PrestaShop: allerta skimmer sul checkout, cosa controllare subito (febbraio 2026)

L'11-12 febbraio 2026 PrestaShop ha pubblicato un avviso di sicurezza importante: su alcuni store e stato rilevato un digital skimmer che puo intercettare i dati di pagamento dei clienti.

Il punto critico e che il malware non si limita a "tracciare": sostituisce i pulsanti di pagamento legittimi nel checkout con pulsanti fraudolenti che portano a un form falso.

Cosa sta succedendo in pratica

Secondo l'avviso ufficiale, lo skimmer viene caricato tramite un tag <script> inserito nel file del tema attivo:

• _partials/head.tpl

Questo indica che qualcuno e riuscito a modificare file della tua installazione.

Un indicatore ricorrente segnalato da PrestaShop e l'uso della funzione atob() dentro lo script malevolo (con payload che cambia da store a store).

Come verificare subito se il tuo store e coinvolto

1) Controllo dal front office

• Apri una pagina del tuo shop.
• Tasto destro -> "Inspect" / "Ispeziona".
• Cerca i tag <script> sospetti nel sorgente runtime.
• Se trovi una struttura simile a quella indicata da PrestaShop (XHR + atob() + esecuzione dinamica), considera il sito potenzialmente compromesso.

2) Controllo lato server

• Collegati via FTP/SFTP al server.
• Vai nel tema attivo: templates/_partials/head.tpl.
• Apri head.tpl e controlla se e stato iniettato uno script anomalo.

Se il file contiene codice sconosciuto o offuscato, trattalo come incidente in corso.

Cosa fare nelle prime ore (azione concreta)

1. Metti il sito in modalita manutenzione se puoi farlo senza perdere il controllo operativo.
2. Coinvolgi subito il tuo sistemista/agenzia o supporto PrestaShop.
3. Isola e rimuovi il codice malevolo, ma prima salva evidenze (file, log, timestamp).
4. Ruota tutte le credenziali critiche: back office, hosting, FTP/SFTP, DB, pannello cloud.
5. Aggiorna core, tema e moduli (soprattutto quelli non mantenuti o di provenienza dubbia).
6. Verifica log web e accessi admin per capire vettore iniziale e periodo di esposizione.
7. Esegui un controllo integrita su file applicativi e tema.

GDPR: notifica clienti e autorita?

PrestaShop ricorda che la valutazione della violazione dati resta in capo al merchant (data controller).

In area UE, se c'e rischio per diritti e liberta degli interessati, la violazione va notificata all'autorita competente entro 72 ore (art. 33 GDPR) e, in caso di rischio elevato, anche agli interessati (art. 34 GDPR).

Nota: nell'articolo ufficiale viene citata la CNIL come riferimento pratico.

Conclusione

Questa allerta non va trattata come "warning generico": e un possibile furto dati pagamento in checkout.

Se gestisci uno store PrestaShop, la priorita oggi e:

• verificare _partials/head.tpl
• cercare script anomali con pattern simili a quelli segnalati
• avviare immediatamente una risposta all'incidente se trovi indicatori

Fonti

• PrestaShop Help Center - Security Alert: Recommended Check of Your Stores
• PrestaShop Help Center - Securing your store
• CNIL - Data breach guide referenced by PrestaShop