E dopo la guida su come riconoscere un’email o un sito ufficiale, ora vi istruirò su come riconoscere un e-commerce affidabile per fare acquisti online ed evitare che vi arrivi a casa un mattone 😀 (nel migliore dei casi).
Internet è pieno di colossi mondiali dove poter trovare di tutto e di più a prezzi vantaggiosi e soprattutto senza muoverci di casa. La mania di risparmiare per alcune persone è vista come un ossessione e sono pronte a tutto pur di far proprio l’oggetto dei loro desideri, a un prezzo molto più allettante di quello di tutti gli altri venditori.
Ed è la che entrano in gioco i malfattori.
Io onestamente trovo tutto quello che ho bisogno online nei portali più famosi. Raramente mi sono servito di piattaforme sconosciute anche perché per ogni dannato sito, devo creare ovviamente un dannato profilo, aumentando esponenzialmente la quantità di nomi utenti e password da salvare. Altrimenti chi si ricorda…
Sì lo so sono un rompiballe, ma questo mi evita anche che in caso di data breach, la mia email finisca ancora una volta in qualche database sperduto chissà dove.
Per cui, “A” ed “E” (uso solo le loro iniziali per non far pubblicità) per me siete insostituibili (ma lungi da me da idolatrarli).
Di recente però ho dovuto rimediare una nuova scheda video perché la mia adorata GTX 760 ha preso appuntamento con Caronte e ho dovuto cercare un negozio online con dei prezzi più onesti per rimpiazzarla.
L’ho trovato ed è andato tutto bene. Ora sono un fedele possessore di una GTX 1050Ti in attesa di mettere le mani su una sfavillante RTX 3060 non appena i prezzi forse decideranno di scendere.
“Matteo di che cazzo stai parlando?” starete dicendo voi. Niente, volevo solo condividere questa mia vicissitudine.
“Matteo di che stai parlando?” starete dicendo voi. Niente, volevo solo condividere questa mia vicissitudine.
Quindi, tornando all’argomento principale, come si riconosce un buon sito che ti manda effettivamente quello per cui hai pagato?
Esistono delle accortezze che ci permettono di evitare al 99,1% che i nostri soldi finiscano in qualche conto corrente della Costa d’Avorio e che i nostri dati finiscano in un non ben definito market nel deep web.
Primo: Il protocollo https
ATTENZIONE: le informazioni sul protocollo https sottostanti non hanno più carattere attendibile.
Sempre nell’articolo su come riconoscere un sito affidabile ho menzionato il protocollo ma vi riposto l’immagine:
HTTP sta per HyperText Transfer Protocol ed è il protocollo usato dai browser per chiedere al server del dominio che stiamo visitando, di mostrarci le informazioni richieste (in teoria la questione è molto più complessa ma fatevi bastare questa informazione).
HTTPS sta per HyperText Transfer Potocol Secure. Esattamente come il precedente ma con l’aggiunta di Secure.
Cosa cambia? Mentre nel primo caso i dati vengono inviati da e al server in modo chiaro, nel secondo caso vengono inviati e ricevuti in modo crittografato.
In parole povere con HTTPS qualsiasi persona che riesca a intercettare i nostri dati inviati e ricevuti non riuscirà a capirci un bel niente:
Un sito che usa il protocollo HTTPS lo si riconosce dal lucchetto presente nella barra degli indirizzi del browser:
cliccandoci una finestrella ci informa della sicurezza della connessione:
La sicurezza del protocollo HTTPS viene data da un certificato SSL o TLS rilasciato da aziende specializzate al rilascio degli stessi (e si paga).
Ha una scadenza, quindi il browser durante il collegamento al server verifica che sia in corso di validità altrimenti ci mostra un avviso grosso come una casa.
Può capitare che chi gestisce il sito si sia scordato del rinnovo quindi se incappate in un errore che vi informa del certificato scaduto, provate a tornare in un secondo momento. Magari è solamente un problema momentaneo e verrà risolto a breve.
Come controllare un certificato SSL\TLS?
Tutti i browser ci danno la possibilità di aprirlo. Con Chrome dopo aver cliccato su “La connessione è sicura” apparirà un altro popup:
E infine cliccando su “Il certificato è valido“:
Ta-Dan! Abbiamo sotto gli occhi il Sacro Graal con tutti i dati relativi, compresa validità e sito per il quale è stato rilasciato (in questo caso a tiscali.it).
Altri tipi di certificati
La presenza del lucchetto sulla barra può darvi una certa tranquillità ma è opportuno controllare da chi e per chi viene emesso.
Alcuni servizi come Cloudflare (che il mio sito e blog utilizza), consentono di ottimizzare i caricamenti delle pagine e fornisce gratuitamente un comodo certificato SSL\TLS da poter utilizzare.
Nel mio blog infatti:
Avrete certamente notato che non è stato rilasciato a *.matteosaba.it ma a sni.cloudflaressl.com.
