[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"sanity-Jq4OLes2HF8UEC5rLSBsWnkyK3m9CMhHkEFEcLq1-2g":3,"sanity-CbJnGfw-gNt2zT-BV8VKm7_8znixOH1Dn7RaC6ApxDE":558,"sanity-VjEHmVXa-NUHcqk99C8kRIBMjQTYU1eWf8fLiHKBhhE":577},{"data":4,"sourceMap":-1},{"_createdAt":5,"_id":6,"_rev":7,"_system":8,"_type":11,"_updatedAt":12,"author":13,"category":49,"content":59,"correlati":546,"date":547,"excerpt":548,"imported":549,"mainImage":550,"showInHome":549,"slug":555,"tags":546,"title":557},"2025-03-15T08:56:01Z","d3e4c5cf-448e-467f-bc22-bf9b49f4325f","23x4Xzqqxaar2cxcv5a4TW",{"base":9},{"id":6,"rev":10},"ozq8uGlzlkluwdw2baN0Dc","post","2026-06-22T07:31:30Z",{"_createdAt":14,"_id":15,"_rev":16,"_system":17,"_type":20,"_updatedAt":21,"bio":22,"name":34,"picture":35,"showTop":40,"slug":41,"socials":44},"2024-06-12T08:42:39Z","acebc245-3745-4a3f-a2dc-02640a7a9792","31ZYHThkucP97gw3bGuFfu",{"base":18},{"id":15,"rev":19},"21OzDndKKn8cbR4orm5IrM","author","2026-06-17T10:02:36Z",[23],{"_key":24,"_type":25,"children":26,"markDefs":32,"style":33},"61ba39142c5c","block",[27],{"_key":28,"_type":29,"marks":30,"text":31},"1c3051de12650","span",[],"COO e CMO @ICT Sviluppo",[],"normal","Giovanni Fracasso",{"_type":36,"asset":37},"image",{"_ref":38,"_type":39},"image-8d013907a8588f1b8daa361dbbb31091e261ddc4-2721x2721-png","reference",true,{"_type":42,"current":43},"slug","giovanni-fracasso",{"_type":45,"facebook":46,"linkedin":47,"x_twitter":48},"socialsBlock","https:\u002F\u002Fwww.facebook.com\u002Fgiovannifracasso","https:\u002F\u002Fit.linkedin.com\u002Fin\u002Ffracassogiovanni","https:\u002F\u002Fwww.twitter.com\u002Fiostesso",{"_createdAt":50,"_id":51,"_rev":52,"_type":53,"_updatedAt":54,"description":55,"name":56,"slug":57},"2024-06-11T12:47:36Z","f11cf4d3-b8c6-4bb9-9fb2-88b5a8cd910e","ozq8uGlzlkluwdw2ba8kDc","category","2024-08-22T06:40:51Z","Post di e-commerce","Ecommerce",{"_type":42,"current":58},"ecommerce",[60,68,88,97,105,114,131,139,147,163,171,179,187,203,211,219,227,235,243,262,270,278,286,294,302,310,318,326,334,364,372,380,388,407,415,431,439,458,466,474,482,490,498,506,514,522,530,538],{"_key":61,"_type":25,"children":62,"markDefs":67,"style":33},"q1",[63],{"_key":64,"_type":29,"marks":65,"text":66},"qs1",[],"Dal 31 marzo 2025 i requisiti cosiddetti future-dated della PCI DSS 4.0 sono pienamente obbligatori, e con loro è caduto l'ultimo periodo di grazia. Da quella data ogni azienda che accetta, trasmette o memorizza dati di carte di pagamento viene valutata sull'intero standard, senza più la corsia preferenziale delle best practice rinviate. Per chi vende online non è un tecnicismo da ufficio compliance: tocca il checkout, gli accessi, gli script che girano nel browser del cliente e la documentazione che devi essere in grado di esibire.",[],{"_key":69,"_type":25,"children":70,"markDefs":84,"style":33},"q2",[71,75,80],{"_key":72,"_type":29,"marks":73,"text":74},"qs2a",[],"Conviene chiarire subito un equivoco diffuso. La PCI DSS non è una legge dello Stato: è uno standard contrattuale, scritto e mantenuto dal ",{"_key":76,"_type":29,"marks":77,"text":79},"qs2b",[78],"m_pci","PCI Security Standards Council",{"_key":81,"_type":29,"marks":82,"text":83},"qs2c",[],", l'organismo fondato dai grandi circuiti, Visa, Mastercard, American Express, Discover e JCB. A farlo rispettare non è un'autorità pubblica ma la catena dei pagamenti, banche acquirer e circuiti, che possono multare o, nei casi gravi, revocare la possibilità di incassare con carta. La versione vigente è la 4.0.1, una revisione del 2024 che non aggiunge requisiti ma chiarisce quelli della 4.0. Vediamo cosa impone davvero, e poi come una piattaforma come Shopify se ne fa