Come verificare se un sito web è sicuro (prima di pagare)

I 6 controlli rapidi

1. 1

   Controlla il dominio: è davvero quello che credi?

   I truffatori usano domini quasi-identici al brand legittimo. Esempi: 'poste-italiane.com' invece di 'poste.it'; 'paypal-secure.net' invece di 'paypal.com'; 'amaz0n.com' (zero) invece di 'amazon.com'. Leggi LETTERA PER LETTERA il dominio. Se hai cliccato un link, verifica nella barra dell'URL del browser dove sei davvero atterrato.

2. 2

   Verifica HTTPS + certificato

   Il lucchetto chiuso accanto all'URL significa connessione crittografata MA NON che il sito è onesto. Clicca il lucchetto → 'Certificato': controlla a chi è intestato (Subject CN), chi lo ha emesso (Issuer — Let's Encrypt è gratuito e usato anche dai truffatori, DigiCert/Sectigo invece sono a pagamento e più verificati). Se il certificato è scaduto o emesso a un'altra azienda: bandiera rossa.

3. 3

   Cerca recensioni reali

   (1) Google '{nome_sito} truffa' e '{nome_sito} reviews'; (2) Trustpilot.com (attenzione alle recensioni manipolate — vedi la nostra guida); (3) Reddit + Quora per discussioni autentiche; (4) Pagine social ufficiali del brand: i clienti veri lamentano problemi visibilmente. Se il sito è nato 30 giorni fa e ha 500 recensioni 5-stelle: sono fake.

4. 4

   WHOIS — quando è stato registrato?

   Vai su whois.net o whois.icann.org → inserisci il dominio → guarda 'Creation Date'. Un sito di e-commerce con grande inventario MA dominio registrato meno di 6 mesi fa è MOLTO sospetto. Anche guarda il paese del registrant — molti truffatori si appoggiano a registrar in Panama, Bahamas, Russia per opacità.

   Verifica WHOIS automaticamente
5. 5

   Controlla liste nere e Google Safe Browsing

   (1) Google Safe Browsing: https://transparencyreport.google.com/safe-browsing/search?url=... (sostituisci ... con l'URL); (2) Norton Safe Web: safeweb.norton.com; (3) Lista nera Consob (per finanza/trading): consob.it/lista-nera. Se compare in una lista nera ufficiale: NON inserire mai dati.

6. 6

   Test del 'Contattaci'

   Sul sito sospetto cerca: indirizzo fisico verificabile (Google Maps), partita IVA/CF/registro imprese (verifica su registroimprese.it per IT, zefix.ch per CH), telefono italiano (+39) reale. I truffatori spesso usano: indirizzi reali ma rubati ad altre aziende, P.IVA inesistenti o di paesi off-shore, nessun telefono o solo modulo contatto.

Domande frequenti

Quali strumenti gratuiti posso usare per verificare un sito?

Combinazione utile: (1) Google Safe Browsing transparency report — verifica se Google lo segnala come pericoloso; (2) WHOIS.net per età dominio e registrant; (3) Trustpilot per recensioni utenti (cum grano salis per fake reviews); (4) Wayback Machine (archive.org) — vedi cosa era il sito 6/12/24 mesi fa, spesso i siti truffa sono in costante mutazione; (5) LegalAudit — combina tutti questi controlli in un singolo report forense.

HTTPS (lucchetto verde) significa che il sito è sicuro?

NO. HTTPS significa solo che la connessione tra te e il sito è crittografata — nessuno può intercettare i dati durante il transito. Ma il sito stesso può essere completamente fraudolento e usare HTTPS! Let's Encrypt fornisce certificati HTTPS gratuiti, anche ai truffatori. HTTPS è necessario ma non sufficiente per fidarsi.

Come capire se le recensioni di un sito sono finte?

Pattern di fake reviews: (a) tutte 5 stelle, brevi, generiche; (b) usano emoji simili in tutte; (c) date concentrate in poche settimane; (d) reviewer hanno UN solo review nel loro profilo; (e) lo stesso reviewer recensisce decine di siti truffa nella stessa categoria. Strumento utile: fakespot.com per Amazon/Tripadvisor; reviewmeta.com.

Cosa significa 'dominio registrato pochi mesi fa'?

I siti di e-commerce LEGITTIMI di solito hanno domini registrati da almeno 2-3 anni. I siti di truffa nascono e muoiono in 3-12 mesi (truffano clienti, vengono segnalati, vengono sostituiti con un nuovo dominio leggermente diverso). Eccezioni: brand nuovi appena lanciati. Ma un negozio di scarpe con 'sconti del 80%' e dominio di 30 giorni: scappa.

I siti che chiedono pagamento via PayPal sono più sicuri?

Più sicuri ma non immuni. PayPal offre Protezione Acquirenti che ti permette di chiedere il rimborso se non ricevi la merce. MA: (a) attenzione a 'Amici e familiari' — quella non ha tutela; usa sempre 'Beni e servizi'; (b) molti siti truffa usano account PayPal compromessi/falsi; (c) la PayPal Protezione ha tempi limitati. Quindi: PayPal Beni&Servizi è uno strumento di mitigazione, non una garanzia.

Quanto costa il triage forense LegalAudit per verificare un sito?

Il primo controllo (URL/dominio) è completamente gratuito — niente registrazione richiesta. Il triage produce verdict (green/amber/red), elenco signals trovati (HTTPS, WHOIS, reputation, similarity), e un dossier PDF firmato. I dossier completi 'difendibili' (es. da presentare alla banca o in causa civile) sono inclusi nell'abbonamento Pro, da CHF 29/mese.

Cosa fare se ho già pagato su un sito che ora sospetto sia truffa?

Procedura immediata: (1) Apri dispute con il tuo metodo di pagamento (PayPal, chargeback Visa/Mastercard); (2) Salva screenshot di tutto il sito + comunicazioni; (3) Verifica con LegalAudit e ottieni il report; (4) Denuncia alla Polizia Postale anche se l'importo è basso (le denunce singole contribuiscono a procedimenti complessivi); (5) Segnala il dominio su domains.google → 'Report fake site'.