Come verificare se un sito web è sicuro

Se un sito web non è sicuro, rischi di esporre i tuoi dati personali a ogni visita. I criminali informatici mascherano spesso le pagine dannose per farle sembrare affidabili, rendendo possibile cadere nelle trappole del phishing o scaricare accidentalmente malware.

Questa guida ti spiega come individuare i segnali di pericolo, controllare le informazioni importanti sui siti e utilizzare strumenti come il controllo della sicurezza delle pagine web, la ricerca WHOIS e i servizi di protezione web.

Se stai navigando per divertimento o inserendo informazioni sensibili, questi passaggi ti aiuteranno a evitare truffe, trappole di phishing e malware, e ti garantiranno un maggiore controllo sulla tua sicurezza online.

Perché dovresti verificare la sicurezza dei siti web prima di cliccare

Verificare la sicurezza di un sito contribuisce a proteggere i tuoi dati, la privacy e i dispositivi. I siti non sicuri potrebbero nascondere malware, truffe di phishing o offerte fasulle studiate per indurti a rivelare informazioni personali o finanziarie.

I principali rischi dei siti web non sicuri

• Infezioni da malware: alcuni siti possono installare a tua insaputa virus, ransomware o spyware sul tuo dispositivo.
• Truffe di phishing: pagine di accesso e moduli falsi possono indurti a fornire password, numeri di carta di credito o altre informazioni sensibili.
• Furto di dati: i siti non sicuri generalmente non prevedono la crittografia, rendendo più facile per i malintenzionati intercettare ciò che digiti o carichi.
• Blocco del navigatore: potresti essere reindirizzato a pagine poco raccomandabili, visualizzare continui pop-up o vederti cambiare la tua pagina iniziale.
• Frode finanziaria: i siti truffaldini possono spacciarsi per negozi o servizi legittimi e rubare il tuo denaro con transazioni false.
• Furto di identità: le informazioni da te fornite potranno essere utilizzate per prendere le tue generalità o per aprire conti a tuo nome.
• Adware e software indesiderati: alcuni siti forzano il download o ti sommergono di annunci dannosi che rallentano il tuo sistema.

Esempi concreti di truffe online

Le truffe online possono assumere diverse forme e i siti web non sicuri svolgono spesso un ruolo centrale nel promuoverle. Un esempio comune è la falsa pagina di accesso a PayPal. Queste pagine sono state disegnate per apparire esattamente come quelle reali, spesso legate a e-mail di phishing che avvisano di attività sospette sul tuo account. Una volta inseriti i dati di accesso, gli attaccanti acquisiscono immediatamente le tue credenziali.

Un'altra tattica consiste nel creare versioni contraffatte di interi siti web, dominio incluso. Un esempio: i truffatori hanno preso progressivamente di mira le piattaforme di intelligenza artificiale, tra cui ChatGPT. Secondo recenti rapporti sulla sicurezza informatica, circa 1 dominio su 25 appena registrato e che imita ChatGPT è falso e nocivo.

Questi siti promettono spesso un accesso gratuito o anticipato allo strumento, ma contengono invece malware, moduli di phishing o richiedono l'installazione di estensioni del navigatore dannose. Poiché impiegano spesso una immagine convincente e URL simili, è facile confonderli con quelli veri, soprattutto quando appaiono negli annunci o nei risultati di ricerca.

Allo stesso modo, durante la pandemia di COVID-19, anche i siti web della sanità pubblica e del governo sono stati manipolati. I truffatori li hanno utilizzati per raccogliere informazioni personali, con la scusa di offrire un aiuto finanziario o la possibilità di prenotare un vaccino.

13 modi per verificare se un sito web è sicuro

Per rimanere al sicuro online è necessario essere prudenti. I moderni navigatori e i servizi di sicurezza ti avvisano quando un sito è pericoloso; per esempio, Google Safe Browsing protegge gli utenti segnalando le pagine web note come dannose. Ma anche con queste difese, truffe e siti falsi abbondano, quindi è bene controllare due volte prima di fidarsi di una pagina web.

