Home

.

Uso Carta di Credito

 

Introduzione

Acquistare su Internet con la carta di credito? Ma sarà sicuro? Il mio numero di carta di credito diverrà di dominio pubblico?

Sono domande frequenti che si sentono al giorno d’oggi quando si parla di acquisti on line! Infatti il cliente comune è abbastanza sfiduciato, sentite le storie che girano: hacker che si sono impossessati di numeri di migliaia di carte di credito spendendo a loro piacere milioni e milioni, carte di credito clonate, gente che s’è vista arrivare da parte delle società di credito lettere con spese assurde e mai fatte certo, bisogna filtrare: non tutte queste notizie sono false, ma neanche tutte sono vere! Ad esempio, io, semplice navigatore che voglio comprare un libro o qualunque altro oggetto su Amazon (probabilmente il più grande e famoso supermercato virtuale di Internet), sono in realtà un incoscente?!? Certamente no, anche se il rischio non è nullo!

Ma cerchiamo di approfondire il discorso. E' vero, usare le carte di credito per acquistare online è pericoloso ma non perché i numeri sono intercettati durante le transazoni dai pirati "cattivi", ma perché le aziende che fanno commercio elettronico non sono adeguatamente sensibili al problema della sicurezza. In altre parole, i rischi maggiori non si corrono inviando i propri dati online, ma una volta che il merchant li ha memorizzati sui propri server. Già qualche tempo fa suscitò grande scalpore la possibilità di usare un comune motore di ricerca per "navigare" dentro le directory remote che contenevano i database con le informazioni sugli utenti (carta di credito compresa). Questo grazie ad un errore di configurazione delle macchine dei vendor, che consentivano agli spider dei motori di indicizzare anche file che dovevano rimanere segreti.

Sì è anche parlato tempo fa di sedicenti pirati che si sarebbero impadroniti di interi database contenenti numeri di carte di credito e che minacciarono di diffonderli se non avessero ricevono un "adeguato" compenso. Anche in Italia ci sono segnalazioni non ufficiali - e quindi da prendere assoultamente con le molle - di note aziende che hanno subito lo "scippo" dei dati in questione. Questa situazione offre lo spunto per ribadire un concetto essenziale della system-security: proteggere solo una parte del sistema equivale a non proteggerlo per niente. Ben vengano dunque i vari SSL o sistemi di "blindatura" delle transazioni, ma che siano affiancati da un adeguato livello di robustezza anche dalla parte di chi custodisce i dati. Il problema serio è che da un lato le aziende "credono" molto poco alla necessità di dotarsi di strumenti per la sicurezza informatica; dall'altro che molti operatori del settore non sono esattamente un modello di trasparenza e competenza. Senza certificazioni o riconoscimenti "sul campo", chiunque può improvvisarsi "esperto di sicurezza", magari avendo letto qualche libro o usando software "SATAN-like" che effettuano test automatici sulle macchine bersaglio.

Quel che è peggio, è che nessuno può "smascherare" gli improvvisatori. Bisogna in primo luogo evitare le soluzioni pacchettizzate. Le esigenze di sicurezza sono estramemente varie, in secondo luogo, preferire la formazione di risorse interne invece di delegare la gestione della sicurezza a terze parti. Così facendo, infatti, si evita di rimanere "ostaggi" di questo o quel fornitore senza avere alcun controllo su ciò che sta accadendo. Fare business - specie online - non significa soltanto realizzare web rutilanti e spuntare prezzi competitivi, ma anche offrire precise garanzie in termini di affidabilità e sicurezza. Tutt'ora, fra gli imprenditori, non sono molti quelli che possono dormire sonni tranquilli.

Commercio elettronico: la sicurezza Home

In ambiente telematico esistono varie possibilità di pagamento. La maggior parte delle transazioni business to business utilizza sistemi basati sul trasferimento elettronico attraverso i circuiti bancari e finanziari. Questi sistemi consistono di fatto in una riapplicazione in rete di strumenti tradizionalmente utilizzati nell'economia reale (bonifici bancari, sistemi basati su carte di credito o di debito). Per avvicinare l’e-commerce alle tradizionali caratteristiche del contante, sono nate soluzioni innovative, come la moneta circolante e il circolante digitale. Esse garantiscono l’anonimato dell'acquirente nella transazione, pagamenti in tempo reale e di qualsiasi importo, anche minimo, minori costi di transazione.

La moneta elettronica in sostanza è un valore finanziario convenzionale caricato sulla memoria del computer o su una smart card e al momento dell’acquisto il valore viene sottratto dal supporto digitale dell’acquirente e aggiunto a quello del venditore. Il borsellino elettronico in Italia è ancora in fase sperimentale, ma rende più sicuro ed efficiente l'impiego della moneta elettronica nelle transazioni B2C.

