Questo sito contribuisce alla audience di Il Messaggero
Scopri le migliori offerte sul canale Telegram ufficiale. Guarda su Telegram

Come capire se un sito è sicuro

di

Devi comprare un prodotto online e vuoi verificare il grado di di affidabilità del sito da cui intendi effettuare l'acquisto? Vuoi registrare un account su un sito Web ma non hai la certezza che le informazioni che invierai siano protette? Posso capire i tuoi dubbi: tra le tante truffe e i tentativi di phishing di cui si legge ogni giorno, è comprensibile essere restii a condividere le proprie informazioni personali online, ma ci sono delle soluzioni che possono permettere di risolvere alcuni dubbi di questo tipo e capire il grado di affidabilità di un sito.

Sia chiaro: ci sono alcuni elementi che sono impossibili da verificare per un semplice utente, come ad esempio la sicurezza del database o del server dove viene ospitato un sito, ma ci sono altri dettagli che possono essere esaminati in autonomia e permettono di avere un quadro abbastanza affidabile sul grado di affidabilità di un sito o servizio online. A cosa mi riferisco? Te lo dico subito: dedicami, dunque, solo pochi minuti del tuo tempo e lascia che ti spieghi come capire se un sito è sicuro.

Ovviamente, i miei consigli saranno di carattere generico e sta dunque a te avere del buonsenso quando navighi online: diffida dei siti che ti offrono contenuti gratuiti che normalmente dovrebbero essere a pagamento o che ti invitano a effettuare pagamenti tramite metodi non tacciabili e/o che non prevedono alcuna tutela per l'acquirente. Controlla sempre le fonti ufficiali ed evita di inserire le tue informazioni personali alla leggera in giro per la Rete o di scaricare contenuti sul tuo PC senza verificarne prima il grado di attendibilità. Tutto chiaro? Bene, allora direi che è il momento di iniziare, senza dilungarci oltre. Buona lettura e in bocca al lupo per tutto!

Indice

Come capire se un sito è sicuro per acquisti online

Come capire se un sito è sicuro per acquisti online

Hai scoperto un nuovo store online ricco di cose per te utili, ma sei titubante perché non sai come capire se un sito di vendita è sicuro? Lascia che ti dia una mano a far chiarezza sulla questione.

Il primo punto da prendere in esame è la sicurezza del sito: siccome si presuppone che tu debba compilare moduli contenenti i tuoi dati personali, e/o effettuare transazioni monetarie con strumenti elettronici, è indispensabile che i dati in transito da e verso l'ecommerce in questione siano sicuri e al riparo da occhi indiscreti.

Per questo motivo, accertati che il sito in questione utilizzi il protocollo HTTPS: acronimo di HyperText Transfer Protocol over Secure Socket Layer, indica la presenza di una connessione sicura, i cui dati in transito sono praticamente impossibili da intercettare (almeno nel momento in cui scrivo).

Per verificare che un sito sia protetto da HTTPS, da' uno sguardo alla barra degli indirizzi del browser: in caso affermativo, dovrebbe essere raffigurato un lucchetto serrato — generalmente colorato di verde — oppure un simbolo a forma di scudo, subito a sinistra dell'indirizzo della pagina. Inoltre, la parte iniziale del sito Web, se visibile, dovrebbe corrispondere alla dicitura https://.

Qualora il sito in questione non dovesse essere protetto da HTTPS (dovresti vedere il simbolo di un lucchetto rosso aperto o di uno scudo barrato), oppure se dovessi ricevere un messaggio indicante la presenza di un certificato scaduto, lascialo perdere immediatamente: se i dati in transito non sono sicuri, potresti cadere vittima di attacchi informatici mirati al furto delle informazioni, il che potrebbe comportare un serio rischio per la tua identità e per le tue finanze.