Dovrebbe suonare un campanello d’allarme se il sito nel quale state per fare degli acquisti, utilizzi un certificato SSL\TLS rilasciato da Cloudflare?
Non necessariamente ma è opportuno effettuare ulteriori controlli.
Attenzione: aggiornamento a marzo 2022:
A quanto pare il fantomatico lucchetto che dovrebbe darci sicurezza si trova quasi nella metà dei siti fraudolenti riscontrati. Leggendo questo articolo su CyberGuru.it viene spiegato bene il fenomeno. In sostanza: è vero che il traffico viene comunque crittografato ma il lucchetto non da più la sicurezza di trovarci di fronte a un sito affidabile. Quindi effettuate sempre e dico sempre ulteriori controlli.
Secondo: Controllate i dati del negozio online
Ogni servizio che si occupa della vendita di beni o servizi deve avere obbligatoriamente i contatti dei responsabili, l’indirizzo della sede nonché la partita IVA.
Solitamente li troviamo in fondo alla pagina o in una sezione contatti.
E questi dati devono combaciare.
In soldoni se state visitando un negozio online che vende borse griffate e mostra la partita iva e i dati di una pizzeria, qualcosa non quadra.
Si può verificare una partita IVA andando su telematici.agenziaentrate.gov.it. FATELO QUANDO NON VI TORNA QUALCOSA.
Controllate inoltre l’ortografia dei testi e che non siano stati scopiazzati da altre parti. Spesso aiuta a capire la bontà dell’e-commerce che abbiamo davanti. Testi sgrammaticati sono indice di fuffa.
Le connessioni via HTTPS sono nate per fornire una crittografia tra l’utente e il server (form di login, registrazione, pagamento ecc ecc) e viceversa, ma ultimamente vengono utilizzati anche in caso di semplice navigazione (nel mio sito principale ad esempio).
Avere un sito web fornito di certificato SSL/TLS valido e autentico è indice di affidabilità e onestà da parte della piattaforma che stiamo visitando.
Fidarsi e bene ma non fidarsi è meglio quindi date sempre una controllata prima di fare acquisti su un sito mai visitato prima.
Terzo: Scoprire il proprietario del sito su cui stiamo per acquistare
Qualsiasi dominio che sia un .it, un .com un .net od altro, viene per forza registrato con i propri dati personali o societari in grande database chiamato ICANN (Internet Corporation for Assigned Names and Numbers).
Esso è praticamente l’anagrafe di ogni sito possibile e immaginabile su internet.
Udite udite, i dati contenuti in questo enorme registro sono pubblici! per cui se volete scoprire chi è il proprietario del sito nel quale state per fare acquisti lo potete fare senza problemi.
Basta andare in un qualsiasi sito che disponga di un servizio di WHOIS e scrivere il dominio del sito che vi interessa (senza https:// e senza eventuale www).
Quindi mettiamo il caso che voi volete scoprire a chi è registrato matteosaba.it (che culo) il primo passo è andare su whois.domaintools.com e inserire “matteosaba.it” nella casella di testo.
Dopo aver risolto un breve puzzle per l’antispam, avrete il risultato:
Possiamo vedere chiaramente la data di registrazione, l’indirizzo IP del server in cui risiede (non in questo caso perché Cloudflare mi fa da tramite come uno scudo) e altre piccole informazioni.
Ma i miei dati non ci sono. Perché?
No non è un errore e non ho hackerato il grande database. Semplicemente quando ho registrato “matteosaba.it” presso Keliweb, ho scelto l’opzione per nascondere i dati personali per privacy. Alcuni consentono di farlo per determinate estensioni come i “.it”.
I miei dati ovviamente li hanno ma non vengono mostrati per mia scelta.
Non vedo la necessità di mettere in mostra il mio indirizzo di casa e la mia email visto che non sto offrendo nessun servizio.
Cosa invece ben diversa nel caso di un e-commerce sconosciuto ai più.
Mentre se in un negozio online si può scegliere che dati farlocchi inserire, quando si registra un dominio NO. Certo a meno che non si utilizza anche in quel caso un prestanome ma deve comunque risultare nel WHOIS con il suo bel nome, il suo bel cognome e tanti altri bei dati.
Quando nel whois non vedete i dati di un sito di dubbia provenienza che vi offre computer da gaming di ultima generazione a 500€, considerate l’idea di far puntare il browser verso altri lidi.
Quarto: Il metodo di pagamento
Il metodo di pagamento è la chiave per evitarci un mattone in una scatola. Evitate come la peste il pagamento in contrassegno nonostante vi sembri il più pratico: non potete aprire il pacco fin quando il corriere non riceve i soldi e anche se riuscite a farlo in tempo record dopo averlo pagato, non è tenuto a restituirvi i soldi se quello che ci trovate dentro non corrisponde a quello acquistato. Sappiatelo. Quindi EVITATE il contrassegno se è la prima volta che fate acquisti su un portale mai visto prima.