In realtà il borsellino elettronico è una particolare funzione della smart card. Le transazioni commerciali coperte dal borsellino elettronico, sono di solito di costo modesto e si possono effettuare all'interno di esercizi commerciali convenzionati con una o più reti bancarie, grazie a un codice segreto noto solo al titolare. Questo strumento può essere utilizzato vantaggiosamente da istituti di credito, esercenti e pubbliche amministrazioni, specie nel quadro di attività e servizi a livello locale: distributori automatici, parcheggi, trasporti, pagamento di imposte locali.

La guerra per far vincere la cybersicurezza

Il problema della sicurezza nel commercio elettronico non si ferma soltanto alla difesa dei codici delle carte di credito nel momento del pagamento on line. Sono tantissime infatti anche le intrusioni che avvengono nei sistemi informativi delle aziende connesse a Internet da parte di chi tenta di scoprire informazioni segrete e necessarie per eseguire le transazioni commerciali telematiche (per esempio codici di carte di credito).

Nel 1999 un gruppo di hacker poliziotti ha condotto un’analisi all’interno di 8mila aziende e i risultati sono stati allarmanti: non solo la metà era stata visita dagli hacker, ma addirittura nell’80% dei casi nessuno si era accorto dell’intrusione.

Nel nostro Paese la situazione non è troppo diversa e l’azienda che decide di investire sulla rete deve sapere bene che in questo campo, fare da sé non è né un risparmio né una garanzia. E’ infatti necessaria una doppia protezione: quella dei sistemi informativi aziendali e quella del contenuto delle trasmissioni. Il concetto di sicurezza nel caso di acquisti in rete con pagamenti on-line assume un significato molto più ampio rispetto a quello dato più tradizionalmente alla protezione del contenuto delle trasmissioni sulla rete. Se infatti si preferisce salvaguardare solo il contenuto delle informazioni, rendendo così veloce e gradevole il processo di vendita, si rischia però di non poter essere troppo certi dell’identità, né del venditore né dell’acquirente, con il conseguente pericolo di truffe da entrambe le parti.


Sistemi di sicurezza

Le specifiche della versione 3.0 del Secure Socket Layer protocol (SSL-v3.0) di Netscape Communication Corporation, un protocollo che garantisce la privacy delle comunicazioni su Internet; esso permette infatti alle applicazioni client/server di comunicare in modo da prevenire le intrusioni, le manomissioni e le falsificazioni dei messaggi. Il protocollo SSL provvede alla sicurezza del collegamento garantendo tre funzionalità fondamentali:
- Privacy del collegamento. La crittografia è usata dopo un handshake iniziale per definire una chiave segreta. Per crittografare i dati è usata la crittografia simmetrica (es. DES, RC4, etc.).
- Autenticazione. L'identità nelle connessioni può essere autenticata usando la crittografia asimmetrica, o a chiave pubblica (es. RSA, DSS, etc.). Così i clients sono sicuri di comunicare con il corretto server, prevenendo ogni interposizione. E' prevista la certificazione sia del server che del client.
- Affidabilità. Il livello di trasporto include un controllo dell'integrità del messaggio basato su un apposito MAC (Message Authentication Code) che utilizza funzioni hash sicure (es. SHA, MD5, etc.). In tal modo si verifica che i dati spediti tra client e server non siano stati alterati durante la trasmissione.

SSL è un protocollo aperto e non proprietario; è stato proposto da Netscape Communications come un possibile futuro approccio standard alla sicurezza per i browser WWW e per i server.

Lo scopo primario del SSL Protocol è fornire riserbo ed affidabilità alle comunicazioni. Il protocollo è composto da due strati: a livello più basso, interfacciato su di un protocollo di trasporto affidabile come il TCP, c'è il protocollo SSL Record. Questo è usato per l'incapsulamento dei vari protocolli di livello superiore. Sul protocollo SSL Record si interfaccia l'SSL Handshake Protocol che permette al server ed al client di autenticarsi a vicenda e di negoziare un algoritmo di crittografia e le relative chiavi prima che il livello applicazione trasmetta o riceva il suo primo byte. Un vantaggio del SSL è la sua indipendenza dal protocollo di applicazione: un protocollo di livello più alto può interfacciarsi sul protocollo SSL in modo trasparente.

