Come funziona eCommerceSicuro

CommerceSicuro è un tool per la ricerca di negozi online dove acquistare in sicurezza. L'indice di sicurezza e affidabilità di un sito che vende online può essere determinato in base a diversi parametri, qualitativi e quantitativi, che comunemente sono utilizzati come best practice nel commercio online. L'obiettivo è dare al consumatore prima dell'acquisto un indicatore sintetico chiaro, e contemporaneamente ai gestori del sito un riscontro sui fattori di miglioramento.

Come verifichiamo l’affidabilità di un sito e-commerce

Nella fase di lancio, l'algoritmo di eCommerceSicuro si basa sui seguenti fattori di rischio:

  • Presenza del certificato SSL sul dominio per una comunicazione sicura tra client e sito web
  • Assenza di codice malevolo riscontrato da terzi sul dominio
  • SPF valido nei record DNS del dominio
  • DMARC valido nei record DNS del dominio
  • Presenza di sitemap
  • Presenza di recensioni di utenti reali
Il nostro algoritmo, ponderando il valore di ciascun fattore riscontrato nel sito oggetto della ricerca, determina un indice di trust che appare all'utente in forma grafica, indicando quindi il grado di soddisfazione di ciascuno dei parametri presi in esame. Qualora il sito non fosse presente nei nostri archivi, l’utente può segnalarlo: in pochi giorni effettueremo le nostre verifiche per inserirlo a beneficio di tutti. Il sistema di calcolo nel tempo sarà arricchito di nuovi parametri che considerano altre fonti di dati ovvero analizzando altri aspetti che possano portare valore al rating stesso.

Come leggere la scheda di affidabilità

Il sito dispone di un certificato SSL valido

Un certificato Secure Sockets Layer garantisce che lo scambio di dati tra due sistemi in rete avvenga in modo sicuro. Lo scambio di dati tra browser e server avviene su protocollo Https (dove la S finale sta appunto per "Secure") in modo crittografato: in questo modo i dati vengono scambiati senza poter essere intercettati da soggetti non autorizzati. Quindi è fondamentale per un sito che gestisce password, transazioni bancarie o i dati di carta di credito. L'icona del lucchetto nella barra del browser a fianco del nome dominio identifica che il sito dispone di un certificato SSL. Cliccandoci sopra è possibile visualizzare i dettagli del certificato, l'autorità di emissione e il nome aziendale del proprietario del sito.

Il sito non presenta codice malevolo o dannoso

Alcuni siti potrebbero eseguire codice malevolo o dannoso ossia in sintesi codice non voluto dell'utente che potrebbe essere utilizzato ad esempio per il furto di informazioni.

Presenza di sitemap

Una "mappa del sito" è un documento che informa i motori di ricerca quali pagine del sito indicizzare. Fornire una mappa dei contenuti del sito ai bot di ricerca è una delle tecniche per facilitare il posizionamento e la visibilità delle pagine del proprio sito. L’assenza di una sitemap può considerarsi un segnale di scarsa attenzione o di qualità nella cura del sito, ovvero uno dei modi per limitare l’indicizzazione dello stesso sui motori di ricerca.

DMARC valido nei record DNS del dominio

Il protocollo DMARC (Domain-based Message Authentication Reporting and Conformance) aiuta a proteggersi dalle email fraudolente, individuando lo spoofing dell'organizzazione e del dominio. Lo spoofing è un tipo di attacco che falsifica l'indirizzo del mittente facendo sembrare che provenga dall'organizzazione o dal dominio la cui identità è stata rubata. Si tratta di un record DNS che presuppone la presenza di due altri record DNS, SPF e DKIM

SPF valido nei record DNS del dominio

Il record SPF (Sender Policy Framework) consente al server che riceve una email di verificare che il messaggio in entrata, che sembra provenire da un dominio, provenga effettivamente da una lista di server fidati o autorizzati dal proprietario di quel dominio. Lo scopo è quello di impedire a chi fa spam e phishing di inviare messaggi con indirizzi del mittente falsificati, fingendosi proprietari di quel dominio e di quella casella di posta (spoofing).

Il sito è stato sospeso?

Il sistema verifica se il sito è stato sospeso dal fornitore di hosting. Un dominio, o un sito, può essere sospeso per motivi contrattuali (per esempio per mancato rinnovo, o perché ha violato delle condizioni contrattuali) o tecnici: nei casi più gravi, per esempio, i fornitori di hosting possono mettere offline un sito che è stato oggetto di attacchi informatici e contiene malware, fino alla risoluzione definitiva del problema.

Estensione del dominio sospetta?

