Un clic innocente, un acquisto senza pretese, uno sconto imperdibile. Tutto sembra sicuro, fino a quando arriva la fattura con un importo che non riconosci. Dietro le quinte dell'e-commerce, mentre i consumatori sfruttano la comodità del digitale, ogni giorno si combatte una guerra invisibile contro truffe sempre più sofisticate.
Nel 2024, più della metà dei brasiliani è già stata vittima di qualche tipo di frode, secondo Serasa Experian. E l'impatto è reale: il 54,2% ha riportato perdite finanziarie, molti di loro senza nemmeno rendersi conto del momento dell'inganno. Se prima le frodi erano in massa e in modo grossolano, oggi sono chirurgiche, silenziose e costose. Il valore medio dei truffe è aumentato del 30% e supera già i 1.300 R$ per ordine.
Il crimine si è evoluto e la sicurezza digitale deve rincorrerlo. Il commercio elettronico è il nuovo campo di gioco dei cybercriminali. I dati di Febraban mostrano che le perdite finanziarie dovute a frodi digitali in Brasile hanno raggiunto i 10,1 miliardi di reais nel 2024, il 17% in più rispetto all'anno precedente. "L'ambiente digitale, soprattutto per l'e-commerce, è diventato un campo minato", avverte Wagner Elias, CEO di Conviso, specializzata in sicurezza delle applicazioni.
E il nemico non dorme. Le minacce sono varie, dagli attacchi di phishing (che rappresentano il 15% dei casi) all'uso di credenziali rubate (16%), passando per insider malintenzionati, questi ultimi, tra l'altro, con un costo medio per violazione di 4,99 milioni di dollari, il più alto della lista.
Elias dice che alcune delle tecniche più diffuse sono lo skimming digitale e l'account takeover (ATO). Senza sorvolare, il criminale inserisce codici dannosi direttamente nella pagina di pagamento. Già nell'ATTO, il colpo è più freddo e metodico: con credenziali trapelate, accede a conti reali, cambia password e fa acquisti. Secondo l'azienda AllowMe, il 72% delle frodi nel commercio digitale deriva da accessi non autorizzati.
Gli obiettivi preferiti? Giochi, cellulari, informatica ed elettronica, prodotti con alta liquidità nel mercato informale e facile rivendita. Anche i mezzi di pagamento preferiti dai truffatori continuano a essere le carte di credito. La ragione è semplice: acquisto rapido, poca verifica, e si scopre solo quando arriva la fattura.
La lotta
E cosa si può fare? La risposta si trova nella tecnologia e, soprattutto, nella pianificazione della sicurezza sin dall'inizio dello sviluppo delle applicazioni. La risposta è nella tecnologia, sì, ma soprattutto nel modo in cui viene implementata. Lasciare la riflessione sulla sicurezza solo dopo che il sistema è in funzione è un errore fatale. È necessario includere pratiche come il PCI DSS sin dall'inizio dello sviluppo e investire in strumenti come i WAF per proteggere i siti dagli attacchi in tempo reale», afferma Wagner Elias.
È qui che entrano strumenti come i WAF (Web Application Firewalls), che monitorano il traffico in tempo reale, bloccano schemi sospetti e proteggono i siti da attacchi come iniezioni di codice e accessi non autorizzati. L'uso dell'IA (Intelligenza Artificiale) è stato anche importante per anticipare comportamenti malevoli, riducendo fino a 2,2 milioni di dollari i costi delle violazioni, secondo lo studio "Cost of a Data Breach 2024" di IBM.
Un altro punto essenziale è l'uso di pratiche compatibili con il PCI DSS (Payment Card Industry Data Security Standard), un insieme di standard internazionali che aiutano a proteggere le transazioni con carta. Le aziende che operano con dati di pagamento devono, per obbligo e per intelligenza di business, seguire rigorosamente il PCI. È questo che distingue un sistema sicuro da una porta aperta alle frodi, conclude Elias.
Anche con il progresso della tecnologia, il tempo medio per contenere una violazione è ancora lungo: 258 giorni. Nel caso di credenziali rubate, può arrivare a 292 giorni, quasi un anno. Una parte della colpa è la carenza di professionisti specializzati, aumentata del 26,2% nell'ultimo anno e che ha fatto salire il costo delle violazioni di 1,76 milioni di dollari.
Tuttavia, l'esperto avverte: chi scommette sull'automazione, sulla sicurezza fin dalle basi e sulle simulazioni di attacchi — i cosiddetti test di penetrazione — ha più possibilità di uscirne illeso o, almeno, di ridurre i danni.
I rapporti delle principali autorità sulla sicurezza informatica dimostrano l'efficacia delle protezioni PCI DSS e WAF: secondo il DBIR 2024 di Verizon, la conformità allo standard PCI DSS riduce del 52% gli incidenti di sicurezza, mentre i WAF bloccano fino all'80% degli attacchi alle applicazioni web. Lo studio Cost of a Data Breach 2023 di IBM rivela che le aziende con WAF risparmiano 1,4 milioni di dollari per violazione, e il PCI DSS accelera del 54% il tempo di risposta alle violazioni. Quando combinate, queste soluzioni possono ridurre le perdite finanziarie fino al 75%, secondo il Ponemon Institute (2024).
In questo modo, le aziende che seguono lo standard PCI DSS hanno la metà dei problemi con le fughe di dati, e i firewall per applicazioni web (WAF) impediscono 8 attacchi hacker su 10. Chi utilizza entrambe le tecnologie insieme limita i danni finanziari al solo 25% del valore normalmente previsto dopo le intrusioni, spiega.
Negli Stati Uniti, uno stupro costa in media 9,36 milioni di dollari, il più alto al mondo per il 14º anno consecutivo. Lì, il 63% delle aziende ammette già che trasferirà questo costo ai clienti, il che dimostra che investire in sicurezza non è solo una precauzione: è una questione di competitività e immagine. Elias conclude: "In tempi di e-commerce in crescita e dati preziosi, ignorare la sicurezza digitale significa lasciare soldi sul tavolo, compromettere ricavi e reputazione allo stesso tempo. Oltre a perdere anche la fiducia del cliente e la credibilità del marchio."