carico.",[85],{"_key":78,"_type":86,"href":87},"link","https:\u002F\u002Fwww.pcisecuritystandards.org\u002F",{"_key":89,"_type":25,"children":90,"markDefs":95,"style":96},"q3",[91],{"_key":92,"_type":29,"marks":93,"text":94},"qs3",[],"PCI DSS 4.0, cosa cambia davvero",[],"h2",{"_key":98,"_type":25,"children":99,"markDefs":104,"style":33},"q4",[100],{"_key":101,"_type":29,"marks":102,"text":103},"qs4",[],"La 4.0 è la prima revisione profonda dello standard dopo oltre dieci anni. Sui dodici requisiti storici innesta sessantaquattro controlli nuovi o aggiornati, di cui cinquantuno rimasti in stato di best practice fino al 31 marzo 2025 e da quella data obbligatori a tutti gli effetti. Ma il cambiamento più importante non è un singolo requisito, è un cambio di filosofia: la sicurezza smette di essere un adempimento annuale, l'audit fatto una volta e poi archiviato, e diventa un processo continuo, da mantenere e documentare tutto l'anno. Gli ambiti che pesano di più per un ecommerce sono quattro: la pagina di pagamento, l'autenticazione, la crittografia e la prova documentale dei controlli.",[],{"_key":106,"_type":25,"children":107,"markDefs":112,"style":113},"q5",[108],{"_key":109,"_type":29,"marks":110,"text":111},"qs5",[],"Sicurezza della pagina di pagamento: i requisiti 6.4.3 e 11.6.1",[],"h3",{"_key":115,"_type":25,"children":116,"markDefs":130,"style":33},"q6",[117,121,126],{"_key":118,"_type":29,"marks":119,"text":120},"qs6a",[],"È la novità che riguarda più da vicino chi vende online, ed è nata da una minaccia precisa: il ",{"_key":122,"_type":29,"marks":123,"text":125},"qs6b",[124],"em","digital skimming",{"_key":127,"_type":29,"marks":128,"text":129},"qs6c",[],", noto anche come e-skimming o attacco Magecart. Il meccanismo è insidioso perché non attacca i server, attacca il browser del cliente: un frammento di JavaScript malevolo, spesso iniettato attraverso uno script di terze parti già presente e fidato, intercetta i dati della carta mentre vengono digitati nel form, prima ancora che vengano cifrati e spediti. È esattamente la tecnica che nel 2018 ha colpito British Airways, con il furto dei dati di centinaia di migliaia di carte.",[],{"_key":132,"_type":25,"children":133,"markDefs":138,"style":33},"q7",[134],{"_key":135,"_type":29,"marks":136,"text":137},"qs7",[],"Per chiudere questa falla la 4.0 introduce due requisiti gemelli. Il 6.4.3 impone di governare ogni script caricato ed eseguito nella pagina di pagamento: averne un inventario, autorizzarlo, verificarne l'integrità, così che uno script non autorizzato o manomesso venga individuato. Il 11.6.1 aggiunge un meccanismo di rilevamento delle alterazioni che avvisi il personale quando la pagina di pagamento o le intestazioni HTTP rilevanti cambiano senza autorizzazione, con una verifica almeno settimanale. Strumenti come la Content Security Policy e la Subresource Integrity aiutano, perché limitano da dove gli script possono arrivare e ne validano il contenuto, ma da soli non bastano: controllano l'origine e l'integrità, non il comportamento in tempo reale.",[],{"_key":140,"_type":25,"children":141,"markDefs":146,"style":113},"q8",[142],{"_key":143,"_type":29,"marks":144,"text":145},"qs8",[],"Autenticazione a più fattori su tutto l'ambiente dei dati",[],{"_key":148,"_type":25,"children":149,"markDefs":162,"style":33},"q9",[150,154,158],{"_key":151,"_type":29,"marks":152,"text":153},"qs9a",[],"Sotto la versione precedente l'autenticazione a più fattori era richiesta soprattutto per gli accessi remoti. La 4.0 la estende a ogni accesso all'ambiente che tratta i dati di carta, il cardholder data environment, inclusi gli account amministrativi e i percorsi privilegiati. Una password, da sola, non basta più, e tra l'altro la soglia minima sale a dodici caratteri. Serve un secondo fattore indipendente, un codice generato da un'app di