Facciamo acquisti, gestiamo le nostre finanze, condividiamo informazioni personali: la crescente dipendenza da Internet ci espone, inevitabilmente, anche a numerosi rischi per la sicurezza. Truffe, furti d’identità, malware e phishing sono minacce concrete che possono causare danni impattanti sia a livello di reputazione che finanziario.
Saper riconoscere un sito sicuro o meno è diventato quindi una competenza fondamentale. Un sito web sprovvisto di protocollo HTTPS può instillare poca fiducia negli utenti e può esporre i proprietari anche a sanzioni da parte del Garante della Privacy. Nel 2022, l’autorità ha comminato un’ammenda a un’azienda che non aveva applicato il protocollo sicuro HTTPS, non fornendo così adeguata protezione ai dati degli utenti.
Indice dei contenuti:
Quali sono le differenze tra HTTP e HTTPS?
L’acronimo HTTP significa Hypertext Transfer Protocol e riguarda il protocollo che permette il trasferimento di informazioni. HTTPS aggiunge Secure, indicando che il trasferimento dei dati tra client e server è criptato, proteggendoli da intercettazioni da parte di terzi e rendendo il sito sicuro. Garantire la protezione dei tuoi dati e di quelli degli utenti è fondamentale: devi tener conto che le persone che decidono di registrarsi o fare un acquisto sul tuo sito, ti affidano i loro dati.
Una conseguenza diretta è il danno alla reputazione. Gli utenti non sono propensi a considerare affidabile chi non si adopera abbastanza per la protezione dei loro dati. Inoltre, atterrando su un sito web non sicuro, cercheranno altrove le informazioni desiderate. E ciò significa che consulteranno le pagine dei competitor.
La mancanza di un certificato SSL si riflette anche sul posizionamento SEO. Google, infatti, non vede di buon occhio e non premia in SERP i siti web che non applicano il protocollo HTTPS e avvisa i visitatori del potenziale pericolo con la dicitura “non sicuro” nella barra degli indirizzi. La mancanza di un certificato SSL porta gli utenti a diffidare dal sito web in questione. Per un e-commerce le conseguenze sarebbero tutt’altro che irrilevanti.
Quando un sito è sicuro
Il primo passo per capire se un sito è sicuro è controllare l’URL. Se l’anteposto è https significa che utilizza il protocollo che cripta le informazioni trasmesse tra il browser e il server, rendendole inaccessibili a terzi.
Un altro modo per verificare la sicurezza di un sito web è verificare l’icona del lucchetto nella barra degli indirizzi e/o visualizzare le informazioni: se tra queste è presente la voce “La connessione è sicura”, significa che il certificato SSL è applicato correttamente.
Sito web senza HTTPS: Garante della Privacy sanziona un’azienda
Tutto è cominciato, nel 2022, dal reclamo al Garante di un utente, il quale segnalava l’assenza del sistema di cifratura su un sito web aziendale. Nella fattispecie, veniva evidenziata la mancanza di un certificato SSL in un’area del sito web in cui transitavano dati sensibili come le credenziali di autenticazione, contatti telefonici, codici fiscali, partite IVA, dati anagrafici e di fatturazione.
L’utente ha provveduto a inoltrare due segnalazioni a mezzo PEC all’azienda fornitrice di servizi idrici intestataria del dominio e, dato il mancato riscontro, ha deciso di interpellare il Garante della Privacy. A seguito della ricezione del reclamo, l’autorità ha constatato l’inosservanza degli obblighi previsti dal regolamento sulla privacy in materia di integrità e riservatezza nel trattamento dei dati, secondo cui il titolare deve mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (come la cifratura dei dati personali e quello di protezione fin dalla progettazione del sito web).
All’azienda in questione è stato attribuito un provvedimento pecuniario di euro 15.000 per non aver protetto in modo consono i dati dei clienti registrati sull’area riservata del proprio sito web. L’ammenda è stata comminata considerando il volume di dati trattati, il numero di utenti e l’approccio collaborativo dell’azienda.
Quale SSL scegliere?
La scelta del certificato SSL può essere fatta tra diverse opzioni, comprendendo la necessità di affidarsi a un certificato gratuito o a pagamento. Shellrent, ad esempio, assicura sia il gratuito Let’s Encrypt, sia SSL a pagamento.
I certificati Let’s Encrypt sono forniti da un’autorità no profit e hanno validità di 90 giorni: offrono il protocollo HTTPS al tuo sito, ma non prevedono alcun tipo di validazione o controllo della proprietà del dominio. Sono ideali per piccoli progetti online.
I certificati SSL a pagamento, prevedendo la validazione del dominio associato o dell’azienda che ne richiede l’emissione, sono invece indicati per siti aziendali ed e-commerce.
Questa tipologia di SSL si distingue in:
- certificati Domain Validation (DV), che prevedono quindi la validazione del sito web sul quale verranno applicati.
- Certificati Extended Validation (EV), il cui processo di convalida passa attraverso l’autenticazione dell’azienda a cui il dominio è collegato.
Il mio sito è sicuro?
In un contesto in cui l’abilità degli hacker tramuta costantemente, la sicurezza di un sito web richiede un approccio proattivo. Alcune best practices, come quelle che illustreremo di seguito, contribuiscono a rendere un sito sicuro.
Scansione antivirus
Utilizzare software antivirus di qualità è essenziale per rilevare e rispondere tempestivamente alle minacce.
Shellrent, in quest’ottica, offre un servizio completo: AV Protection PRO. Si tratta di un antivirus all-in-one che:
- Si aziona automaticamente quando un file viene modificato o aggiunto.
- Effettua una scansione alla ricerca di potenziali minacce.
- Permette di rimuovere le minacce rilevate con un semplice click, attivando la funzione di pulizia automatica.
Scegli una password complessa e abilita l’autenticazione a due fattori
Per una maggiore protezione, utilizza una password complessa e diversa per ogni tuo account. Questa azione rende molto più difficile l’accesso al tuo sito da parte di hacker malintenzionati. Utilizza una combinazione di lettere maiuscole e minuscole, simboli e numeri. Non basarti su dati personali o parole troppo semplici.
Inoltre, ove disponibile, ti suggeriamo di attivare l’autenticazione a due fattori (2FA) per aggiungere un livello di sicurezza contro accessi non autorizzati. In questo senso, noi di Shellrent abbiamo implementato misure avanzate per proteggere i dati degli utenti in fase di login, che puoi approfondire in questo articolo: Best practice per la sicurezza su Shellrent.
Scegli un hosting sicuro
Scegliere un web hosting che fornisca gli strumenti essenziali per costruire una solida strategia di sicurezza è fondamentale: scansioni antivirus, certificati SSL, firewall e sistemi di backup affidabili. Valuta attentamente quali servizi rispondano meglio alle tue specifiche necessità.
I piani Web Hosting di Shellrent includono un backup automatico e, per una protezione più completa, è possibile attivare opzioni aggiuntive. Inoltre, proponiamo anche il servizio avanzato “Disaster Recovery” che archivia i dati in due differenti Cloud Storage per assicurare una strategia di rapido ripristino in caso di imprevisti.
