Hai presente quando lasci le chiavi di casa al vicino per una settimana e torni trovando la porta spalancata? Ecco, quando si parla di siti web, spesso accade una cosa simile: l’azienda “padrona di casa” dà le chiavi a qualcuno — un fornitore, un’agenzia, un sistemista — e poi si dimentica di controllare cosa succede. Ma se succede qualcosa di brutto, come uno spam massivo o un attacco informatico? Chi deve rispondere? Sorpresa: quasi sempre, è l’azienda che possiede il sito.
Iniziamo allora a capire cosa significa davvero avere un sito web, e perché è fondamentale — anzi, basilare — tenere d’occhio quello che succede dentro le sue mura digitali.
Quando parliamo di infrastrutture non gestite, entriamo in un mondo in cui la responsabilità è tutta sulle spalle dell’utente. I provider offrono il “mezzo”: un server, una macchina virtuale, uno spazio di archiviazione. Ma quello che ci fai dentro, come lo configuri, come lo proteggi… beh, sono affari tuoi. Non nel senso “affari tuoi, fai come ti pare”, ma proprio “affari tuoi, se sbagli paghi”.
Questo modello è molto diffuso tra i grandi nomi: OVH, Google, Amazon, Aruba. Tutti offrono soluzioni che non includono una gestione attiva della sicurezza o dei contenuti. E quindi, se arriva lo spam, se il sito viene bucato, o se qualcuno lo usa per attività illecite, i guai iniziano a bussare alla porta. Ma a quella sbagliata? No, alla tua.
Prendiamo OVH, per esempio. Negli ultimi mesi, il numero di segnalazioni di spam partito da domini con estensione “.ovh” è salito alle stelle. Email che superano i controlli SPF come niente fosse, portando virus, truffe o semplicemente tanta, tanta seccatura. Gli utenti se la prendono con OVH — ed è normale — ma bisogna dire le cose come stanno: se il server è “non gestito”, la colpa non è loro, almeno finché non si dimostra che ignorano sistematicamente le segnalazioni.
“Eh, ma allora non è giusto!” — potresti pensare. Già, ma la legge è chiara: se tu affitti uno spazio e non lo sorvegli, sei tu che ti prendi le responsabilità di quello che ci succede dentro.
Facciamo allora un confronto più concreto.
Google Cloud Platform ha un approccio più attivo. Anche se offre servizi “non gestiti” come Compute Engine, mantiene un monitoraggio costante. Se notano comportamenti strani, intervengono subito, spesso anche prima che qualcuno glielo segnali. Morale: spam e abusi dai server Google sono molto più rari.
Amazon Web Services usa un modello che chiamano “Shared Responsibility”. In pratica: “noi ti diamo una piattaforma sicura, ma sei tu che ci devi installare dentro cose sicure”. Se qualcosa va storto per colpa tua, è un tuo problema. Ma anche loro, come Google, hanno occhi dappertutto e reagiscono in fretta.
Aruba è più simile a OVH per filosofia, ma più reattiva quando riceve segnalazioni. Non monitora attivamente, ma se qualcuno segnala un abuso, interviene. Non subito, magari, ma almeno non resta immobile.
E allora torniamo al punto: chi dovrebbe tenere d’occhio il tuo sito web? Chi deve sapere se è diventato una centrale di spam, un ponte per un attacco hacker o una vetrina per contenuti sospetti?
Spoiler: la risposta sei tu.
Sì, anche se “lo gestisce l’agenzia”. Anche se “c’è il sistemista esterno”. Anche se “abbiamo un contratto di hosting”. Se sul dominio c’è il nome della tua azienda, se l’email parte col tuo logo, se i dati che finiscono in pasto agli spammer sono dei tuoi clienti… allora il dito punterà verso di te.
Un po’ come se affitti un’auto, la lasci al tuo amico per una settimana, e lui fa una serie di multe in giro per la città. Le multe arrivano a te. E dovrai dimostrare chi era alla guida, ma intanto paghi.
E questa responsabilità non è solo “etica” o “morale”: è proprio giuridica.