1. Verifica la presenza di certificati HTTPS e SSL

Controlla sempre la presenza dell'icona a forma di lucchetto a lato dell'indirizzo HTTPS. HTTPS significa una connessione crittografata, per impedire ai malintenzionati di accedere ai tuoi dati in transito.

Normalmente i navigatori come Chrome segnalano esplicitamente i siti non HTTPS come "non sicuri”. L'icona a forma di lucchetto o il prefisso "https://” indicano che i dati (come quelli delle password o delle carte di credito) vengono inviati in modo sicuro.

Non devi però confondere l'HTTPS con la certezza assoluta della legittimità di un sito. Anche molti siti fraudolenti utilizzano ormai la crittografia SSL: uno studio ha rilevato che l'83% delle pagine di phishing presenta certificati SSL validi.

2. Controlla due volte l'URL (attenzione al typosquatting)

Ispeziona attentamente l'URL (indirizzo web) del sito. Gli attaccanti registrano spesso domini simili (una pratica chiamata typosquatting) con una sola lettera o carattere di differenza. Per esempio, possono aggiungere una lettera in più, come "exaample.com”, o sostituire una ‘l’ con una "l” minuscola. Questi domini falsi sono deliberatamente somiglianti a siti affidabili.

Considera che se hai individuato un sito web di tipo WWW2, non significa necessariamente che sia fraudolento. Se approdi su una pagina WWW2, di solito dipende da un sovraccarico del server principale del sito, per cui il tuo traffico è stato inviato a uno secondario.

Effettua sempre un'ispezione dell'URL. Presta particolare attenzione ai trucchi più sofisticati: alcuni aggressori utilizzano omografi unicode (caratteri di altri alfabeti dall'aspetto identico), in modo da far apparire un URL corretto mentre il computer percepisce qualcosa di diverso. In caso di dubbio, digita manualmente il dominio corretto o cerca il nome del sito ufficiale per assicurarti di non essere capitato su uno fasullo.

3. Utilizza gli strumenti di controllo della sicurezza dei siti web

Se non sei convinto, analizza l'URL con un servizio di reputazione dei domini o uno scanner di sicurezza. Questi strumenti (spesso offerti da società di sicurezza o motori di ricerca) raggruppano i dati provenienti da liste nere di malware e motori di scansione. Per esempio, la pagina di navigazione sicura di Google segnala se un sito è attualmente contrassegnato come pericoloso o se è stato recentemente compromesso.

Altri strumenti di controllo, come VirusTotal, SSL Trust, e URLscan, scansionano i codici maligni noti o i contenuti di phishing. Questi strumenti non sono in grado di individuare il 100% delle minacce, ma possono identificare rapidamente i problemi più evidenti. Se il sistema di controllo segnala il sito come non sicuro, o se viene visualizzato un avviso di phishing, è meglio evitare di visitare il sito.

4. Verifica il dominio con WHOIS

Lo strumento di ricerca WHOIS può essere utilizzato per verificare i dettagli di registrazione di un dominio. Rivela quando il dominio è stato creato, chi lo ha registrato e la sua data di scadenza. Le aziende legittime dispongono solitamente di domini consolidati, mentre i domini nuovi di zecca possono destare sospetti. I siti falsi spesso non rimangono online a lungo, quindi la scadenza del dominio è un modo rapido per individuare i rischi.

Il sistema WHOIS mostra anche il nome e il paese del titolare del dominio. Se queste informazioni non corrispondono a quanto dichiarato dall'azienda (per esempio un'azienda statunitense con un proprietario straniero), si tratta di un segnale di allarme.

Se il sistema WHOIS mostra "Privacy Protected” o informazioni generiche, non è un dato di per sé decisivo (molti domini legittimi utilizzano la privacy WHOIS per impostazione predefinita), ma è bene tenerlo presente insieme ad altri segnali di allarme. In generale, il sistema WHOIS aiuta a confermare se il sito è di proprietà della persona indicata e da quanto tempo è attivo.