Altra cosa alla quale prestare attenzione, quando si tratta di siti di vendita online, è il supporto ai metodi di pagamento con tracciabilità: dunque, sì a tutti quei portali ecommerce che supportano sistemi di comprovata serietà e sicurezza, come ad esempio account PayPal (con protezione acquisti), Amazon Pay, Google Pay, Apple Pay, bonifico online/assegno (avendo cura di specificare sempre la causale precisa del pagamento) e transazione con carta di credito/debito tramite autenticazione su dispositivo certificato (ad es. VISA Secure, conosciuto precedentemente come Verified by VISA, e Mastercard Identity Check, conosciuto precedentemente come Mastercard SecureCode).

Come capire se un sito è sicuro per acquisti online

La possibilità di pagamento in contrassegno non è da condannare, ma assicurati che il corriere — o l'addetto — che consegnerà la merce ti rilasci regolare fattura e/o ricevuta di pagamento, da esibire laddove fossero riscontrati problemi con l'ordine.

Ti consiglio di diffidare, invece, dalle richieste di pagamenti con sistemi non tracciabili, quali ad esempio ricariche PostePay o di altre carte simili, versamenti PayPal in Money Box o spacciati per donazioni (i primi, tra l'altro, non più disponibili), trasferimenti tramite Western Union o altri sistemi di scambio di denaro contante nazionali e internazionali, e così via.

Il perché è presto detto: sistemi di questo tipo non garantiscono tracciabilità né causale alcuna. Pertanto, un venditore con pochi scrupoli potrebbe decidere di non inviare la merce pattuita, neanche a seguito della ricezione del denaro, poiché non è possibile dimostrare in alcun modo che il pagamento è stato effettuato a seguito di uno specifico accordo d'acquisto (cosa che succede invece con i sistemi tracciabili).

Come ultimo step, da' uno sguardo alle informazioni circa la spedizione della merce e la provenienza della stessa: assicurati che non esistano rischi di incappare in dazi doganali o spese aggiuntive di altro tipo (che non siano espresse chiaramente in fase di acquisto) e che i corrieri usati per il transito e/o la consegna siano conosciuti e sicuri.

Se un sito ecommerce supera questi “controlli” preliminari, vi sono buone probabilità che esso sia sicuro per l'acquisto; tuttavia, prima di procedere, accertati che il portale in questione risulti altresì affidabile e che garantisca una buona percentuale di successo nella corretta consegna della merce, altrimenti potresti ritrovarti a perdere tempo (e, in qualche caso, denaro). Ho analizzato l'aspetto affidabilità nel capitolo immediatamente successivo di questa guida.

Come capire se un sito è affidabile o no

Come capire se un sito è affidabile o no

Il Web è bello perché è vario ma, ahimè, non classificabile con facilità: è questa la ragione che mi spinge a specificare, fin da subito, che non esiste una lista di attributi che possa denotare con assoluta certezza l'affidabilità o meno di un dato sito, ma sono sufficienti un po' di buon senso, e qualche consiglio utile, per tentare di trarre le proprie conclusioni, di volta in volta.

Per esempio, un sito affidabile dovrebbe in teoria proteggere i dati dei propri utenti (soprattutto se prevede compilazione di moduli, login o conservazione, in qualche modo, dei dati sensibili o personali): per questo motivo, la presenza di HTTPS (di cui ti ho parlato in precedenza) è quasi obbligatoria, seppur non strettamente necessaria per tutti quei siti che non prevedono scambio d'informazioni alcuno. Inoltre, un sito affidabile dovrebbe essere, in linea generale, ben organizzato, curato, aggiornato e coerente con le informazioni per il quale è stato realizzato.

Grande compito circa l'analisi di affidabilità di un sito è il cosiddetto sistema di recensioni: esistono, infatti, dei portali e dei servizi che consentono di scoprire al volo l'opinione degli utenti circa un dato sito, servizio o portale, semplicemente digitandone l'URL oppure visitandolo.