autenticazione o un fattore biometrico. È la risposta diretta al ",{"_key":155,"_type":29,"marks":156,"text":157},"qs9b",[124],"credential stuffing",{"_key":159,"_type":29,"marks":160,"text":161},"qs9c",[],", l'attacco che riusa su un sito le credenziali rubate altrove, scommettendo sul fatto che le persone ripetono le stesse password.",[],{"_key":164,"_type":25,"children":165,"markDefs":170,"style":113},"q10",[166],{"_key":167,"_type":29,"marks":168,"text":169},"qs10",[],"Crittografia forte e fine dei protocolli obsoleti",[],{"_key":172,"_type":25,"children":173,"markDefs":178,"style":33},"q11",[174],{"_key":175,"_type":29,"marks":176,"text":177},"qs11",[],"Lo standard impone crittografia robusta sui dati in transito e mette fuori gioco i protocolli obsoleti: TLS 1.0 e 1.1 non sono più ammessi, perché vulnerabili ad attacchi noti. I dati sensibili, un numero di carta che viaggia dal browser al gateway, devono muoversi cifrati con algoritmi moderni come AES a 256 bit. Il senso è semplice: un attacco man-in-the-middle che intercetti il traffico su una rete Wi-Fi pubblica si ritrova in mano una sequenza priva di significato, indecifrabile senza la chiave corretta.",[],{"_key":180,"_type":25,"children":181,"markDefs":186,"style":113},"q12",[182],{"_key":183,"_type":29,"marks":184,"text":185},"qs12",[],"Scansioni autenticate, inventario del software e analisi del rischio",[],{"_key":188,"_type":25,"children":189,"markDefs":202,"style":33},"q13",[190,194,198],{"_key":191,"_type":29,"marks":192,"text":193},"qs13a",[],"Tre requisiti meno appariscenti ma indicativi della nuova impostazione. Le scansioni interne delle vulnerabilità diventano autenticate, cioè condotte con credenziali valide per vedere il sistema come lo vedrebbe un attaccante che è già entrato, non solo dall'esterno. Va mantenuto un inventario aggiornato del software sviluppato su misura e dei suoi componenti, una sorta di distinta base del codice, perché non si può proteggere ciò di cui si ignora l'esistenza. E la 4.0 introduce l'analisi del rischio mirata, la ",{"_key":195,"_type":29,"marks":196,"text":197},"qs13b",[124],"targeted risk analysis",{"_key":199,"_type":29,"marks":200,"text":201},"qs13c",[],", con cui un'azienda può fissare la frequenza di certe attività in base al proprio rischio, a patto di documentare l'analisi che giustifica quella scelta. La flessibilità c'è, ma va dimostrata.",[],{"_key":204,"_type":25,"children":205,"markDefs":210,"style":113},"q14",[206],{"_key":207,"_type":29,"marks":208,"text":209},"qs14",[],"Risposta agli incidenti e documentazione continua",[],{"_key":212,"_type":25,"children":213,"markDefs":218,"style":33},"q15",[214],{"_key":215,"_type":29,"marks":216,"text":217},"qs15",[],"Lo standard chiede un piano di risposta agli incidenti scritto e provato, con procedure chiare e simulazioni periodiche, perché la differenza tra un incidente contenuto e un disastro si misura nei minuti. E permette l'approccio personalizzato: i controlli si possono adattare al contesto aziendale, ma a fronte di una documentazione rigorosa e di test dimostrabili. È il filo conduttore della 4.0: puoi fare le cose a modo tuo, purché tu possa provarle a un assessor in qualsiasi momento dell'anno, non solo il giorno dell'audit.",[],{"_key":220,"_type":25,"children":221,"markDefs":226,"style":113},"q16",[222],{"_key":223,"_type":29,"marks":224,"text":225},"qs16",[],"La responsabilità ultima resta del merchant",[],{"_key":228,"_type":25,"children":229,"markDefs":234,"style":33},"q17",[230],{"_key":231,"_type":29,"marks":232,"text":233},"qs17",[],"C'è un principio che lo standard ribadisce e che vale la pena scolpire: la responsabilità della sicurezza dei dati di carta resta del merchant, anche quando i pagamenti sono affidati a fornitori