5. Leggi le recensioni degli utenti del sito web

Consulta le recensioni degli utenti cercando online il nome del sito e termini come "recensioni”, ''reclami" o ”truffa". Se il sito è particolarmente noto, è possibile trovare post su forum e articoli di blog a riguardo. Diffida quando trovi menzioni di hackeraggio, frodi o violazioni di dati. Una serie di messaggi contenenti "allarme frode” o commenti negativi frequenti sono un forte segnale d'allarme.

Presta inoltre attenzione a eventuali segnalazioni di ordini mancanti, download di malware o furto di dati personali. Anche le aziende legittime possono ricevere recensioni negative, ma una serie di gravi lamentele è indicativo.

Allo stesso tempo, le recensioni positive sul sito stesso potrebbero essere false: i truffatori spesso falsificano i loro stessi commenti.  Un metodo affidabile è quello di leggere le recensioni sul sito e fuori di esso, cercando soprattutto le menzioni di frode o di furto d'identità, e di controllare anche le notizie sull'azienda.

6. Verifica la presenza dell'informativa sulla privacy e delle pagine legali

I siti web legittimi, soprattutto quelli in cui vengono gestiti dati personali o pagamenti, dispongono generalmente di chiare informative sulla privacy, termini di servizio e altre pagine legali. Questi documenti spiegano come i tuoi dati vengono raccolti, utilizzati, conservati e condivisi. In molti paesi, come nel caso di quelli che aderiscono al GDPR europeo, queste informative sono obbligatorie per legge. Un'informativa sulla privacy assente o troppo sintetica può essere un segnale di allarme.

Le informative corrette utilizzano un linguaggio chiaro e forniscono dettagli specifici su quali informazioni vengono raccolte e come vengono protette. Se un sito non presenta una dichiarazione sulla privacy o offre un testo vago e non esaustivo, potrebbe non essere affidabile.

7. Evita siti web con pop-up o reindirizzamenti frequenti

Presta attenzione ai pop-up aggressivi o insistenti. Se un sito riempie il tuo schermo di finestre difficili da chiudere, o continua a reindirizzarti a pagine non pertinenti, solitamente è un segnale di pericolo. I siti legittimi raramente ricorrono a pop-up frequenti. Stai particolarmente attento se un pop-up ti chiede informazioni personali o finanziarie, oppure se ti invita a scaricare un software avvertendoti che il tuo dispositivo è a rischio, poiché si tratta di tattiche comunemente utilizzate per spaventarti.

Evita anche i pop-up che pubblicizzano prodotti non pertinenti o offerte incredibili. I siti sicuri ti lasciano navigare con interruzioni minime, quindi se vedi annunci eccessivi o avvisi non richiesti, chiudi immediatamente la pagina.

8. Analizza il design e il linguaggio

Esamina l'aspetto e la scrittura del sito. Le aziende professionali presentano solitamente siti web curati e coerenti. Al contrario, i siti truffaldini contengono spesso errori rivelatori: impaginazione scadente, immagini a bassa risoluzione, link non funzionanti, numerosi errori di battitura o frasi strane. Per esempio, se su un sito di acquisti noti una formulazione maldestra o errori banali, questo è un chiaro indizio che il sito potrebbe essere falso.

Questi segnali di allarme indicano spesso una progettazione frettolosa o poco accurata, comune nei siti web fraudolenti il cui obiettivo è quello di sembrare legittimi a prima vista. Fidati dei tuoi occhi e del tuo istinto, ma sii prudente: con l'intelligenza artificiale è sempre più facile per i truffatori realizzare siti web falsi e convincenti.

9. Esamina le opzioni di pagamento e la sicurezza del processo di acquisto

I siti affidabili utilizzano metodi di pagamento sicuri e riconosciuti: un aspetto particolarmente importante per i siti di shopping. Se un negozio sembra sospetto o falso, abbandonalo immediatamente. Verifica che la pagina di pagamento utilizzi il protocollo HTTPS e accetti opzioni note come le carte di credito, spesso in grado di proteggere l'acquirente.