Uno di questi è Trustpilot: si tratta di un aggregatore di recensioni, nel quale vengono raccolte tutte le esperienze d'uso di altri utenti circa uno specifico sito o servizio, sia informatico che non, con il fine di capirne il grado di affidabilità. Ti consiglio proprio Trustpilot per un motivo ben preciso: le recensioni non possono essere rimosse dai proprietari dei siti Web o delle aziende e ciò garantisce un buon livello di trasparenza.

Il sito è molto facile da utilizzare: devi semplicemente sfruttare il motore di ricerca che trovi in home page per digitare il nome dell'azienda o il sito Web (nel formato sito.ext, es. sito.com) di cui vuoi conoscere le recensioni. Dopo aver premuto il pulsante Cerca, ti verranno mostrati i corrispondenti risultati di ricerca, dai quali dovrai selezionare quello più in linea con le tue esigenze.

Nella pagina di riepilogo relativa al sito/servizio cercato, dovresti trovare un punteggio e tutte le recensioni scritte dagli altri utenti; sono disponibili altresì filtri per leggere le recensioni con soltanto una stella o quelle completamente positive, per farti qualche esempio. Abbi, però, l'accortezza di fare un'analisi critica nella lettura delle opinioni, filtrando quelle che, a tuo avviso, non rispecchiano effettivamente un voto completamente negativo o, viceversa, uno positivo.

Giusto per farti un esempio, una recensione che ha un giudizio sul servizio senza che sia stata fatta alcuna argomentazione al riguardo sull'esperienza d'uso, non ha sicuramente lo stesso peso di un'altra nella quale viene descritta, anche se brevemente, il trattamento ricevuto dall'utente dalle prime fasi fino all'erogazione del servizio stesso.

Come capire se un sito è sicuro

Altro servizio che consente di verificare “al volo” l'affidabilità di un dato sito Web è certamente MyWOT: si tratta di un è uno strumento di valutazione della reputazione dei siti Web che può essere utilizzato dal suo sito Web ufficiale, tramite estensione per browser Google Chrome e Mozilla Firefox e anche come app gratuita per Android (prova a vedere se c'è anche sui market alternativi al Play Store), iOS e iPadOS.

Quando navighi sul Web con l'estensione MyWOT attiva, questa presenterà un'icona colorata in base all'affidabilità del sito Web. Le tipologie di colori sono: verde per affidabile, giallo per sospetto, rosso per non affidabile e grigio per indicare che il sito Web è sconosciuto e MyWOT non ha informazioni per fornire una valutazione dello stesso.

Ancora, puoi verificare la reputazione di un dato sito cercando su Google frasi come [nome sito] recensioni, oppure dando uno sguardo ai social network: se, per esempio, il sito dispone di una pagina Facebook ufficiale, basta dare un'occhiata ai commenti per capire se vi sono lamentele più o meno gravi da parte degli utenti.

Come ti ho già detto all'inizio di questo capitolo, però, queste sono soltanto dritte utili e non rappresentano termini di paragone assoluto: siti con recensioni totalmente positive potrebbero riservare sgradite sorprese, per esempio, se usati per un determinato fine. Pertanto, bisognerebbe valutare alcuni parametri aggiuntivi, specifici in base al sito Internet che si va a visitare: lascia che ti faccia alcuni esempi al riguardo.

Come riconoscere se un sito è sicuro: programmi e app

Come riconoscere se un sito è sicuro: programmi e app

Se hai bisogno di scaricare un programma o un'applicazione, presta bene attenzione al posto dal quale sceglierai di ottenerla: personalmente, ti invito a prediligere sempre l'installazione di programmi e applicazioni provenienti da store di comprovata serietà e affidabilità, come per esempio Microsoft Store, Mac App Store, Play Store, Amazon Appstore, HUAWEI AppGallery e App Store. Questo perché le applicazioni caricate dagli sviluppatori vengono controllate minuziosamente in fase di approvazione e le probabilità che ci si ritrovi al cospetto di software nocivi sono sicuramente scarse (seppur non nulle, bisogna ammetterlo).

