: Contenimento Immediato (prime 2 ore)
- Metti il sito in modalità manutenzione se l'attacco è in corso
- Cambia tutte le password: admin, database, FTP, hosting, API di terze parti
- Revoca tutti i token API e le sessioni attive
- Isola il server compromesso dalla rete se possibile
- Preserva i log: non cancellare nulla, saranno necessari per l'investigazione
Fase 2: Investigazione (24-72 ore)
- Determina il vettore di attacco: come sono entrati?
- Identifica l'estensione della compromissione: quali dati sono stati coinvolti?
- Quantifica i clienti coinvolti e il tipo di dati compromessi
- Verifica se i dati di pagamento sono stati esposti
- Analizza i log per determinare la timeline dell'attacco
Fase 3: Notifiche (entro 72 ore)
- Garante Privacy – notifica obbligatoria entro 72 ore se dati personali sono stati compromessi
- Clienti – notifica senza ritardo se il rischio per i loro diritti è elevato
- Acquirer bancario – notifica immediata se dati di carte di pagamento sono stati esposti
- Brand delle carte – Visa e Mastercard hanno procedure specifiche per gli e-commerce compromessi
Fase 4: Ripristino e Hardening
- Ripristina il sito da un backup pulito (verificato come non compromesso)
- Correggi la vulnerabilità sfruttata dall'attaccante
- Implementa le misure di sicurezza aggiuntive identificate dall'investigazione
- Esegui un penetration test completo prima di rimettere il sito online
- Monitora intensivamente per le settimane successive
Checklist Sicurezza E-commerce
Ecco una checklist operativa completa per valutare la sicurezza del tuo e-commerce. Usala come punto di partenza per un audit della tua situazione attuale.
HTTPS su tutte le pagine con certificato valido e HSTS attivo
BaseWAF attivo (Cloudflare, Sucuri o equivalente)
BaseGateway di pagamento PCI-DSS compliant (Stripe, PayPal, Nexi)
Base3D Secure 2.0 attivo su tutte le transazioni con carta
BaseCMS, plugin e temi aggiornati all'ultima versione
BaseBackup giornaliero database + settimanale file, testato trimestralmente
IntermedioPassword admin complesse + MFA su tutti gli accessi amministrativi
IntermedioCSP (Content Security Policy) configurata per prevenire Magecart/XSS
IntermedioMonitoraggio integrità file (FIM) per rilevare modifiche non autorizzate
IntermedioRate limiting su login e API per prevenire brute force e credential stuffing
IntermedioProtezione DDoS attiva (Cloudflare o equivalente)
IntermedioGDPR compliance: informativa, consensi, registro trattamenti, cookie banner
IntermedioPenetration test annuale da un provider esterno certificato
AvanzatoSecurity headers configurati (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
AvanzatoPiano di incident response documentato e testato
AvanzatoLogging centralizzato con retention di almeno 90 giorni
AvanzatoDomande Frequenti sulla Sicurezza E-commerce
Il mio e-commerce è piccolo, devo preoccuparmi della sicurezza?
Eccome. Anzi, gli e-commerce piccoli sono più vulnerabili dei grandi perché hanno meno risorse per la sicurezza. I cybercriminali usano strumenti automatizzati che scansionano internet alla ricerca di siti con falle, e non guardano quanto sei grande. Un e-commerce con un plugin WooCommerce non aggiornato è un bersaglio facile, punto. E se accetti pagamenti online, i dati delle carte dei tuoi clienti valgono lo stesso sul dark web, che tu venda 10 o 10.000 prodotti al mese. Anche la responsabilità legale (GDPR, PCI-DSS) si applica tale e quale.
Cos'è il PCI-DSS e il mio e-commerce deve adeguarsi?
Il PCI-DSS è lo standard di sicurezza obbligatorio per chiunque accetti pagamenti con carta. Se il tuo e-commerce accetta carte di credito o debito, sì, ti riguarda. La buona notizia: per i piccoli e-commerce (meno di 20.000 transazioni l'anno), basta compilare un questionario di autovalutazione (SAQ livello 4). E se usi gateway di pagamento come Stripe, PayPal o Nexi, gli obblighi si riducono parecchio perché i dati delle carte non passano mai dal tuo server.
Come faccio a capire se il mio e-commerce è stato bucato?
Ci sono segnali precisi: il sito diventa lento senza motivo, trovi modifiche al codice che non hai fatto tu (soprattutto nelle pagine di pagamento), i clienti ti segnalano addebiti strani dopo aver comprato da te, compaiono account admin che non hai creato, o il tuo dominio inizia a mandare email di phishing. Per accorgertene prima dei tuoi clienti, attiva un monitoraggio dell'integrità dei file (FIM) che ti avvisa quando qualcosa cambia nel sito, e controlla regolarmente i log di accesso al pannello di amministrazione.
Qual è il WAF migliore per un e-commerce?
Dipende dalla piattaforma e dal budget. Il WAF (Web Application Firewall) è un filtro che blocca il traffico malevolo prima che arrivi al tuo sito. Per e-commerce in cloud: Cloudflare WAF (è il miglior rapporto qualità/prezzo, da 20 euro/mese col piano Pro), Sucuri (specializzato su WordPress/WooCommerce, da 10 euro/mese), AWS WAF (se sei su infrastruttura AWS). Se il tuo e-commerce gira su un server dedicato, il firewall WatchGuard ha funzionalità WAF integrate. La regola d'oro: qualsiasi WAF è meglio di nessun WAF. Anche la versione gratuita di Cloudflare ti protegge dagli attacchi DDoS base.
Devo fare il backup dell'e-commerce? E ogni quanto?
Sì, e non è facoltativo. Il backup deve coprire sia il database (ordini, clienti, prodotti) che i file del sito (temi, plugin, upload). Ogni quanto? Se il tuo e-commerce è attivo, il database va salvato almeno una volta al giorno (meglio ogni 4-6 ore), i file del sito una volta a settimana. Tieni almeno 30 giorni di storico, perché certe compromissioni saltano fuori settimane dopo l'infezione. Testa il ripristino ogni trimestre. E la regola più importante: conserva almeno una copia offline o immutabile, fuori dalla portata di un eventuale attaccante.
Cosa devo fare se il mio e-commerce subisce un data breach?
Muoviti in fretta, su più fronti contemporaneamente. 1) Contenimento: isola il sito, cambia tutte le password, revoca gli accessi API. 2) Indaga: scopri cosa è successo, quali dati sono stati toccati, quanti clienti sono coinvolti e da quanto tempo. 3) Notifica GDPR: se i dati personali dei clienti sono stati compromessi, hai 72 ore per avvisare il Garante Privacy, e devi informare anche i clienti se il rischio è alto. 4) Se sono stati esposti dati di carte di pagamento, devi avvisare anche la tua banca e potenzialmente Visa/Mastercard. 5) Ripara e rafforza: correggi la falla, ripristina da backup pulito, aggiungi protezioni. Avere un piano già pronto fa la differenza tra gestire la situazione e andare nel panico.
La sicurezza del tuo e-commerce non è una cosa che fai una volta e dimentichi: è un processo continuo. Ogni aggiornamento, ogni nuovo plugin, ogni modifica al sito può aprire nuove falle. Scrivici per un checkup completo della sicurezza del tuo negozio online e scopri come possiamo proteggere la tua attività e i dati dei tuoi clienti.