Evita i siti che accettano esclusivamente pagamenti difficili da rintracciare, come bonifici bancari, criptovalute o carte regalo, perché di solito sono operazioni irreversibili. Gli esperti finanziari consigliano di utilizzare carte di credito o servizi di pagamento con protezione antifrode. Se l'unica opzione di pagamento di un sito è un'operazione non tracciabile, questo è un chiaro segnale di allarme.

Se ti trovi su un sito sospetto, controlla che non sia presente in questo elenco di 25 siti di shopping fasulli. Anche se non compare nell'elenco, presta attenzione, perché i tentativi di truffa si evolvono in continuazione.

10. Verifica i dati aziendali e le informazioni di contatto

Assicurati che il sito si identifichi chiaramente. Le attività legittime forniscono dettagli reali come il nome dell'azienda, l'indirizzo fisico e il numero di telefono. Cerca la pagina "Chi siamo” o le informazioni di contatto in fondo alla pagina. Dati di contatto mancanti o incompleti sono un campanello d'allarme.

Di norma, il sito riporta un indirizzo fisico (non solo una casella postale), un numero di telefono o una chat dal vivo, una e-mail o un modulo di contatto. Verificali autonomamente; se l'indirizzo o il numero non corrispondono o rimandano a un'attività non pertinente, è una situazione sospetta.

11. Utilizza gli strumenti di sicurezza integrati nel tuo navigatore

I navigatori odierni includono sistemi di protezione integrati, come Google Safe Browsing su Chrome, per tracciare i siti dannosi. Quando cerchi di visitare un sito segnalato, il navigatore mostra avvisi come "Sito ingannevole” o "La tua connessione non è privata”, bloccando spesso l'accesso.

Tieni aggiornato il tuo navigatore per assicurarti una protezione con i dati più recenti. Attiva anche il blocco dei pop-up e disabilita i reindirizzamenti indesiderati nelle impostazioni del tuo navigatore per una maggiore sicurezza.

12. Diffida dei badge "di fiducia” (icone false)

Molti siti mostrano icone come il lucchetto SSL, il "Secure Checkout” o il simbolo del sito sicuro per sembrare affidabili, ma questi elementi sono facili da copiare o falsificare. Non fidarti di un badge a meno di non poterlo verificare. Un vero simbolo è solitamente cliccabile e rimanda all'organizzazione certificatrice. Se i badge non sono cliccabili, non portano da nessuna parte o sono immagini di bassa qualità, occorre essere prudenti.

13. Installa strumenti di protezione web in tempo reale

Strumenti di protezione web come Advanced Protection di ExpressVPN possono bloccare i siti dannosi noti, per proteggerti da spyware e domini di phishing. Advanced Protection blocca anche le app e i siti web sul tuo dispositivo, impedendo loro di contattare terze parti note per attività di tracciamento o dannose.

Potresti anche pensare di investire in un buon antivirus con protezione in tempo reale per aumentare la tua difesa contro i download di malware. Per rimanere al sicuro, tieni aggiornato il tuo antivirus ed esegui scansioni regolari.

La protezione attiva può bloccare i download drive-by (scaricamento involontario di codice dannoso) o gli attacchi di phishing che sfuggono ai tuoi controlli iniziali. L'utilizzo di difese a più livelli riduce in modo significativo il rischio di visitare siti web dannosi.

Come procedere se ritieni non sicuro un sito web

La prevenzione è la migliore difesa. Se non ti sei ancora imbattuto in un sito web pericoloso, vale la pena di apprendere regole di navigazione sicura (questa guida offre consigli pratici per aiutarti a rimanere protetto). Ma se sei già capitato su un sito sospetto, la procedura descritta di seguito ti potrà aiutare a reagire e a ridurre al minimo i potenziali danni.

Passi da seguire per un'uscita sicura

Se sei capitato per sbaglio su un sito sospetto, segui i passaggi indicati qui sotto per uscire dal sito senza mettere ulteriormente a rischio il tuo sistema:

1. Interrompi la tua connessione a internet: disconnetti il tuo dispositivo disattivando il Wi-Fi o scollegando il cavo Ethernet. In questo modo impedirai al sito di caricare altri contenuti dannosi o di inviare i tuoi dati mentre lo chiudi in modo sicuro.
   
