Gli e-commerce sono tra i bersagli più redditizi per i cybercriminali: dati di carte di credito, informazioni personali, credenziali di migliaia di utenti, tutti concentrati in un unico punto. Nel 2025, il 32% degli attacchi web ha preso di mira piattaforme e-commerce, con un danno medio per incidente di €150.000 tra perdita di fatturato, sanzioni e danni reputazionali. Questa guida ti mostra come proteggere il tuo negozio online con misure concrete.
Indice dei Contenuti
Perché gli E-commerce Sono Bersagli Privilegiati
I cybercriminali attaccano gli e-commerce per una ragione molto semplice: sono concentrazioni di valore. Un singolo e-commerce contiene tutto ciò che serve per monetizzare un attacco.
Cosa rende un e-commerce un bersaglio ideale
- Dati di pagamento – numeri di carte di credito venduti a €5-50 ciascuno sul dark web
- Dati personali – nomi, indirizzi, email, telefoni di migliaia di clienti per identity theft
- Credenziali riutilizzabili – il 65% degli utenti riusa la stessa password su più siti
- Superficie di attacco ampia – frontend, backend, API, plugin, integrazioni con terze parti
- Disponibilità critica – ogni ora di downtime costa vendite perdute, danno reputazionale e clienti che non tornano
A rendere il quadro ancora più critico, molti e-commerce sono costruiti su piattaforme open source (WooCommerce, Magento, PrestaShop) con plugin di terze parti non sempre mantenuti. Ogni plugin è un potenziale punto di ingresso. Secondo le statistiche, il 97% delle vulnerabilità di WordPress/WooCommerce proviene dai plugin, non dal core.
I 5 Attacchi Più Comuni agli E-commerce
1. SQL Injection
L’attaccante inserisce codice SQL malevolo nei campi di input del sito (barra di ricerca, form di login, parametri URL) per accedere direttamente al database. Può estrarre l’intero database: utenti, password, ordini, numeri di carta. È una delle vulnerabilità più antiche ma ancora tra le più diffuse: nel 2025, il 23% degli e-commerce testati era vulnerabile a SQL injection. La prevenzione richiede: prepared statements, input validation, WAF e penetration test regolari.
2. Cross-Site Scripting (XSS)
L’attaccante inietta script JavaScript malevolo nelle pagine del sito (recensioni prodotti, commenti, campi di ricerca) che viene eseguito nel browser di altri utenti. Può rubare cookie di sessione, reindirizzare verso pagine di phishing, modificare il contenuto visualizzato o catturare i dati inseriti nei form. L’XSS stored (persistente) è particolarmente pericoloso perché colpisce tutti gli utenti che visitano la pagina infetta.
3. Magecart / Web Skimming
Uno degli attacchi più insidiosi e specifici per gli e-commerce. I criminali iniettano codice JavaScript malevolo nelle pagine di checkout che cattura i dati delle carte di credito in tempo reale mentre i clienti li inseriscono, e li invia a un server controllato dall’attaccante. Il codice è invisibile: il pagamento va a buon fine, il cliente non si accorge di nulla, e i dati della carta vengono rubati. Gruppi come Magecart hanno compromesso migliaia di e-commerce, inclusi brand famosi come British Airways e Ticketmaster.
4. Credential Stuffing
Gli attaccanti utilizzano liste di credenziali rubate da data breach precedenti (milioni di combinazioni email/password) per tentare automaticamente il login sugli e-commerce. Poiché il 65% degli utenti riutilizza le password, una percentuale significativa di questi tentativi ha successo. Una volta dentro, i criminali possono: effettuare acquisti con i metodi di pagamento salvati, rubare punti fedeltà, modificare gli indirizzi di spedizione, o raccogliere ulteriori dati personali.
5. DDoS (Distributed Denial of Service)
Un attacco DDoS sovraccarica il server dell’e-commerce con milioni di richieste simultanee, rendendolo inaccessibile ai clienti legittimi. Per un e-commerce, il danno è diretto e immediato: vendite perdute, clienti frustrati, danni reputazionali. Gli attacchi DDoS vengono spesso usati anche come copertura per altri attacchi simultanei (exfiltration) o come strumento di estorsione (“paga o continueremo a tenerti offline”). La protezione richiede CDN con mitigazione DDoS (Cloudflare, AWS Shield).
PCI-DSS: Cos'È e Chi Deve Adeguarsi
Il PCI-DSS (Payment Card Industry Data Security Standard) è lo standard di sicurezza creato dai principali circuiti di pagamento (Visa, Mastercard, American Express) per proteggere i dati delle carte. Chiunque accetti pagamenti con carta deve essere conforme, indipendentemente dalle dimensioni dell'attività.
