IL CYBERNAUTA
Internet e dintorni

E-COMMERCE SICURO

Uno dei principali pilastri che sostengono attualmente la costante crescita di Internet nel mondo è il commercio elettronico, la cui diffusione, soprattutto nel nostro paese, potrebbe tuttavia risultare ben più consistente se i consumatori non fossero trattenuti nei propri acquisti da una tradizionale diffidenza verso l'utilizzo della carta di credito, mezzo con cui si effettua la stragrande maggioranza dei pagamenti online. Tale timore viene ingigantito dai mezzi di informazione non specialistica, che quasi quotidianamente raccontano le gesta di pirati informatici che si introducono anche nei sistemi informatici più protetti causando non pochi danni. Diciamo la verità: quante volte vi è capitato di visitare siti di E-Commerce e trovare dei prodotti interessanti, magari aggiungendoli al vostro "carrello della spesa", senza però completare alla fine l'ordine quando viene richiesto il numero di carta di credito? Anche nell'ipotesi di un acquisto perfezionato resta comunque sempre un certo dubbio che tale preziosa informazione possa venire a conoscenza di qualche smaliziato hacker.

È giustificata tale paura?
Internet è un sistema sicuro?

A queste domande cercherò di dare una risposta in questo breve articolo.

Certamente la sicurezza delle transazioni commerciali non è stato il principale problema affrontato dagli ideatori della "Rete delle reti" all'inizio degli anni settanta nel creare quello che oggi chiamiamo Internet. Anzi la rete nacque a fini prettamente scientifici nell'ambito universitario e nessuno allora si sarebbe mai aspettato un suo utilizzo commerciale. Anche se la sicurezza non è quindi una delle sue caratteristiche intrinseche, Internet può essere reso sicuro con l'adozione di opportune procedure e protocolli che lo possano portare a livelli di affidabilità ben maggiori di quelli dei sistemi tradizionali di pagamento.

Immaginiamo ad esempio un classico acquisto per corrispondenza: in molti casi l'ordine della merce si estrinseca nell'invio per posta in una busta chiusa dei dati necessari comprensivi del fatidico numero di carta di credito. Ebbene tale busta può venire intercettata ed aperta (basta un getto di vapore) o sottratta in qualsiasi punto del suo percorso da impiegati o postini per dirla con un eufemismo "poco professionali". Lo stesso discorso vale naturalmente per gli acquisti effettuati tramite call center o comunque per telefono dove la possibilità di una intercettazione è tutt'altro che remota. Quando poi si acquista in un negozio, soprattutto se frequentato abitualmente, in genere non si hanno troppe remore all'uso disinvolto della propria carta, con il rischio che qualche commesso possa appuntarsi i dati per un loro utilizzo fraudolento. Lo stesso discorso vale per qualsiasi altro esercizio commerciale: supermercati, alberghi, ristoranti, ecc..

Anche escludendo il dolo da parte di titolari o dipendenti è comunque sempre possibile che terzi possano venire a conoscenza degli estremi di una carta di credito ad esempio se vi sono vari clienti contemporaneamente presso la cassa, in una fila allo sportello Bancomat ecc.. A tal proposito posso citare un'esperienza personale: stavo pagando il conto alla cassa di un ristorante quando è sopraggiunto un cameriere con un altro conto e un carta di credito appoggiata sopra in bella vista. Contemporaneamente è arrivato anche un fornitore del ristorante con una consegna di merce che sicuramente un occhio alla VISA sul banco lo ha gettato. In fin dei conti non è poi un eccessivo sforzo di memoria anche perché non è necessario dover ricordare tutti i numeri. Penso che chiunque possa immaginare altre situazioni in cui un numero di carta di credito può essere a rischio, eppure l'imputato è sempre e solo Internet che, invece, in determinate condizioni, deve essere considerato un sistema sicuro che garantisce:

1. la riservatezza delle informazioni trasmesse;
2. la loro inalterabilità;
3. l'autenticazione dell'identità dei soggetti partecipanti alla transazione.

Riservatezza ed inalterabilità vengono assicurate dalle sofisticate tecniche di crittografia con cui le informazioni vengono codificate dal mittente in maniera tale che soltanto il legittimo destinatario possa decodificarle. La crittografia non è certo un'arte moderna (ricordo ad esempio il celeberrimo "cifrario di Cesare"), ma il grado di affidabilità garantito dai moderni algoritmi raggiunge ormai la perfezione. L'adozione, infatti, di chiavi di codifica sufficientemente lunghe rende la possibilità di attacchi "brute force" (basati sui tentativi di ogni combinazione possibile di chiavi) estremamente remota, dal momento che occorrerebbero supercomputer impiegati nel calcolo per anni ed anni. Tutti i moderni browser dispongono di sistemi di crittografia basati sull'algoritmo RSA e sul protocollo SSL che mettono al sicuro l'utente da qualsiasi ipotizzabile tentativo di intercettazione.

La garanzia della riservatezza e dell'integrità del dato trasmesso deve comunque essere accompagnata dalla certa identificazione del mittente e del destinatario. Poiché non si può essere certi che l'azienda o la persona con cui si sta comunicando siano effettivamente chi dichiarano di essere si ricorre ad un "garante" esterno, un Ente Certificatore (Certification Authority) che emette il c.d. certificato digitale a favore delle società richiedenti. Tale certificato garantisce in maniera assoluta che l'azienda con cui si entra in rapporto commerciale è davvero quello che dichiara e non un hacker inseritosi abusivamente nella transazione.

L'avvenuta instaurazione di un collegamento sicuro viene evidenziato dal browser accendendo l'apposito indicatore rappresentato in genere da un lucchetto o una chiave. Quando tale indicatore è acceso si può stare sicuri che i dati inviati tramite Internet potranno essere letti solo dal legittimo destinatario, senza possibilità di sorprese. Quello che poi succede al numero di carta di credito uno volta giunto a destinazione dipende da caso a caso e potrebbero ripresentarsi eventuali problemi sulla sicurezza nel trattamento e conservazione del dato da parte dell'azienda, ma questo, ovviamente, non è più un problema legato ad Internet. A tal proposito si va sempre più diffondendo il c.d. sistema SET (Secure Electronic Transaction), sviluppato da VISA e MasterCard con il fondamentale contributo delle maggiori società dell'information technology: IBM, Microsoft, Netscape, Verisign, RSA e altre. Il sistema prevede che l'utente comunichi i dati relativi alla sua carta di credito non più alla società che gestisce il negozio virtuale dove ha effettuato l'acquisto, bensì ad un Payment Gateway interfacciato direttamente con il circuito bancario. In tal modo l'importo verrà accreditato direttamente sul conto del venditore che pertanto non verrà mai a conoscenza degli estremi della carta di credito utilizzata dal proprio cliente. Inoltre gli istituti di credito, sia del cliente che del venditore, non sapranno mai quale prodotto è stato acquistato a fronte della transazione contabilizzata, ciò a massima difesa della privacy del cliente stesso.

Come ho avuto modo di descrivere nel numero scorso, Nautica Shopping, il nostro supermercato virtuale con oltre 1400 articoli, si avvale di un sistema SET gestito da Banca Sella, istituto di credito da sempre all'avanguardia nell'uso di tutte le nuove tecnologie informatiche, in virtù delle quali l'E-Commerce su Internet è sicuro e non può far paura a nessuno.

Il Cybernauta