2. Chiudi immediatamente la scheda: non cliccare su pulsanti o pop-up, anche quando riportano la dicitura "Chiudi” o "Annulla”. Potrebbero essere dei meccanismi di attivazione camuffati per scaricare o reindirizzarti verso altri contenuti dannosi.
   
3. Chiudi forzatamente il tuo navigatore: se il sito blocca il tuo schermo o mostra continuamente avvisi, chiudi forzatamente il navigatore. Su Windows, premi Ctrl + Shift + Esc per aprire Task Manager (Gestione attività), poi termina il processo del navigatore. Su Mac, premi Command + Option + Esc, seleziona il navigatore e clicca su Force Quit (Uscita forzata). In questo modo chiuderai immediatamente la sessione e interromperai lo svolgimento della pagina dannosa.
   
4. Evita di ricorrere all'opzione di ripristino delle schede: alla riapertura del navigatore, potrebbe venirti chiesto di ripristinare la tua ultima sessione. Scegli "X”, perché potresti ricaricare il sito non sicuro appena abbandonato, esponendoti di nuovo agli stessi rischi.
   
5. Cancella la cache e i cookie del tuo navigatore: potrebbero contenere script di tracciamento o dati di sessione trasmessi dal sito. Rimuoverli aiuta a eliminare le connessioni residue e migliora la tua privacy dopo aver visitato una pagina non sicura.
   

Dopo essere riuscito ad abbandonare la pagina, prendi in considerazione l'idea di eseguire una scansione malware con il tuo antivirus. Anche una breve esposizione a una pagina dannosa può innescare download in background, quindi la scansione del sistema ti aiuta a individuare e rimuovere tempestivamente le potenziali minacce.

Come segnalare un sito dannoso

Segnalare siti web pericolosi aiuta a proteggere altri utenti e a contribuire alla lotta contro le truffe e le minacce informatiche. Potrai iniziare sfruttando gli strumenti di segnalazione integrati nel tuo navigatore; la maggior parte dei principali browser include questa funzione. In Chrome, per esempio, clicca sui tre puntini (⋮), poi vai su Help (Guida) e seleziona Report an issue (Segnala un problema).

Potrai anche segnalare i siti dannosi al tuo fornitore antivirus, specialmente se il tuo software di sicurezza non ha individuato la minaccia. Per una procedura più dettagliata, consulta questa guida su come segnalare un sito web e contribuisci a rendere il web più sicuro per tutti.

Proteggi il tuo dispositivo e i tuoi dati dopo l'esposizione

Se sospetti di aver visitato un sito web non sicuro o, ancor peggio, di aver inserito informazioni personali o scaricato un file, reagisci rapidamente:

• Esegui una scansione antivirus e anti-malware completa: utilizza un software di sicurezza affidabile per verificare la presenza di malware, spyware o keylogger.
• Cambia immediatamente le password: comincia da tutti gli account a cui potresti essere entrato mentre il sito era aperto (e-mail, servizi bancari e qualsiasi credenziale riutilizzata).
• Attiva l'autenticazione a due fattori (2FA): utilizzala quando possibile per impedire l'accesso non autorizzato agli account più importanti.
• Controlla i conti bancari e le carte di credito: verifica la presenza di addebiti sospetti, soprattutto se hai inserito informazioni di pagamento.
• Controlla le estensioni del tuo navigatore: alcuni siti non sicuri possono tentare di ingannarti per installare componenti aggiuntivi dannosi. Elimina tutto quanto non ti è familiare.

Se hai inserito informazioni personali, prendi anche in considerazione l'idea di inserire un avviso di frode o un congelamento del credito tramite un organismo creditizio per prevenire il furto d'identità. Anche se nell'immediato non sembra essere successo nulla di grave, conviene prendere queste precauzioni: alcuni malware o tentativi di phishing posticipano l'attacco, quindi una condotta pro-attiva aiuta a limitare i rischi a lungo termine.