Lo standard definisce 12 requisiti raggruppati in 6 obiettivi:
- Rete sicura – installazione e gestione di firewall, cambio delle credenziali di default
- Protezione dati del titolare – crittografia dei dati delle carte in transito e a riposo
- Gestione vulnerabilità – aggiornamento antivirus, software sicuro e aggiornato
- Controllo accessi – accesso ai dati solo per chi ne ha bisogno, ID univoco per ogni utente
- Monitoraggio e test – monitoraggio degli accessi ai dati, test di sicurezza regolari
- Policy di sicurezza – policy documentata e mantenuta per la sicurezza delle informazioni
Semplifica con i Gateway
Utilizzando gateway di pagamento conformi (Stripe, PayPal, Nexi, Adyen), i dati delle carte non transitano mai dal tuo server. Il form di pagamento è ospitato dal gateway (iframe o redirect). Questo riduce drasticamente gli obblighi PCI-DSS: passi dal SAQ D (326 requisiti) al SAQ A (22 requisiti).
Attenzione al Magecart
Anche con gateway esterni, un attacco Magecart può intercettare i dati della carta prima che raggiungano il gateway, catturandoli dal form nel browser del cliente. La protezione richiede CSP (Content Security Policy), SRI (Subresource Integrity) e monitoraggio dell'integrità del codice JavaScript.
Il Tuo E-commerce È Protetto Adeguatamente?
Richiedi un vulnerability assessment del tuo negozio online. Identifichiamo le vulnerabilità prima che lo facciano i cybercriminali.
Richiedi Assessment E-commerceProteggere l'E-commerce: 6 Misure Essenziali
WAF (Web Application Firewall)
CRITICOIl WAF è la prima linea di difesa: analizza tutto il traffico HTTP/HTTPS diretto al sito e blocca le richieste malevole (SQL injection, XSS, bot automatizzati). A differenza di un firewall di rete tradizionale, il WAF comprende il protocollo HTTP e può distinguere tra una richiesta legittima e un tentativo di attacco. Soluzioni raccomandate: Cloudflare WAF, Sucuri, AWS WAF. Implementazione: immediata, configurazione in poche ore.
Certificati SSL/TLS e HTTPS Ovunque
CRITICOTutto il sito deve essere servito tramite HTTPS, non solo le pagine di pagamento. Il certificato SSL/TLS crittografa le comunicazioni tra il browser del cliente e il server, proteggendo credenziali, dati personali e di pagamento dall’intercettazione. Usa certificati di provider affidabili (Let’s Encrypt è gratuito e perfettamente adeguato). Configura HSTS per forzare sempre HTTPS e previeni il downgrade a HTTP.
Pagamenti Sicuri con Tokenizzazione
CRITICONon gestire direttamente i dati delle carte: usa gateway che supportano la tokenizzazione. Il numero di carta viene sostituito da un token univoco che non ha valore al di fuori del contesto della transazione. Anche se un attaccante ruba i token dal tuo database, non può usarli per effettuare transazioni. Attiva 3D Secure 2.0 per aggiungere un ulteriore livello di autenticazione del titolare della carta.
Monitoraggio Transazioni e Antifrode
ALTOImplementa sistemi di monitoraggio delle transazioni che rilevano anomalie: ordini multipli dallo stesso IP con carte diverse, ordini di valore anomalo, tentativi di pagamento multipli falliti (card testing), ordini da paesi ad alto rischio, discrepanza tra IP dell’utente e paese della carta. Strumenti come Stripe Radar o Signifyd automatizzano la fraud detection con machine learning.
Backup Regolari e Testati
ALTOBackup giornaliero del database (ordini, clienti, configurazioni) e settimanale dei file del sito. Conserva almeno 30 giorni di storico. Mantieni almeno una copia offline o immutabile non raggiungibile dalla rete. Testa il ripristino trimestralmente su un ambiente di staging. Un backup non testato non è un backup: è una speranza.
Aggiornamenti Piattaforma e Plugin
ALTOMantieni aggiornati CMS, framework, plugin e librerie di terze parti. Il 97% delle vulnerabilità WordPress/WooCommerce proviene dai plugin. Implementa un processo di aggiornamento: monitora i rilasci, testa su staging, applica in produzione entro 48h per le patch di sicurezza critiche. Rimuovi plugin non utilizzati: ogni plugin è superficie di attacco aggiuntiva. Per Magento: aggiorna SEMPRE le patch di sicurezza, sono il bersaglio preferito dei gruppi Magecart.
BullTech offre servizi di email security e antivirus aziendale che proteggono anche l'infrastruttura che ospita il tuo e-commerce, dalla protezione del server al monitoraggio delle anomalie.