Laddove i programmi/applicazioni di tuo interesse non fossero disponibili sui relativi store di riferimento, cerca di ottenerne i file d'installazione (siano essi in formato .exe, .dmg, .pkg o .apk) sempre dal sito Web ufficiale della software house o dello sviluppatore che li ha progettati.

Pollice in su anche per tutti quei siti Web dedicati ai software open source, come per esempio Github, SourceForge, PortableApps o LaunchPad: essi ospitano programmi (e relativi sorgenti) liberamente accessibili, che vengono quindi esaminati dall'intera comunità e prontamente rimossi, in caso di presenza di codice nocivo.

Esistono poi dei siti Web che fungono da aggregatori per differenti categorie di software, quasi sempre non muniti di portale di download ufficiale, obsoleti o, per qualche motivo, tutt'altro che diffusi: personalmente ti sconsiglio di servirtene ma, se proprio devi, presta particolare attenzione a ciò che andrai a scaricare e installare, in quanto non vi è nessuna garanzia circa l'integrità e la natura dei file ospitati.

In particolare, assicurati che i file non siano ottenibili soltanto previo downloader specifico (questi ultimi veicolano quasi sempre spyware o adware) e, prima di eseguirli, esaminali sempre con una soluzione antivirus online oppure con un antivirus “offline”, per scongiurare — per quanto possibile — la presenza di minacce note.

Infine, evita tassativamente tutti quei siti Web che promettono il download gratuito di programmi o app notoriamente a pagamento: nella quasi totalità dei casi, gli eseguibili scaricati sono quasi sempre tutt'altro che innocue e mirano esplicitamente a danneggiare il computer, lo smartphone, il tablet e/o i dati in essi ospitati.

Come capire se un sito Internet è affidabile: notizie

Come capire se un sito Internet è affidabile: notizie

Il discorso da farsi per quanto concerne i siti Internet dedicati alle notizie è, se vogliamo, ancora più complicato di quello visto in precedenza: le bufale e le fake news sono purtroppo all'ordine del giorno ed esistono persone (anche piuttosto abili) in grado di rendere credibili notizie che, in realtà, di vero hanno ben poco.

Per iniziare, da' uno sguardo al nome di dominio del sito, cioè al “nome” che vedi sulla barra degli URL: a volte, i siti dedicati alle fake news usano domini del tutto simili a quelli di siti notoriamente seri e autorevoli, i quali possono facilmente confondere l'utente a causa della modifica di una sola lettera, per lo più difficilmente distinguibile su schermi piccoli o a risoluzioni particolarmente alte. Per farti un esempio, aranzulla.it potrebbe diventare aramzulla.it, lastampa.it potrebbe diventare lastanpa.it, corriere.it potrebbe diventare corriere.lt e così via.

Ancora, verifica che gli articoli presenti siano redatti usando una forma grammaticale corretta e analizza obiettivamente i fatti esposti; se si tratta di un sito Web del quale non avevi mai sentito parlare prima, accertati che nel corpo oppure in fondo all'articolo siano presenti rimandi alla fonte originale della notizia, e verifica da lì la conformità e la veridicità della stessa.

Chiaramente, è sempre bene verificare la reputazione online del sito che si legge (come ti ho già spiegato nel passo iniziale di questo capitolo) e, se nutri ancora sospetti, di verificare la longevità del sito in questione.

Con questo non intendo dire che tutti i siti Web giovani risultano poco affidabili ma, se le analisi precedenti hanno già provocato in te dei dubbi e sospetti, analizzare questo parametro potrebbe aiutarti a trarre una conclusione definitiva: quasi tutti i siti di fake news nascono e muoiono nel giro di pochi mesi, per via delle numerose (e doverosissime!) segnalazioni negative ricevute da parte di lettori attenti.

