Il protocollo HTTPS - che, rispetto a HTTP, cripta le comunicazioni tra server e client - esiste da tempo, ma nell'ultimo anno è diventato particolarmente noto.

Dal 2018, infatti, Google ha deciso che il proprio browser Chrome debba indicare come «non sicuri» tutti i siti che non ne fanno uso, mostrando invece un tranquillizzante lucchetto per quanti lo supportano.

Chi conosce il web sa che, sebbene la crittografia applicata alle comunicazioni sia in generale un bene, non sempre è necessario che i siti supportino HTTPS: per esempio, un sito che non richieda alcuna interazione con l'utente, che non comporti scambio di dati con il visitatore (salvo ovviamente la visualizzazione di quanto costituisce il contenuto del sito stesso), allora può senza colpa utilizzare il semplice HTTP.

Di contro, è evidentemente fondamentale che laddove ci sia uno scambio di dati (come nome utente e password, ma ancora più dove si inseriscono informazioni sensibili come il numero della carta di credito) HTTPS sia implementato, per evitare che malintenzionati intercettino le comunicazioni che altrimenti viaggerebbero in chiaro.

Chi non è troppo addentro ai meccanismi del web, però, non coglie questa differenza: per lo più, il "navigatore medio" ha iniziato ad associare la presenza di HTTPS (e quindi del lucchetto nella barra degli indirizzi, come ormai fanno praticamente tutti i browser) non al semplice fatto che i dati sono trasmessi in maniera criptata, ma all'idea che il sito sia completamente sicuro e affidabile.

Tale eccesso di fiducia sta diventando un problema, al punto che l'FBI s'è sentito in dovere di diramare un avviso per ricordare che la presenza di HTTPS non è automaticamente sinonimo di "sito affidabile".

I criminali informatici sono infatti stati svelti nel cercare di capitalizzare questa imprecisa ma diffusa sensazione e, con poca o nessuna spesa, hanno messo in piedi svariati siti-truffa che però infondono fiducia negli utenti più sprovveduti in quanto "garantiti" dalla presenza del famoso lucchetto.

«Gli autori degli attacchi di phishing» - spiega l'FBI - «stanno sempre più di frequente incorporando certificati - una verifica di terze parti della sicurezza del sito - quando inviano email alle loro vittime potenziali, imitando aziende degne di fiducia o contatti email».

Siamo insomma arrivati al punto in cui è importante ricordare a tutti di non fidarsi ciecamente di nessun sito sconosciuto, nonostante questo sia accessibile in HTTPS e la sua sicurezza (ossia il fatto che usa la crittografia) sia garantita da un certificato: ciò significa solo che la comunicazione col sito è sicura, ma non che ciò che i gestori del sito faranno con le informazioni immesse dagli utenti sia a prova di truffa o raggiro.

L'FBI sottolinea inoltre come tutte le solite raccomandazioni siano ancora valide: per esempio, è sempre bene verificare che l'indirizzo del sito che si sita visitando (e che magari è arrivato via email) sia scritto correttamente, e in generale non fidarsi dei link arrivati nella posta elettronica, che spesso sono offuscati in maniera tale da ingannare i meno attenti.