GDPR per E-commerce: Protezione dei Dati dei Clienti
Un e-commerce raccoglie e tratta una quantità significativa di dati personali: nome, indirizzo, email, telefono, storico acquisti, preferenze, dati di pagamento. Il GDPR impone obblighi specifici e le sanzioni per il mancato adeguamento possono essere devastanti.
Obblighi GDPR specifici per e-commerce
Informativa privacy chiara e completa: spiega quali dati raccogli, perché, per quanto tempo e con chi li condividi
Consenso esplicito per marketing e profilazione: checkbox non pre-selezionate, separate per ogni finalità
Diritto all’oblio: possibilità per il cliente di richiedere la cancellazione completa dei propri dati
Data minimization: raccogli solo i dati strettamente necessari per la transazione
Crittografia dei dati personali in transito (HTTPS) e a riposo (encryption del database)
Cookie policy e gestione consenso cookie: banner conforme con opt-in per cookie non essenziali
Notifica data breach: 72 ore per notificare il Garante, senza ritardi ingiustificati per i clienti se rischio elevato
Registro dei trattamenti: documentazione di tutti i trattamenti dati effettuati dall’e-commerce
La conformità GDPR non è solo un obbligo legale: è un vantaggio competitivo. I consumatori sono sempre più attenti alla privacy e scelgono gli e-commerce che dimostrano di proteggere i loro dati. Un badge "Sito conforme GDPR" o "Pagamenti PCI-DSS" aumenta la fiducia e il tasso di conversione.
Incident Response per E-commerce: Cosa Fare Dopo un Breach
Anche con le migliori protezioni, un incidente può accadere. Avere un piano di incident response già pronto fa la differenza tra una gestione efficace e il caos. Ecco le fasi critiche:
Fase 1: Contenimento Immediato (prime 2 ore)
- Metti il sito in modalità manutenzione se l'attacco è in corso
- Cambia tutte le password: admin, database, FTP, hosting, API di terze parti
- Revoca tutti i token API e le sessioni attive
- Isola il server compromesso dalla rete se possibile
- Preserva i log: non cancellare nulla, saranno necessari per l'investigazione
Fase 2: Investigazione (24-72 ore)
- Determina il vettore di attacco: come sono entrati?
- Identifica l'estensione della compromissione: quali dati sono stati coinvolti?
- Quantifica i clienti coinvolti e il tipo di dati compromessi
- Verifica se i dati di pagamento sono stati esposti
- Analizza i log per determinare la timeline dell'attacco
Fase 3: Notifiche (entro 72 ore)
- Garante Privacy – notifica obbligatoria entro 72 ore se dati personali sono stati compromessi
- Clienti – notifica senza ritardo se il rischio per i loro diritti è elevato
- Acquirer bancario – notifica immediata se dati di carte di pagamento sono stati esposti
- Brand delle carte – Visa e Mastercard hanno procedure specifiche per gli e-commerce compromessi
Fase 4: Ripristino e Hardening
- Ripristina il sito da un backup pulito (verificato come non compromesso)
- Correggi la vulnerabilità sfruttata dall'attaccante
- Implementa le misure di sicurezza aggiuntive identificate dall'investigazione
- Esegui un penetration test completo prima di rimettere il sito online
- Monitora intensivamente per le settimane successive
Checklist Sicurezza E-commerce
Ecco una checklist operativa completa per valutare la sicurezza del tuo e-commerce. Usala come punto di partenza per un audit della tua situazione attuale.
HTTPS su tutte le pagine con certificato valido e HSTS attivo
BaseWAF attivo (Cloudflare, Sucuri o equivalente)
BaseGateway di pagamento PCI-DSS compliant (Stripe, PayPal, Nexi)
Base3D Secure 2.0 attivo su tutte le transazioni con carta
BaseCMS, plugin e temi aggiornati all’ultima versione
BaseBackup giornaliero database + settimanale file, testato trimestralmente
IntermedioPassword admin complesse + MFA su tutti gli accessi amministrativi
IntermedioCSP (Content Security Policy) configurata per prevenire Magecart/XSS
IntermedioMonitoraggio integrità file (FIM) per rilevare modifiche non autorizzate
IntermedioRate limiting su login e API per prevenire brute force e credential stuffing
IntermedioProtezione DDoS attiva (Cloudflare o equivalente)
IntermedioGDPR compliance: informativa, consensi, registro trattamenti, cookie banner
IntermedioPenetration test annuale da un provider esterno certificato
AvanzatoSecurity headers configurati (X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
AvanzatoPiano di incident response documentato e testato
AvanzatoLogging centralizzato con retention di almeno 90 giorni
AvanzatoDomande Frequenti sulla Sicurezza E-commerce
Il mio e-commerce è piccolo, devo preoccuparmi della sicurezza?