Nel mondo del GDPR e della sicurezza informatica, se succede un guaio, devi sapere cosa fare. Devi avere una procedura. Devi documentare l’accaduto. Devi — magari entro 72 ore — avvisare il Garante, i clienti, i colleghi, l’universo intero se serve.
Eppure, in tantissimi casi, le aziende nemmeno sanno dove guardare.
“Hanno bucato il sito, ma tanto è roba del fornitore.”
Sbagliato.
“È partito spam dal nostro server, ma lo gestisce Aruba.”
Ancora sbagliato.
“Qualcuno ha preso il controllo della nostra posta elettronica, ma tanto è su Google.”
Terzo errore.
È come dire: “mi hanno rubato l’auto, ma l’ho comprata in concessionaria, quindi è colpa loro.” No. Tocca a te tenere le chiavi in tasca, chiudere le porte e magari anche installare un allarme.
Tutti questi provider, come abbiamo visto, adottano infrastrutture “non gestite”. Questo significa che tu puoi installare quello che vuoi, configurarlo come ti pare, fare tutto da solo. Ma significa anche che, se sbagli, se ti dimentichi un aggiornamento, se lasci le porte aperte, poi sono guai tuoi. Nessuno lo farà al posto tuo.
E in mezzo a tutto questo bailamme, spesso manca proprio il “monitoraggio”. Cioè, non c’è nessuno che guarda cosa succede davvero al sito. Un po’ come se apri un negozio, lasci la porta aperta e poi te ne vai in vacanza sperando che nessuno entri.
Il monitoraggio è fondamentale. Vuol dire sapere in ogni momento se il tuo sito funziona, se è stato hackerato, se invia spam, se qualcuno ha cambiato qualcosa. Ci sono strumenti automatici che possono aiutare: sistemi di log, antivirus, firewall, alert di sistema… Ma serve anche qualcuno che li guardi, che li capisca, che sappia intervenire.
E serve soprattutto una consapevolezza: non puoi ignorare quello che succede nel tuo sito, sperando che il provider si occupi di tutto. Perché, spesso, non è così.
Il tuo sito è come un appartamento che affitti in un condominio. Il provider è il proprietario del palazzo. Ti dà luce, acqua, gas, ma dentro casa tua devi sistemare le cose. Se cade il lampadario o si rompe la serratura, è compito tuo. E se da casa tua parte un incendio, non è che puoi dire “eh ma la corrente era loro”.
Lo stesso vale per il web.
Non è solo questione di spam o truffe. È anche questione di reputazione. Se da un server associato al tuo dominio parte spam, anche se non ne sei l’autore diretto, la tua reputazione digitale ne risente. I sistemi antispam cominceranno a bloccare le tue email. I clienti non riceveranno più le newsletter. I fornitori penseranno che sei poco serio. E magari i tuoi stessi utenti cominceranno a dubitare di te.
Hai presente quella sensazione strana quando ricevi un messaggio da un amico che inizia con: “non aprire quel link, non sono stato io!”? Ecco, succede anche alle aziende. Ma quando succede, è già tardi.
E quindi che si fa?
Si parte da una domanda semplice: chi sta monitorando il mio sito? E subito dopo: lo sta facendo davvero?
Poi serve una mappa chiara di chi fa cosa: chi gestisce il dominio, chi si occupa dei DNS, chi controlla i log, chi aggiorna i plugin, chi risponde in caso di incidente. Perché, quando il pasticcio accade — e succede, succede più spesso di quanto pensi — sapere chi chiamare può fare la differenza tra un problema risolto in due ore e un disastro mediatico da prima pagina.
Serve anche una politica interna: una procedura per capire cosa fare quando arriva una segnalazione, una mail sospetta, un alert di sistema. Chi decide se si deve avvisare il Garante? Chi prepara il comunicato per i clienti? Chi aggiorna la pagina della privacy?
E infine serve un pizzico di umiltà: ammettere che nessun sistema è perfetto. Che anche il miglior provider può essere lento. Che anche il server più sicuro può avere una falla. E che quindi serve sempre, sempre, sempre, un piano B.
Perché, come in ogni buona storia, non conta solo costruire il castello: conta sapere anche come difenderlo.
