E-Commerce pericoli e tecniche di difesa

Posted on 2 giugno 2007

0


Gli ultimi studi sull’e-commerce italiano disegnano un incremento del fatturato del 42 % rispetto al 2005, con un giro di affari stimato in circa 2,9 MLD di euro; tuttavia gli analisti sono convinti che la crescita del nostro mercato sia sensibilmente in ritardo rispetto al resto d’Europa, valutato in circa 135 MLD di euro.
Tra i fattori determinanti vi è una sostanziale limitatezza di offerta – i circa 10.000 operatori in Italia non sono paragonabili ai 130.000 della Gran Bretagna – ma anche il comprensibile timore del navigante nel fornire i propri dati personali a soggetti non fisicamente presenti al momento del perfezionamento dell’acquisto, preoccupazione generata dalla fama che vuole il web come il regno incontrastato delle frodi informatiche. Un gran numero di transazioni on line sono bersaglio di truffe, e la stragrande maggioranza di esse non vengono perseguite legalmente: i truffatori sono quasi sempre recidivi, proprio perché sanno di godere di una quasi totale impunità. In alcuni settori la percentuale è molto bassa, ma in altri, come quelli della vendita di software, apparecchi elettrici e elettronici e della prevendita di biglietti, il dato può raggiungere il 40% degli scambi complessivi. Chi sopporta i danni maggiori sono i venditori, non i compratori. I danni economici causati dalle truffe on line rischiano di erodere i margini di guadagno che chi vende on line ottiene risparmiando su altri costi, come personale, distribuzione, allestimento del punto vendita.
Le tecniche più tradizionali di sottrazione dei dati sensibili delle carte di credito sono il boxing e il trashing: il primo intercetta le comunicazioni dirette dalla Banca al cliente mediante la posta tradizionale, il secondo analizza gli scontrini o estratti conto eliminati che possono contenere dati rilevanti. Altra tecnica è la clonazione di carte mediante lo skimmer, un apparecchio che immagazzina centinaia di bande magnetiche con una semplice strisciata e che permette, una volta collegato a un computer, di riversare i dati su una carta vergine.
Ma le frodi più temibili sono l’hacking o il phishing: nel primo caso l’hacker viola i database di società di servizi per impossessarsi dei dati personali quali nome titolare, numero della carta, scadenza o codice di sicurezza CVV2 presente sul retro, il phishing consiste nel reperire i dati spingendo l’utente a fornirli spontaneamente grazie a vere e proprie esche (generalmente siti o e-mail trappola che richiedono di fornire i propri dati per attivare o ripristinare ipotetici servizi o concludere finte transazioni).
Sebbene il pericolo di essere truffati sia elevato, il mondo virtuale offre maggiori garanzie di sicurezza rispetto a quello reale, e le società impiegano una quantità sempre più grande di risorse per garantire la soddisfazione finale del cliente. Gli strumenti di protezione maggiormente utilizzati vanno dall’uso di sistemi di crittografia del numero identificativo della carta a sistemi che consentono all’esercente di individuare eventuali ordini fraudolenti; al momento sono in fase di implementazione, oltre al già citato codice di sicurezza CSC o CVV2, anche il sistema AVS (Address Verification System). Quest’ultimo sistema, non ancora applicato nel nostro Paese, esegue in pratica un controllo incrociato tra l’indirizzo utilizzato dall’utente in fase di ordine e quello associato effettivamente alla carta di credito, così come risulta nel database delle società emittenti. Gli istituti bancari dal canto loro tutelano il cliente contro ogni rischio di frode su tutti i suoi acquisti effettuati on line: vale il principio della nessuna responsabilità e nessun addebito per gli utilizzi illeciti della sua carta di credito. Nel caso si riscontri un addebito improprio, il titolare della carta di credito ha 60 giorni dal ricevimento dell’estratto conto per inviare contestazione alla banca di emissione, al fine di riavere i soldi sul proprio conto corrente. Allo stesso modo l’esercente ha la possibilità di assicurarsi contro le frodi on line, eliminando completamente i rischi legati agli ordini di pagamento ripudiati. Inoltre, in caso di uso fraudolento della carta di credito, il venditore può ottenere il risarcimento del danno, se dimostra alla banca di aver verificato l’identità dell’acquirente al momento della consegna. Oltre al resto, la legge prevede il diritto di recesso: il consumatore ha il diritto di recedere da qualunque contratto a distanza, senza alcuna penalità e senza specificarne il motivo, entro un termine di dieci giorni lavorativi.