I bonifici bancari pure sono una pessima idea: se l’iban è associato alla prepagata di un prestanome potete dire addio ai vostri soldi (e di solito lo è).
Nonostante sia un metodo di pagamento tracciato, anche in caso di denuncia, raramente vedrete indietro il maltolto.
Diffidate da quei e-commerce che vi ricontattano per perfezionare il pagamento senza darvi l’occasione di farlo durante il checkout.
Spesso vi chiedono delle ricariche Postepay o dei buoni per servizi vari tipo Amazon. Fa parecchio ridere ma è così.
Inoltre come spiegato poco sopra, nonostante sia un acquisto tracciato, la ricarica Postepay non è un metodo sicuro.
Anche qua se fate denuncia per truffa difficilmente rivedrete il malloppo.
Pagare inserendo i dati di una carta di credito va bene se state su un e-commerce di un negozio conosciuto altrimenti è una pessima, pessima idea: rischiate di vedere il vostro conto corrente svuotato.
L’unico modo sicuro attualmente è pagare con PayPal.
PayPal è un servizio che ci consente di associare una carta di credito o di debito a un vostro profilo personale nel sito. Pagherete in un qualsiasi negozio online utilizzando il nome utente e la vostra password di PayPal.
Questo vi mette al sicuro dal divulgare il numero di carta, scadenza e codice CVV.
Inoltre siete protetti dagli acquisti e sarete rimborsati nel caso il malvivente decida di non spedire quello che avete acquistato. E questo lo sanno. Per quello i siti truffa non hanno mai l’opzione di pagamento tramite PayPal nei loro sistemi.
Ma attenzione però: PayPal consente due metodi di pagamento principali: “Beni e servizi” oppure “Parenti e amici“.
Nel primo caso è prevista una commissione sulla percentuale del prezzo d’acquisto pagata DAL VENDITORE e siete tutelati in caso di truffa.
“Parenti e amici” non applica nessuna commissione ma NON SIETE TUTELATI IN CASO DI FRODE.
Volete donare dei soldi ad amici o a un vostro nipote? PayPal parenti e amici va bene. Volete acquistare online? NO, parenti e amici NON va bene!
Potete frignare o minacciare denunce a chi vi pare ma se venite truffati usando l’opzione parenti e amici, non c’è niente che possiate fare se al posto di una playstation 5 vi arriva un rasoio cinese Phelipos.
Credetemi, se non riescono a convincervi a pagare in contrassegno o con ricariche varie, cercheranno sicuramente di farvi pagare usando l’opzione “Parenti e amici” con la scusante delle tasse troppo alte, che PayPal si prende la maggior parte del guadagno e bla bla bla…
Per scoprire se le loro lamentele sono genuine (non lo sono mai), offrite di includere voi la commissione nel prezzo finale che vi propongono. Vedrete come spariranno.
Quinto: I prezzi troppo bassi
Quante volte ve l’hanno detto? I prezzi troppo bassi sono al 99,9% delle truffe! Pensate di aver trovato l’occasione della vostra vita solo per oggi all’80% o 70% del prezzo di mercato? Pensateci non una ma due volte prima di fare qualcosa di cui potreste pentirvene.
Ho deciso di mettere questo punto per ultimo nonostante sia il primo campanello d’allarme, perché a furia di ripeterlo fino alla nausea, alla fine uno s’arrende.
Come il fatto di evitare di dare i codici personali a sconosciuti ripetuto fino alla nausea da qualsiasi istituto di credito.
Per cui quando leggo di gente che ha comprato di un bimby a 600 euro in un sito in wordpress con ancora i testi di prova, senza HTTPS e con la partita iva di un ortofrutta, mi immagino questa scena:
Bonus: Cercare recensioni su Trustpilot
Trustpilot è un interessante piattaforma che raccoglie tantissime recensioni delle più svariate aziende che operano online.
Se incappate su un sito che mostra fiero il loro badge, potete stare relativamente tranquilli.
Ovviamente cliccate sul banner per vedere il loro profilo sul portale e leggere le recensioni delle persone che hanno già acquistato.
Se parecchie sono positive avrete un ulteriore conferma della bontà di quello che starete per acquistare da loro.
Un ultima cosa
Non ho trattato argomenti come l’acquisto tramite altri mezzi all’infuori di uno shop online altrimenti questo articolo sarebbe diventato abnorme.
Quindi i consigli contenuti in questo articolo valgono solamente per le piattaforme e-commerce dedicate e non le varie sezioni di vendita di facebook, subito.it, ebay o altro.
Non so se più avanti scriverò qualcosa su come evitare di esser raggirati su questi portali ma ci sto pensando.
In bocca al lupo!
Condividi