Assicurazione cyber per e-commerce e negozi online
Il mercato svizzero dell’e-commerce cresce costantemente da anni e ha raggiunto nel 2025 un volume di oltre CHF 15 miliardi. Con la crescita aumentano anche i rischi informatici: i negozi online elaborano dati di carte di credito, informazioni personali e flussi di pagamento 24 ore su 24 — un terreno ideale per i criminali informatici.
Perché le aziende di e-commerce sono particolarmente esposte?
I negozi online sono raggiungibili 24/7 da internet — è il loro modello di business e al contempo la loro maggiore vulnerabilità. Ogni minuto di inattività significa fatturato perso. I criminali informatici lo sanno e lo sfruttano sistematicamente, ad esempio con attacchi DDoS nei momenti di picco come il Black Friday o il periodo natalizio.
Le aziende di e-commerce svizzere devono inoltre rispettare lo standard PCI-DSS se elaborano dati di carte di credito. Una violazione può comportare sanzioni fino a CHF 500’000 al mese da parte degli operatori delle carte, oltre alla perdita dell’autorizzazione ad accettare pagamenti con carta.
La nuova Legge sulla protezione dei dati (nLPD) inasprisce ulteriormente i requisiti: dati dei clienti come storico degli ordini, indirizzi e informazioni di pagamento sono soggetti a rigorosa protezione. A ciò si aggiungono i rischi legati a plugin di terze parti, gateway di pagamento e partner logistici, le cui falle di sicurezza possono ricadere sul negozio.
In Ticino, il commercio online ha registrato una crescita particolarmente forte, con sempre più piccole attività che vendono anche attraverso piattaforme digitali — spesso senza le necessarie competenze in materia di sicurezza informatica.
Le tre principali minacce
1. Furto di dati delle carte di credito tramite attacco Magecart
Un negozio online ticinese di moda con 30’000 clienti attivi è vittima di un attacco Magecart. I criminali iniettano codice JavaScript malevolo nella pagina di checkout e intercettano per tre mesi i dati delle carte di credito di tutti gli acquirenti — in totale 8’500 record. Costi: indagine forense CHF 150’000, notifica agli interessati CHF 80’000, sanzioni PCI-DSS CHF 350’000, perdita di fatturato per crollo della fiducia CHF 600’000. Danno complessivo: CHF 1’180’000.
2. Attacco DDoS durante il Black Friday
Un rivenditore online di elettronica viene colpito da un massiccio attacco DDoS nel giorno di maggior fatturato dell’anno. Il negozio è irraggiungibile per 12 ore. Contemporaneamente, i gestori ricevono un’e-mail di riscatto con una richiesta di CHF 60’000 in Bitcoin. La perdita diretta di fatturato ammonta a CHF 280’000. A ciò si aggiungono i costi per la mitigazione DDoS, le misure IT di emergenza e gli ordini persi nei giorni successivi. Danno complessivo: CHF 450’000.
3. Attacco alla catena di fornitura tramite plugin
Un popolare plugin di pagamento utilizzato da centinaia di negozi svizzeri viene compromesso. Attraverso un aggiornamento manipolato, i criminali ottengono accesso ai pannelli di amministrazione e ai database dei clienti di tutti i negozi interessati. Un negozio online ticinese di prodotti alimentari perde i dati di 6’000 clienti inclusi storico ordini e indirizzi. I costi per consulenza legale, comunicazione ai clienti e bonifica tecnica ammontano a CHF 290’000.
Importi tipici dei danni
| Tipo di danno | Importo tipico |
|---|---|
| Furto di dati delle carte di credito | CHF 500’000 – 5’000’000 |
| Attacco DDoS (per giorno di inattività) | CHF 50’000 – 500’000 |
| Fuga di dati dei clienti | CHF 200’000 – 2’000’000 |
| Sanzioni PCI-DSS | CHF 100’000 – 500’000 |
| Defacement / Manipolazione del negozio | CHF 50’000 – 300’000 |
| Perdita di fatturato per danno reputazionale | CHF 100’000 – 1’000’000 |
Cosa dovrebbe coprire un’assicurazione cyber
Un’assicurazione cyber per aziende di e-commerce comprende:
- Interruzione dell’attività: Mancato fatturato in caso di downtime del negozio — inclusi i periodi di picco stagionale
- Frode con carte di pagamento: Costi per violazioni PCI-DSS e furto di dati delle carte
- Protezione DDoS: Costi per la difesa e la mitigazione degli attacchi DDoS
- Danni a terzi: Responsabilità civile verso i clienti in caso di perdita di dati
- Analisi forense: Indagine sugli attacchi all’infrastruttura del webshop
- Consulenza legale: Assistenza per gli obblighi di notifica nLPD e la conformità PCI-DSS
- Gestione della crisi: Comunicazione ai clienti e PR in caso di incidenti resi pubblici
- Ripristino: Costi per la bonifica e la ricostruzione del negozio
Indicazione di premio
Per un negozio online ticinese con un fatturato annuo di CHF 500’000 – 2’000’000, i premi annuali partono indicativamente da CHF 1’200 – 3’500. Shop con volumi elevati e migliaia di transazioni giornaliere richiedono coperture su misura.
Checklist: il vostro negozio online è protetto?
- Il processo di checkout viene controllato regolarmente per individuare codice iniettato?
- Tutti i plugin e le estensioni sono aggiornati?
- La vostra elaborazione dei pagamenti è conforme PCI-DSS?
- Disponete di una protezione DDoS (es. Cloudflare, Akamai)?
- I dati dei clienti sono cifrati?
- Esiste un piano di emergenza per le interruzioni del negozio?
- Gli accessi amministrativi sono protetti da MFA?
- Disponete di un’assicurazione cyber con copertura specifica per l’e-commerce?
Se diversi punti restano aperti, dovreste agire tempestivamente — soprattutto prima dei periodi di forte fatturato.
Prossimo passo: richiedete una consulenza
La BTAG Versicherungsbroker AG di Berna conosce i rischi specifici del commercio online. Come broker indipendente, BTAG trova l’assicurazione cyber adatta alla vostra attività di e-commerce — che si tratti di un piccolo shop di nicchia o di un grande operatore multicanale.
Richiedete ora un’offerta senza impegno e proteggete il vostro negozio online e i vostri clienti dalle crescenti minacce informatiche.