Il dominio ricercato utilizza un'estensione (esempio: dominio.xyz) che in genere viene utilizzata dai siti di spam. Si tratta di una reportistica che raggruppa i siti malevoli o che producono spamming per il tipo di estensione registrata. Essendo un dato statistico non è detto che tutti i siti con una determinata estensione siano malevoli (vedi, ad esempio, i domini .info).

Blocco della scansione del sito

Il file robots.txt è un documento di testo che viene utilizzato per indicare ai motori di ricerca quali risorse e pagine includere, ed escludere, nella scansione del sito. Molti siti malevoli tramite (anche) questo file evitano il recupero di informazioni o pagine che consentirebbero una più semplice individuazione della loro finalità truffaldina.

Titoli delle pagine assenti

E' opportuno che tutte le pagine del sito che abbiano un contenuto fruibile da parte degli utenti presentino un titolo utile e significativo per gli utenti ed i motori di ricerca. Alcuni dati, come appunto il tag non solo sono indispensabili in ottica SEO, ma possono essere considerati penalizzanti per la reputazione del sito.
Per verificare in modo semplice quali pagine sono viste da Google, ad esempio, scrivi nella barra di ricerca "site:tuodominio.it": vedrai elencate le pagine indicizzate con i rispettivi titoli e descrizioni. Ti consigliamo comunque di analizzare, tramite software dedicati o meglio ancora con un audit SEO serio, quali pagine del sito difettano di dati fondamentali.

Sito proveniente da Paesi a rischio

Il sistema controlla se il sito proviene da Paesi dove il livello di rischio è elevato (Cina, Nigeria, Bulgaria per citarne alcuni) in base a statistiche pubbliche. Non viene solo controllata la geolocalizzazione, ma anche esclusi determinati siti web con l'aiuto di specifici filtri.
Consigliamo di registrare e ospitare il sito in Italia o nell'Unione Europea.

Il dominio punta a un indirizzo IP sicuro

I provider dei domini e le autorità di sicurezza possono dirottare i domini dei siti malevoli verso indirizzi IP che non sono accessibili al pubblico, onde prevenire frodi e attività illecite. Il sistema verifica se l'indirizzo IP del dominio non sia stato bloccato o inserito in un sistema di "DNS sinkholed".

Check approfondito tramite APIVoid

Il nostro sistema si avvale, oltre che di algoritmi sviluppati internamente, anche di sistemi euristici di terze parti. Uno di questi è quello fornito da APIVoid, che ha elaborato un algoritmo molto sofisticato che comprende parametri tecnici differenti per la valutazione dell'affidabilità di un dominio.

Il sito raccoglie recensioni utenti

Prima di acquistare online i consumatori preferiscono affidarsi alle recensioni di chi ha già acquistato. Il passaparola, o meglio il principio che viene chiamato "riprova sociale", sono strumenti di marketing tradizionale che con le vendite online sono diventati fattori di acquisto ancora più rilevanti. Ma se un sito che raccoglie e visualizza le recensioni dei propri clienti offre agli stessi un servizio di trasparenza che crea fiducia e credibilità, purtroppo queste opinioni potrebbero essere fittizie o costruite ad arte. Dunque è fondamentale servirsi di uno strumento, quale eShoppingAdvisor, che offre alle aziende strumenti per gestire e valorizzare le recensioni utenti, e ai consumatori la possibilità di basarsi su recensioni autentiche o verificate.

Validità e durata dei risultati

Le informazioni pubblicate non possono costituire una garanzia assoluta sull'affidabilità (o inaffidabilità) del sito preso in esame, né il rating può considerarsi una "certificazione" di qualità del sito stesso: l'esperienza definitiva di navigazione e di acquisto è demandata all'utente e pertanto non possiamo essere ritenuti responsabili né di truffe, né di inadempimenti da parte degli shop o nemmeno della mancata acquisizione di informazioni utili.
L'algoritmo ricalcola l'indice di rating con tempi di aggiornamento differenti in base ai dati in ingresso: come è facilmente comprensibile, alcune informazioni richiedono più tempo per essere recuperate, ovvero non è economico interrogare un sito in modo frequente per verificare la risoluzione di una criticità.

Per questi motivi la validità media del rating è di 30 giorni.
Se un eCommerce ritiene che uno o più indicatori siano nella realtà soddisfatti e verificabili, vi chiediamo di contattarci in modo tale da provvedere all'aggiornamento dei dati interni.

Passaparola!

eCommerceSicuro è uno strumento gratuito per verificare l'affidabilità degli e-commerce creato da eShoppingAdvisor, il portale per acquistare online in modo sicuro.