Puoi verificare con facilità la data di creazione di un dato sito Web usando il servizio Whois Lookup di DomainTools: dopo esserti collegato alla sua home page, digita l'URL del sito nel campo dedicato e premi sul pulsante Search, collocato subito accanto. Se necessario, supera il controllo anti-robot che dovrebbe comparire sullo schermo, attendi la comparsa della schermata riepilogativa circa i “connotati” del sito Web e da' uno sguardo alla voce Created on presente al suo interno, per ottenere l'informazione che cerchi.

Come capire se un sito è falso: phishing

Come capire se un sito è falso: phishing

Infine, mi sento in dovere di darti qualche indicazione in più circa un'altra categoria di siti Web alla quale fare particolarmente attenzione e, ahimè, sempre più diffusa nel mondo di Internet: i siti falsi mirati al furto dei propri dati sensibili, pratica nota in gergo con il termine di phishing.

Siti di questo tipo si diffondono a macchia d'olio perlopiù tramite sistemi di messaggistica istantanea (ad es. WhatsApp), social network, email o, peggio ancora, SMS, e sono progettati con il preciso intento di ottenere informazioni, credenziali d'accesso o dati bancari degli ignari utenti, inducendoli a inserirli in dei moduli palesemente falsi.

Solitamente, un messaggio contenente un sito di phishing richiede all'utente di fornire i propri dati personali, quelli associati all'Internet banking, quelli di uno specifico profilo social/ecommerce personale (ad es. Amazon, eBay, Facebook, Google ecc.) per il presunto sblocco di carte bloccate, account sospesi, spedizioni fallite o improvvisi invii di denaro da parte di sedicenti parenti molto lontani o magnanimi sconosciuti. I messaggi di phishing sono spesso scritti con un italiano piuttosto dubbio o, peggio ancora, in lingua straniera (prevalentemente inglese).

Laddove dovessi ritrovarti al cospetto di un messaggio del genere, cestinalo senza pensarci due volte, senza visitare il link contenuto al suo interno, per nessuna ragione: nella maggior parte dei casi, le pagine Web di phishing hanno un URL e un aspetto del tutto simile a quello dei portali “seri” che tendono a scimmiottare e potrebbero facilmente trarre in inganno l'utente, che potrebbe essere ingannato dalla schermata familiare e indotto a compilare il modulo presente con dati che non dovrebbero mai trapelare.

Aspetta, mi chiedi cosa potrebbe succedere se dovessi inserire, ingenuamente, le informazioni richieste in un sito di phishing? Purtroppo non so dare una risposta precisa alla tua domanda, in quanto i criminali che si nascondono dietro l'intero sistema potrebbero avere le intenzioni più disparate.

Tuttavia, so esattamente cosa dovresti fare subito dopo il misfatto: se hai fornito numero e CVV della carta di credito, blocca quest'ultima nel più breve tempo possibile, chiamando il numero d'emergenza che ti è stato fornito dall'emittente della carta stessa (attivo quasi sempre 24 ore su 24, 7 giorni su 7). La tempestività in questo frangente è d'obbligo, in quanto potrebbero essere spese grosse somme di denaro, prima che l'istituto di credito di riferimento possa rendersi conto di movimenti “strani” e bloccare le transazioni in maniera autonoma.

In generale, se hai inserito i tuoi dati finanziari o altre informazioni riconducibili a essi (IBAN, credenziali d'accesso all'home banking e così via), contatta immediatamente il tuo istituto di credito e spiega la situazione a un addetto ai lavori, che saprà certamente come aiutarti.

Se poi hai spifferato le credenziali di login per un dato sito o servizio, cambia immediatamente la relativa password d'accesso (prima che qualcun altro possa farlo al posto tuo chiudendoti, di fatto, fuori dall'account), attiva l'autenticazione a due fattori (se non l'hai già fatto) e, infine, cerca di contattare il gestore del sito Web, in modo da poter spiegare la situazione in cui ti sei ritrovato e ricevere ulteriori informazioni circa la tutela dei tuoi dati, delle tue finanze e, in generale, della tua privacy.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.