terzi. Per questo la 4.0 impone di gestire e monitorare i fornitori di servizi che incidono sulla sicurezza dei dati, sapendo chi risponde di cosa. Le conseguenze del non essere conformi sono concrete e arrivano dalla catena dei pagamenti, non dal Council: multe periodiche che vanno da qualche migliaio a oltre centomila dollari al mese a carico di acquirer e circuiti, e nei casi gravi la perdita della possibilità di accettare carte. A cui si aggiunge il costo, ben più alto, di una violazione vera.",[],{"_key":236,"_type":25,"children":237,"markDefs":242,"style":96},"q18",[238],{"_key":239,"_type":29,"marks":240,"text":241},"qs18",[],"Come Shopify affronta la PCI DSS 4.0",[],{"_key":244,"_type":25,"children":245,"markDefs":259,"style":33},"q19",[246,250,255],{"_key":247,"_type":29,"marks":248,"text":249},"qs19a",[],"La 4.0 può intimidire, e per un'azienda che gestisce tutto da sola lo è. Su Shopify il quadro cambia, perché la piattaforma è ",{"_key":251,"_type":29,"marks":252,"text":254},"qs19b",[253],"m_shppci","certificata PCI DSS di Livello 1",{"_key":256,"_type":29,"marks":257,"text":258},"qs19c",[],", lo standard più alto, quello riservato a chi processa oltre sei milioni di transazioni l'anno e impone audit annuali condotti da assessor qualificati. Questa certificazione copre l'infrastruttura, il checkout ospitato, l'elaborazione dei pagamenti e l'hosting di ogni negozio. Ma è importante capire fin dove arriva, perché Shopify lavora con un modello di responsabilità condivisa: la piattaforma si fa carico delle fondamenta, una parte resta comunque in capo a te.",[260],{"_key":253,"_type":86,"href":261},"https:\u002F\u002Fwww.shopify.com\u002Fblog\u002Fpci-dss",{"_key":263,"_type":25,"children":264,"markDefs":269,"style":113},"q20",[265],{"_key":266,"_type":29,"marks":267,"text":268},"qs20",[],"Il checkout ospitato fa la parte più pesante",[],{"_key":271,"_type":25,"children":272,"markDefs":277,"style":33},"q21",[273],{"_key":274,"_type":29,"marks":275,"text":276},"qs21",[],"Il punto chiave è che i dati della carta vengono inseriti e trattati nell'ambiente di Shopify, non nel tuo. La pagina di pagamento è servita e controllata dalla piattaforma, che vi applica le proprie politiche di sicurezza, isolando gli script e governando ciò che può essere eseguito. È questa architettura che tiene la maggior parte dei merchant nel perimetro più leggero della conformità, la SAQ A, il questionario di autovalutazione più semplice. C'è un dettaglio recente che conferma la logica: da gennaio 2025 i requisiti 6.4.3 e 11.6.1 sono stati tolti dalla SAQ A proprio perché chi affida la pagina di pagamento a un fornitore conforme non deve gestirli in prima persona, a patto di confermare che il proprio sito non sia esposto ad attacchi via script.",[],{"_key":279,"_type":25,"children":280,"markDefs":285,"style":113},"q22",[281],{"_key":282,"_type":29,"marks":283,"text":284},"qs22",[],"Crittografia, certificati e audit assorbiti",[],{"_key":287,"_type":25,"children":288,"markDefs":293,"style":33},"q23",[289],{"_key":290,"_type":29,"marks":291,"text":292},"qs23",[],"Tutto ciò che sulla 4.0 pesa in termini di infrastruttura, su Shopify è già fatto. Ogni negozio è servito su TLS moderno per impostazione predefinita, i certificati sono emessi e rinnovati automaticamente, le chiavi sono custodite in moduli hardware dedicati nei data center della piattaforma. Gli audit annuali e le scansioni che un'azienda su soluzione propria dovrebbe commissionare a proprie spese sono condotti da Shopify per l'intera piattaforma, e la conformità si estende a ogni negozio sopra di essa. Il merchant non aggiorna certificati, non applica patch ai server, non redige da sé il rapporto di conformità: eredita un'attestazione che vale per il proprio