Molti siti possono spiegare in modo tecnico e dettagliato cosa sia un certificato SSL, l’acronimo di Secure Socket Layer, un protocollo che consente la trasmissione di informazioni in modo criptato e sicuro. Con un certificato SSL è possibile proteggere i dati degli utenti del proprio sito web impedendo a terzi di intercettare e leggere le informazioni trasferite.
Recentemente il Garante Privacy ha sanzionato il ‘’Servizio Idrico Integrato S.c.p.a.’’ perchè il suo sito non ha https (HyperText Transfer Protocol over Secure Socket Layer). Una misura di sicurezza base ma ancora poco diffusa. Eppure è un problema e anche un illecito privacy, per il GDPR.
Tutto nasce dal reclamo di un utente con il Garante Privacy sulla mancanza del protocollo HTTPS all’interno dell’area riservata, la sanzione è importante 15.000 euro. Lascio a voi leggere le motivazioni del Garante Privacy perchè il tema che voglio affrontare è un altro.
L’85% degli acquirenti on line evita i siti web non protetti da protocollo HTTPS (fonte GlobalSign).
Ma quanti di questa percentuale verificano la tipologia del certificato SSL del sito da cui stanno acquistando? Quasi nessuno. Peccato, pechè è il primo semplice passaggio che potrebbe evitare di incorrere in una truffa.
Ci sono diversi certificati, con diversi livelli di protezione e sicurezza. Il certificato DV (Domanin Validation) permette di validare un dominio in pochi semplici passaggi dandovi la garanzia del protocollo HTTPS, ma l’ente certificatore non controlla e non garantisce la proprietà del dominio, non c’è modo di sapere se il certificato sia di proprietà effettiva dell’azienda da cui voglio effettuare un acquisto on-line.
Il certificato OV (Organization Validation) non valida solo il dominio ma anche la proprietà del dominio. L’ente certificatore prima di rilasciare il certificato deve assicurarsi che il richiedente sia realmente il proprietario del dominio. Controllare questo tipo di informazioni permette di verificare se il sito da cui sto acquistando sia reale o meno.
Ulteriore rassicurazione viene data dal certificato EV (Extended Validation) che richiede ulteriori verifiche aggiuntive, tra le quali il numero di telefono pubblico dell’azienda, la storicità del dominio, il numero di registrazione dell’impresa ed eventuali iscrizioni del dominio in blacklist. Prima di emettere il certificato l’ente certificatore chiama l’azienda per ulteriore verifica e validazione.
E’ molto semplice accedere a questo tipo di informazioni, se tutti imparassero a verificare la proprietà del dominio attraverso il certificato SSL si potrebbero avitare molte truffe. E’ per questo motivo che io consiglio sempre di acquistare un corretto certificato SSL, non solo a protezione del cliente, anche per offrire un’immagine nitida della tua organizzazione.
La Direttiva PSD2 (Payment Services Directive) approvata dalla commissione Europea nel 2015, finalizzata a regolarizzare i servizi di pagamento on line, entrata in vigore nel gennaio del 2018, richiede alle banche e ad altri fornitori di servizi a pagamento online di utilizzare i certificati qualificati, firme elettroniche giuridicamente vincolanti e ancora più difficili da ottenere rispetto ad un certificato EV. La tendenza sarà quella di offrire un servizio protetto e sempre più trasparente a salvaguardia dei consumatori.