Il sistema di crittazione dati più utilizzato nelle transazioni commerciali è il protocollo SSL (Security Sockets Layer), creato nel 1994 da Netscape Communications, che consente di ottenere un canale sicuro a livello di trasporto tra due elaboratori collegati ad Internet. L’SSL può essere supportato dai principali browser senza l’aggiunta di programmi specifici né la richiesta di password; le pagine protette di un negozio virtuale sono contrassegnate da un lucchetto (in ambiente Netscape Navigator) o da una chiave (in ambiente Microsoft Internet Explorer). Nel transitare dal browser al sito, le informazioni vengono criptate per evitare possibili intercettazioni. Altro sistema di sicurezza per proteggere gli acquisti on line è rappresentato dal protocollo SET (Secure Electronic Transaction), un sistema di sicurezza sviluppato da Visa e MasterCard allo scopo di rendere sicure le transazioni on line tramite carta di credito: questo protocollo prevede la codifica crittografata dei dati sensibili prima del loro invio per evitarne possibili intercettazioni, e l’autenticazione dei soggetti che prendono parte alla transazione (titolare della carta, venditore e banca) tramite l’uso di certificati digitali. Tra i vantaggi che tale strumento presenta sono da annoverare sicuramente la riservatezza dell’informazione (garanzia di anonimato), nonché l’immediatezza della transazione e la facilità d’uso.
Esempio di chiarezza e sicurezza ai massimi livelli è il sistema messo a punto da Banca Sella (https://www.sella.it/banca/ecommerce/gestpay/gestpay_sicurezza.jsp), chiamato GestPay: esso permette agli esercenti di accettare pagamenti via Internet con carte di credito in modalità protetta, e le attività di realizzazione e gestione del negozio virtuale, nonché quelle relative all’hosting del sito, sono invece a carico della Struttura Tecnica indicata dall’esercente. Tra i vantaggi principali:
• maggiore sicurezza per il consumer nell’accesso ai sistemi di pagamento, grazie all’autenticazione tramite codice o cellulare;
• riduzione del rischio di frodi: grazie al tool di gestione del risk management il cliente potrà impostare dei criteri in base ai quali rifiutare le transazioni considerate potenzialmente fraudolente;
• maggiore sicurezza negli ordini di pagamento online: garantita dal protocollo SSL3 a 128 bit, certificato Verisign, attualmente lo standard di sicurezza piu’ elevato con la certificazione lato server e algoritmo TRIPLE-DES, che cripta i parametri con chiave a 128 bit giornaliera, quindi il consumer non potra’ in alcun modo interferire nel colloquio tra il merchant e la banca ;
• gestione dell’ambiente di backoffice: grazie all’Active Report, il nuovo strumento di reportistica che consente una gestione facile ed intuitiva delle transazioni di commercio elettronico;
• abilitazione a piu’ sistemi di pagamento: addebito diretto su conto Banca Sella, Carta di credito, Credito al consumo e Paga con il Codice;
• sistema multilingua: le pagine di pagamento, le e-mail al compratore ed al merchant sono composte dinamicamente in italiano, inglese spagnolo, francese e tedesco;
• auto-test: ambiente di prova dove testare l’interfacciamento del negozio virtuale con il sistema di Banca Sella;
• multivaluta: la possibilità, per gli esercenti che ne fanno richiesta, di transare in Dollaro USA, Sterline Inglesi, Yen, Dollaro di Hong Kong e Real Brasiliano.
Chi decide di vendere on line deve considerare il tema della sicurezza dei pagamenti on line come uno dei principali fattori di successo. E’ quindi molto importante l’utilizzo, da parte dei negozi virtuali, di appositi sistemi di sicurezza in grado di assicurare all’acquirente un livello di sicurezza adeguato. Le soluzioni possibili, per garantire la sicurezza delle transazioni on line, sono in continua evoluzione.

Marco Montulli

Annunci
Messo il tag:
Posted in: corso di crm