store.",[],{"_key":295,"_type":25,"children":296,"markDefs":301,"style":113},"q24",[297],{"_key":298,"_type":29,"marks":299,"text":300},"qs24",[],"Monitoraggio e difesa dagli attacchi",[],{"_key":303,"_type":25,"children":304,"markDefs":309,"style":33},"q25",[305],{"_key":306,"_type":29,"marks":307,"text":308},"qs25",[],"Sul fronte del monitoraggio continuo, il requisito che chiede analisi in tempo reale dei log è coperto da sistemi proprietari che osservano l'attività ininterrottamente. Un attacco a forza bruta che tenti di indovinare le credenziali sull'accesso amministrativo viene riconosciuto e bloccato, con limitazione automatica delle richieste sospette. Per un merchant indipendente, lo stesso risultato significherebbe un sistema di gestione degli eventi di sicurezza dedicato, con un costo annuo importante e competenze specialistiche da tenere in casa.",[],{"_key":311,"_type":25,"children":312,"markDefs":317,"style":113},"q26",[313],{"_key":314,"_type":29,"marks":315,"text":316},"qs26",[],"App di terze parti: il filtro c'è, ma scegli con criterio",[],{"_key":319,"_type":25,"children":320,"markDefs":325,"style":33},"q27",[321],{"_key":322,"_type":29,"marks":323,"text":324},"qs27",[],"Ogni app pubblicata sull'App Store passa una revisione di sicurezza, e questo riduce il rischio rispetto ai plugin liberi di certe piattaforme open source, dove un'estensione obsoleta può aprire una falla critica. Ma il filtro non ti solleva dalla scelta: un'app che inietta script nello storefront o che accede ai dati degli ordini amplia comunque la tua superficie di rischio, e va valutata con criterio. La regola non scritta è semplice: ogni componente che aggiungi è una porta in più, e ogni porta va sorvegliata.",[],{"_key":327,"_type":25,"children":328,"markDefs":333,"style":113},"q28",[329],{"_key":330,"_type":29,"marks":331,"text":332},"qs28",[],"Dove finisce Shopify e inizia il tuo lavoro",[],{"_key":335,"_type":25,"children":336,"markDefs":359,"style":33},"q29",[337,341,346,350,355],{"_key":338,"_type":29,"marks":339,"text":340},"qs29a",[],"Il modello di responsabilità condivisa significa che alcune cose restano tue, e ignorarle è il motivo più comune per cui un merchant fallisce la verifica annuale. Resta tuo l'obbligo di compilare la SAQ ogni anno, di attivare l'autenticazione a due fattori sull'admin, di limitare chi vede ordini e dati di pagamento, di non conservare mai numeri di carta fuori dal gateway. E restano tuoi gli script che aggiungi tu sul resto del sito: la protezione di Shopify copre la pagina di pagamento, non i pixel di marketing, gli analytics o le chat che monti sulle pagine prodotto o sull'account, dove un attacco di e-skimming può comunque attivarsi. Attenzione infine al confine tecnico: nel momento in cui adotti un ",{"_key":342,"_type":29,"marks":343,"text":345},"qs29b",[344],"m_head","checkout headless o un'integrazione custom",{"_key":347,"_type":29,"marks":348,"text":349},"qs29c",[]," che tocca il flusso di pagamento, esci dalla SAQ A ed entri in un perimetro più oneroso, con scansioni ASV trimestrali e i requisiti 6.4.3 e 11.6.1 da gestire in proprio. È una delle differenze concrete tra restare sul checkout nativo e spingersi sulle ",{"_key":351,"_type":29,"marks":352,"text":354},"qs29d",[353],"m_diff","personalizzazioni enterprise",{"_key":356,"_type":29,"marks":357,"text":358},"qs29e",[],".",[360,362],{"_key":344,"_type":86,"href":361},"\u002Fpost\u002Fheadless-ecommerce-svantaggi",{"_key":353,"_type":86,"href":363},"\u002Fpost\u002Fdifferenze-fra-shopify-e-shopify-plus",{"_key":365,"_type":25,"children":366,"markDefs":371,"style":96},"q30",[367],{"_key":368,"_type":29,"marks":369,"text":370},"qs30",[],"Oltre la PCI DSS: gli altri obblighi di