Mancano pochi giorni al Black Friday, che quest’anno cade il 25 novembre. L’appuntamento segna negli Stati Uniti l’apertura ufficiale dello shopping natalizio, con una serie di sconti e promozioni che ormai sono approdati anche nel resto del mondo soprattutto tramite il canale eCommerce.
Phishing Amazon: dagli store fake agli investimenti, l’allarme della Consob
Indice degli argomenti
L’eCommerce vola. E pure i rischi
Un canale il cui incremento non accenna a declinare, nonostante il venir meno della crisi pandemica. Secondo gli ultimi dati dell’Osservatorio eCommerce B2C del Politecnico di Milano nel 2022 gli acquisti online degli italiani dovrebbero aumentare del +14% per raggiungere un valore pari a 45,9 miliardi di euro. Si conferma, in sostanza, la penetrazione della modalità online sul totale degli acquisti effettuati nel retail, vale a dire l’11% (percentuale identica a quella registrata nel 2021).
Una tendenza che trova riscontro in altre ricerche, come quella di VTEX realizzata in collaborazione con BVA Doxa. Lo studio, dal titolo Digital Commerce Experience, è stato condotto nel secondo trimestre del 2022 su oltre 1.000 soggetti rappresentativi della popolazione italiana connessa a Internet e ha messo in luce l’impatto della pandemia sul comportamento dei consumatori. In particolare, ha evidenziato un consolidamento delle attitudini all’online shopping e una crescita del commercio digitale.
Tra le persone che negli ultimi 6 mesi hanno effettuato almeno un acquisto online, il 61% ha intensificato gli acquisti o ha iniziato a comprare sul web proprio nelle fasi più rigide dell’emergenza Covid. Di queste, 8 su 10 oggi hanno dichiarato di aver mantenuto le nuove abitudini adottate.
Cyber security per l’eCommerce, a che punto siamo
Il tema della sicurezza costituisce uno dei fattori dirimenti per la scelta di un sito eCommerce da parte del consumatore. Infatti, per 1 acquirente su 2 l’affidabilità è un elemento rilevante, soprattutto tra gli over 55, che ricercano sicurezza e praticità nelle loro esperienze di shopping online.
La capacità del portale di veicolare una sensazione di fiducia è fondamentale, tanto che il 60% degli acquirenti digitali indica come motivo di abbandono il timore di truffe.
Ma qual è l’effettivo impatto dei cyber attack nel settore dell’eCommerce?
PrestaShop, soluzione open-source per l’eCommerce utilizzata da circa 300 mila siti nel mondo, ha condotto a tal proposito un’indagine che ha coinvolto 115 merchant appartenenti al network Million Club in Francia, Spagna, Italia, Polonia e America Latina. Fanno parte di questo network le attività che realizzano più di un milione di GMV (Gross Merchandise Volume) l’anno in diversi ambiti, sia B2C sia B2B, quali moda, food & beverage, attrezzature per la casa, sport, gioielli, giardinaggio, cura degli animali, vela e artigianato.
Il campione è stato intervistato per verificare lo stato dell’arte in termini di consapevolezza e capacità di affrontare il fenomeno delle minacce informatiche delle realtà presenti nell’eCommerce.
I risultati della ricerca, diffusi a metà ottobre, hanno rivelato che oltre 2 aziende su 5 (44%) del nostro paese sono state vittima di un attacco informatico almeno una volta dall’apertura del loro negozio sul web. A livello globale la percentuale è superiore (quasi 1 su 2), ma ciò non toglie che gli operatori italiani considerino prioritario il tema della cyber security, come asserisce un terzo degli interpellati.
Le principali tipologie di attacco alle piattaforme di vendita online
Per quanto riguarda la tipologia di minaccia fronteggiata, questa varia dai bot dannosi agli attacchi ai server DNS, dai DDoS e SQL injection ai ransomware e all’utilizzo fraudolento del nome del dominio. In generale, la principale conseguenza derivante da questi attacchi è consistita nell’indisponibilità dei servizi, seguita dal furto di dati.
Per le aziende italiane le problematiche successive sono state risolte in un arco di tempo che oscilla tra la mezza giornata e una settimana. La metà di queste ha poi risolto la situazione installando le patch di sicurezza mancanti, mentre il 25% reinstallando il backup. Nessuna, comunque, è dovuta ricorrere al pagamento di un riscatto per fermare il cyber attacco.
Francesco D’Acri, Country Manager Italia di PrestaShop, a commento della ricerca, sottolinea: “Alla luce dell’aumento progressivo e ormai senza confini del numero degli attacchi informatici e della complessità delle minacce che un e-store può subire è fondamentale che ci sia consapevolezza dei possibili effetti anche finanziari di tali attacchi e dell’importanza di investire nella creazione di salde competenze, siano queste interne oppure in outsourcing, che possano aiutare i merchant a prevenirli o gestirli con la massima rapidità”.
Ed è proprio la carenza di competenze, insieme al budget circoscritto, che spinge 8 aziende italiane su 10 a optare per l’outsourcing affidandosi a partner esterni in grado di supportarle nei loro processi di cyber security.
L’intelligence e le misure a contrasto dell’insider nei call center
“In base alla mia esperienza – spiega Luca Nilo Livrieri, Senior Manager, Sales Engineering for Southern Europe di CrowdStrike – in Italia gli investimenti nella sicurezza vengono fatti specialmente a ridosso di iniziative promozionali come il Black Friday o le festività natalizie, con un approccio più tattico che strategico. Cosa che non riscontro negli altri paesi”.
Il phishing via SMS raddoppia sotto le feste: smartphone sotto attacco
Pericolo phishing nelle mail del Black Friday
Gli attacchi al mondo eCommerce, invece, sono più o meno identici dappertutto, a cominciare da quello cosiddetto di “filiera” che punta a database di terze parti dove il livello di sicurezza è più basso per carpire numeri di telefono, mail, metodi di pagamento e preferenze d’acquisto da utilizzare successivamente. Per questo la fase dell’initial access è una delle più critiche.
“Se si creano delle mail di phishing all’interno delle campagne del Black Friday – dice ancora il manager di CrowdStrike – diventa appetibile per gli attaccanti sfruttare questi picchi per rubare il primo accesso. Qui si lega un tema di threat intelligence: è importante cioè ragionare in termini di Deep Web e Dark Web per capire che cosa gli hacker si scambiano ‘dietro le quinte’, dove ci possono essere credenziali o database rubati”.
Un cliente di Amazon o eBay, di cui si conoscono determinate abitudini commerciali, può diventare ad esempio bersaglio di email, SMS o messaggi Whatsapp inviati da malintenzionati. A questo rischio oggi si aggiunge quello del data leak che può avvenire nei call center e nel back-end.
“Ci sono comunque soluzioni che gestiscono i comportamenti anomali nell’accesso ai dati e che impediscono di salvare in locale un numero di record considerato eccessivo” conclude Luca Nilo Livrieri, lasciando intendere che c’è una risposta a questa attività di insider che potrebbe danneggiare gli operatori dell’eCommerce e i clienti. Se il Black Friday si può ancora celebrare in tutto il mondo lo si deve anche a questo.