Assolutamente sì. Gli e-commerce piccoli sono anzi più vulnerabili dei grandi perché hanno meno risorse dedicate alla sicurezza. I cybercriminali utilizzano strumenti automatizzati che scansionano internet alla ricerca di siti vulnerabili, indipendentemente dalla dimensione. Un piccolo e-commerce con un plugin WooCommerce non aggiornato è un bersaglio facile quanto uno grande. Inoltre, se accetti pagamenti online, i dati delle carte di credito dei tuoi clienti hanno lo stesso valore per i criminali indipendentemente dal volume di vendite. La responsabilità legale (GDPR, PCI-DSS) si applica allo stesso modo.
Cos'è il PCI-DSS e il mio e-commerce deve adeguarsi?
Il PCI-DSS (Payment Card Industry Data Security Standard) è lo standard di sicurezza obbligatorio per chiunque accetti, elabori, memorizzi o trasmetta dati di carte di pagamento. Se il tuo e-commerce accetta pagamenti con carta di credito o debito, devi essere conforme al PCI-DSS. Il livello di conformità dipende dal volume di transazioni: per la maggior parte dei piccoli e-commerce (meno di 20.000 transazioni/anno), è sufficiente il SAQ (Self-Assessment Questionnaire) di livello 4. Utilizzare gateway di pagamento conformi come Stripe, PayPal o Nexi riduce significativamente gli obblighi perché i dati delle carte non transitano mai dal tuo server.
Come faccio a sapere se il mio e-commerce è stato compromesso?
I segnali di compromissione di un e-commerce includono: rallentamenti inspiegabili del sito, modifiche al codice sorgente non autorizzate (soprattutto nelle pagine di checkout), reindirizzamenti a siti sconosciuti, clienti che segnalano addebiti fraudolenti dopo aver acquistato sul tuo sito, comparsa di nuovi account admin che non hai creato, modifiche ai file .htaccess o wp-config.php, e-mail di phishing inviate dal tuo dominio. Per una rilevazione proattiva, implementa un monitoraggio dell’integrità dei file (FIM) che ti avvisa quando qualsiasi file del sito viene modificato, e analizza regolarmente i log di accesso al pannello di amministrazione.
Qual è il WAF migliore per un e-commerce?
La scelta del WAF (Web Application Firewall) dipende dalla piattaforma e dal budget. Per e-commerce basati su cloud, le soluzioni più efficaci sono: Cloudflare WAF (ottimo rapporto qualità/prezzo, da €20/mese per il piano Pro con WAF incluso), Sucuri (specializzato nella protezione di CMS come WordPress/WooCommerce, da €10/mese), e AWS WAF (per e-commerce su infrastruttura AWS). Per e-commerce on-premise o su VPS dedicato, il firewall WatchGuard include funzionalità WAF integrate. La regola fondamentale: qualsiasi WAF è meglio di nessun WAF. Anche la versione gratuita di Cloudflare offre protezione DDoS base.
Devo fare il backup dell'e-commerce e con che frequenza?
Il backup dell’e-commerce è assolutamente critico e deve includere sia il database (ordini, clienti, prodotti, configurazioni) che i file del sito (temi, plugin, upload, configurazioni). La frequenza dipende dal volume di attività: per e-commerce attivi, il backup del database deve essere almeno giornaliero (idealmente ogni 4-6 ore), i file del sito possono essere backuppati settimanalmente. Conserva almeno 30 giorni di storico, perché alcune compromissioni vengono scoperte settimane dopo l’infezione. Testa il ripristino trimestralmente. E soprattutto: mantieni almeno una copia offline o immutabile, non raggiungibile da un potenziale attaccante.
Cosa devo fare se il mio e-commerce subisce un data breach?
In caso di data breach, devi agire rapidamente su più fronti: 1) Contenimento immediato: isola il sito, cambia tutte le password, revoca gli accessi API. 2) Investigazione: determina l’entità del breach (quali dati sono stati compromessi, quanti clienti coinvolti, da quanto tempo). 3) Notifica GDPR: se i dati personali dei clienti sono stati compromessi, hai 72 ore per notificare il Garante Privacy e devi informare i clienti se il rischio è elevato. 4) Se sono stati compromessi dati di carte di pagamento, devi notificare anche il tuo acquirer bancario e potenzialmente i brand delle carte (Visa, Mastercard). 5) Ripristino e hardening: correggi la vulnerabilità sfruttata, ripristina il sito da backup pulito, implementa misure aggiuntive. Avere un piano di incident response già pronto fa la differenza tra una gestione ordinata e il panico.
La sicurezza dell'e-commerce non è un progetto una tantum ma un processo continuo. Ogni aggiornamento, ogni nuovo plugin, ogni modifica al sito introduce potenziali vulnerabilità. Contattaci per un assessment completo della sicurezza del tuo negozio online e scopri come BullTech può proteggere la tua attività e i dati dei tuoi clienti.