sicurezza",[],{"_key":373,"_type":25,"children":374,"markDefs":379,"style":33},"q31",[375],{"_key":376,"_type":29,"marks":377,"text":378},"qs31",[],"La PCI DSS protegge un perimetro preciso, i dati delle carte, ma non vive da sola. Un ecommerce che opera in Europa si muove dentro una cornice più ampia di obblighi che toccano la sicurezza del dato e dei sistemi, e che spesso vengono confusi con la PCI o ignorati del tutto. Tre contano più degli altri, e per ciascuno vale la pena capire dove arriva la piattaforma e dove resti tu il responsabile.",[],{"_key":381,"_type":25,"children":382,"markDefs":387,"style":113},"q32",[383],{"_key":384,"_type":29,"marks":385,"text":386},"qs32",[],"GDPR: la sicurezza del trattamento e la notifica del data breach",[],{"_key":389,"_type":25,"children":390,"markDefs":404,"style":33},"q33",[391,395,400],{"_key":392,"_type":29,"marks":393,"text":394},"qs33a",[],"Il Regolamento europeo 2016\u002F679 non riguarda solo i consensi: il suo articolo 32 impone misure tecniche e organizzative adeguate a proteggere i dati personali, e gli articoli 33 e 34 obbligano a notificare una violazione al Garante entro settantadue ore, e in certi casi agli interessati. Nel rapporto con Shopify, la piattaforma agisce come responsabile del trattamento per i dati dei clienti del negozio: offre un accordo sul trattamento, misure di sicurezza sull'infrastruttura, strumenti per gestire consensi e richieste degli interessati. Ma il titolare del trattamento resti tu, ed è tua la regia di come quei dati vengono raccolti e usati. Il versante più delicato, ",{"_key":396,"_type":29,"marks":397,"text":399},"qs33b",[398],"m_schrems","i trasferimenti dei dati fuori dall'Unione",{"_key":401,"_type":29,"marks":402,"text":403},"qs33c",[]," e il quadro nato dopo le sentenze Schrems, è un tema a sé che merita una trattazione dedicata.",[405],{"_key":398,"_type":86,"href":406},"\u002Fpost\u002Fshock-schrems-data-privacy-framework-focus-shopify",{"_key":408,"_type":25,"children":409,"markDefs":414,"style":113},"q34",[410],{"_key":411,"_type":29,"marks":412,"text":413},"qs34",[],"PSD2 e autenticazione forte del cliente",[],{"_key":416,"_type":25,"children":417,"markDefs":430,"style":33},"q35",[418,422,426],{"_key":419,"_type":29,"marks":420,"text":421},"qs35a",[],"Sul pagamento c'è un secondo obbligo di sicurezza, di matrice europea: la direttiva PSD2 e la ",{"_key":423,"_type":29,"marks":424,"text":425},"qs35b",[124],"Strong Customer Authentication",{"_key":427,"_type":29,"marks":428,"text":429},"qs35c",[],", l'autenticazione forte che dal 2021 è richiesta per gran parte dei pagamenti online con carta. In pratica si traduce nel 3D Secure 2, il passaggio in cui la banca chiede al cliente una conferma aggiuntiva. Il checkout di Shopify supporta nativamente il 3D Secure 2 e attiva l'autenticazione forte quando la transazione lo richiede, senza che il merchant debba svilupparla o integrarla. È un altro obbligo che, sul checkout nativo, la piattaforma assorbe quasi per intero.",[],{"_key":432,"_type":25,"children":433,"markDefs":438,"style":113},"q36",[434],{"_key":435,"_type":29,"marks":436,"text":437},"qs36",[],"NIS2: la cybersicurezza diventa una questione di governance",[],{"_key":440,"_type":25,"children":441,"markDefs":455,"style":33},"q37",[442,446,451],{"_key":443,"_type":29,"marks":444,"text":445},"qs37a",[],"La direttiva europea 2022\u002F2555, la NIS2, ha alzato l'asticella della sicurezza informatica per un'ampia platea di aziende. In Italia è stata recepita con il decreto legislativo 138 del 2024, in vigore dal 16 ottobre 2024, che affida la regia all'",{"_key":447,"_type":29,"marks":448,"text":450},"qs37b",[449],"m_acn","Agenzia per la Cybersicurezza Nazionale",{"_key":452,"_type":29,"marks":453,"text":454},"qs37c",[]," e al CSIRT Italia per le notifiche. La norma distingue soggetti essenziali e soggetti importanti in base al settore e alla dimensione: la maggior parte dei singoli merchant resta fuori dal perimetro, ma molte aziende medio grandi che operano in settori inclusi vi rientrano, e in ogni caso la NIS2 conta lungo la catena di fornitura, perché chi è dentro deve governare anche il rischio dei propri fornitori e delle piattaforme su cui si appoggia.",[456],{"_key":449,"_type":86,"href":457},"https:\u002F\u002Fwww.acn.gov.it\u002Fportale\u002Fnis\u002Fla-normativa",{"_key":459,"_type":25,"children":460,"markDefs":465,"style":33},"q38",[461],{"_key":462,"_type":29,"marks":463,"text":464},"qs38",[],"Qui serve onestà, perché è il punto dove il marketing tende a esagerare. La NIS2 non si delega a una piattaforma: gli obblighi che porta, la responsabilità diretta degli organi di amministrazione sancita dall'articolo 23, le misure di gestione del rischio dell'articolo 24, la notifica degli incidenti significativi dell'articolo 25 con la pre-notifica entro ventiquattro ore e la notifica completa entro settantadue, restano in capo all'azienda. Shopify aiuta riducendo la superficie tecnica di attacco ed entrando nella tua supply chain come fornitore solido e certificato, ma non ti registra all'ACN né scrive i tuoi piani di gestione del rischio. Lavorare con partner certificati, per esempio secondo la ISO\u002FIEC 27001, è proprio uno dei modi per governare quel rischio di filiera. Le sanzioni, per chi è in perimetro, arrivano fino a dieci milioni di euro o al due per cento del fatturato mondiale: non è un capitolo da trattare con leggerezza.",[],{"_key":467,"_type":25,"children":468,"markDefs":473,"style":96},"q39",[469],{"_key":470,"_type":29,"marks":471,"text":472},"qs39",[],"Cosa significa in pratica",[],{"_key":475,"_type":25,"children":476,"markDefs":481,"style":33},"q40",[477],{"_key":478,"_type":29,"marks":479,"text":480},"qs40",[],"Mettendo in fila i pezzi, il quadro è chiaro. Su Shopify, gran parte del peso della PCI DSS 4.0 e della sicurezza tecnica del pagamento è assorbita dalla piattaforma: la certificazione di Livello 1, il checkout ospitato che tiene i dati di carta fuori dal tuo perimetro, la crittografia moderna, l'autenticazione forte del cliente. Restano in capo all'azienda gli obblighi organizzativi, la SAQ annuale, il controllo degli accessi, la governance richiesta da GDPR e, dove si applica, NIS2, e il presidio degli script che aggiungi sul tuo storefront. È un equilibrio molto diverso da quello di un ecommerce self hosted, su Magento gestito in proprio o su un'infrastruttura tutta tua, dove l'intero fardello, audit, certificati, patch, monitoraggio, risposta agli incidenti, lo porti tu, dall'inizio alla fine.",[],{"_key":483,"_type":25,"children":484,"markDefs":489,"style":33},"q41",[485],{"_key":486,"_type":29,"marks":487,"text":488},"qs41",[],"Ed è esattamente qui che la scelta della piattaforma e del partner diventa una decisione di sicurezza, non solo tecnologica. Spostare il peso della conformità su un'infrastruttura certificata libera tempo e budget da reinvestire nel business, ma richiede di capire con precisione dove finisce la responsabilità della piattaforma e dove inizia la tua. È il tipo di analisi che in ICT Sviluppo affrontiamo in ogni progetto di replatforming, da partner certificato ISO\u002FIEC 27001: non solo migrare un ecommerce, ma disegnare un assetto in cui sicurezza e conformità siano chiare, documentate e sostenibili nel tempo.",[],{"_key":491,"_type":25,"children":492,"markDefs":497,"style":96},"q42",[493],{"_key":494,"_type":29,"marks":495,"text":496},"qs42",[],"Domande frequenti",[],{"_key":499,"_type":25,"children":500,"markDefs":505,"style":113},"q43",[501],{"_key":502,"_type":29,"marks":503,"text":504},"qs43",[],"La PCI DSS è una legge?",[],{"_key":507,"_type":25,"children":508,"markDefs":513,"style":33},"q44",[509],{"_key":510,"_type":29,"marks":511,"text":512},"qs44",[],"No. La PCI DSS è uno standard contrattuale definito dai grandi circuiti di pagamento attraverso il PCI Security Standards Council, non una norma di legge. A farlo rispettare sono le banche acquirer e i circuiti, che in caso di non conformità possono applicare sanzioni o revocare l'abilitazione ad accettare carte. Diverso è il caso del GDPR e della NIS2, che sono invece norme di legge europee, con autorità pubbliche di vigilanza e sanzioni amministrative.",[],{"_key":515,"_type":25,"children":516,"markDefs":521,"style":113},"q45",[517],{"_key":518,"_type":29,"marks":519,"text":520},"qs45",[],"Shopify mi rende automaticamente conforme alla PCI DSS?",[],{"_key":523,"_type":25,"children":524,"markDefs":529,"style":33},"q46",[525],{"_key":526,"_type":29,"marks":527,"text":528},"qs46",[],"In larga parte sì, se usi il checkout nativo: la piattaforma è certificata di Livello 1 e copre infrastruttura, pagamento e pagina di checkout, tenendo la maggior parte dei merchant nella SAQ A. Ma non sei del tutto esonerato: restano tue la compilazione annuale della SAQ, la sicurezza dell'admin con l'autenticazione a due fattori, il controllo degli accessi, la scelta di app conformi e gli script che aggiungi sul sito. È un modello di responsabilità condivisa, non una delega totale.",[],{"_key":531,"_type":25,"children":532,"markDefs":537,"style":113},"q47",[533],{"_key":534,"_type":29,"marks":535,"text":536},"qs47",[],"La NIS2 si applica al mio ecommerce?",[],{"_key":539,"_type":25,"children":540,"markDefs":545,"style":33},"q48",[541],{"_key":542,"_type":29,"marks":543,"text":544},"qs48",[],"Dipende dal settore in cui operi e dalla dimensione dell'azienda. Molti singoli merchant restano fuori dal perimetro dei soggetti essenziali o importanti, ma le aziende medio grandi in settori inclusi vi rientrano, e chi fornisce servizi a soggetti in perimetro può esserne coinvolto lungo la catena di fornitura. La verifica si fa sui criteri del decreto 138 del 2024 e sulla piattaforma dell'ACN: in caso di dubbio, è un controllo da non rimandare, perché la responsabilità ricade direttamente sui vertici aziendali.",[],null,"2025-03-15T06:41:54.747Z","Dal 31 marzo 2025 la PCI DSS 4.0 è pienamente obbligatoria. Cosa impone davvero, quali altri obblighi di sicurezza la affiancano e come Shopify se ne fa carico.",false,{"_type":36,"alt":551,"asset":552,"originalFilename":554},"Gli obblighi per garantire la sicurezza con la PCI DSS 4.0",{"_ref":553,"_type":39},"image-5765a5317229418afdcdb4e5b87797ddd450d51c-1672x941-png","Gli obblighi per garantire la sicurezza con la PCI DSS 4.0.png",{"_type":42,"current":556},"obblighi-garantire-sicurezza-pcidss40","Gli obblighi per garantire la sicurezza con la PCI DSS 4.0 (dal 31 marzo 2025)",{"data":559,"sourceMap":-1},{"_createdAt":560,"_id":561,"_rev":562,"_system":563,"_type":561,"_updatedAt":566,"headerFrasetta":567,"showFrasetta":40},"2024-09-24T09:16:53Z","header","p760j7h835F4y7spQlBYJd",{"base":564},{"id":561,"rev":565},"weFjAg3F0H46n8pjNHFp0o","2026-05-18T10:57:18Z",[568],{"_key":569,"_type":25,"children":570,"markDefs":576,"style":33},"8eadd18b3ed0",[571],{"_key":572,"_type":29,"marks":573,"text":575},"e6dcee98cdea",[574],"strong","",[],{"data":578,"sourceMap":-1},{"menuItems":579},[580,585,587],{"_id":581,"_type":582,"name":546,"slug":583},"26f5f963-f363-481e-b28b-a6a8eb3333a2","page",{"_type":42,"current":584},"page-01",{"_id":51,"_type":53,"name":56,"slug":586},{"_type":42,"current":58},{"_id":588,"_type":53,"name":589,"slug":590},"afa06101-fcb3-4ccc-9911-5a71710f8303","Digital",{"_type":42,"current":591},"digital"]