Utilizzo dell'SSL

Per sfruttare la protezione offerta da SSL è necessario che un sito web disponga di un server in cui sia integrata la tecnologia SSL. Attualmente l'implementazione SSLref v3.0b1 della Netscape Communications, disponibile sul sito del produttore, è mulipiattaforma anche se sono differenziate le versioni per Windows 95/NT e per Solaris, in forma di pre-build file. Le versioni destinate alla vendita negli USA prevedono un più alto livello di sicurezza, mentre, a causa della legislazione USA in materia di export di algoritmi di crittografia, le versioni internazionali sono ristrette all'uso dell'algoritmo RC4 con chiavi di 40 bits, come implementato in Netscape Navigator.

Da ricerche in Internet dell'ultimo minuto risulta che il server Netscape Commerce Server supporta SSLv2.0, mentre il nuovo Netscape Enterprise integra SSLv3.0; la politica di diffusione voluta dalla stessa Netscape Communication Inc. rende disponibili questi e tutti gli altri prodotti software a studenti, università ed altre istituzioni non commerciali in modo free al sito della Netscape. Anche il client deve supportare SSL per poter stabilire una connessione sicura con un server SSL: Netscape Navigator lo supporta dalla versione 0.93. Per Unix e Windows 3.1/95/NT esiste la versione SSLLeay 0.6.0 che implementa SSLv2.0, free sia per uso privato che commerciale, disponibile in forma di pre-built DLL e di codice sorgente VisualC++ : include una implementazione di DES tra le più veloci, oltre agli algoritmi di crittografia più comuni, IDEA, RC4, RSA, e MD5.

Inoltre è disponibile Secure HTTP e SSL Toolkit commercializzato da Terisa. Web server sicuri di IBM sono distribuiti per le maggiori piattaforme. Con questi mezzi è possibile usare, per esempio, https, cioè http con SSL, e scambiare informazioni con un client per mezzo di https. Poichè http+SSL e http sono differenti protocolli ed usano porte diverse, lo stesso sistema server può far girare contemporaneamente sia il server http+SSL che quello http. Ciò significa che un server può offrire alcune informazioni a tutti gli utenti senza sicurezza, ed altre solo in modo sicuro: ad esempio un catalogo può essere "non sicuro" mentre gli ordini ed i pagamenti devono essere protetti. Ribadiamo che il browser può essere qualunque, purchè supporti il protocollo SSL e, quindi, il nuovo metodo di accesso URL https per connessioni con un server che usa SSL.

Https è il protocollo che si ottiene interfacciando http su SSL: si dovrà usare "https://" per gli URL http con SSL, mentre si continuerà ad usare "http://" per gli URL senza SSL. Per default una "security colorbar" appare in alto a destra in ogni finestra di Netscape Navigator: se la barra è grigia allora il documento che stiamo ricevendo non è "sicuro", mentre se la barra è blu, il documento corrente è sicuro, cioè trasferito in modo protetto dalla crittografia. Una icona all'angolo in basso a sinistra mostra la stessa situazione: se è visibile una chiave rotta su sfondo grigio allora la connessione non è sicura, mentre se la chiave è intera su sfondo blu la connessione è sicura.

Inoltre la voce "Document Information" nel menù "File" mostra una dialog box che contiene informazioni sullo stato della connessione: il livello di crittografia usato, che per adesso, in accordo alle leggi sull' export degli USA, è ristretto all'uso di chiavi di soli 40 bit con algoritmo RC4; l'identità del server, ricavata dal suo certificato.

Obiettivi dell'SSL

Gli scopi del Protocollo SSL v3.0, in ordine di priorità, sono:
- Sicurezza della crittografia. SSL stabilisce un collegamento sicuro tra due sistemi.
- Interoperabilità. Programmatori di diverse organizzazioni dovrebbero essere in grado di sviluppare applicazioni utilizzando SSL 3.0, scambiandosi parametri della crittografia senza necessità di conoscere il codice l'uno dell'altro.
- Ampliamento. SSL cerca di fornire una struttura dentro la quale i nuovi metodi di crittografia a chiave pubblica e non, possano essere incorporati se necessario. Questo fa sì che anche altri due aspetti importanti vengano soddisfatti: prevenire il bisogno di creare un nuovo protocollo ed evitare la necessità di implementare una nuova security library.
- Efficienza. Le operazioni di crittografia tendono a essere molto laboriose per la CPU, particolarmente le operazioni con le chiavi pubbliche. Per questa ragione l' SSL ha incorporato uno schema di session caching opzionale per ridurre il numero di collegamenti che hanno bisogno di essere stabiliti ex-novo. Particolare attenzione è stata posta nel ridurre l'attività sulla rete.

Come comportarsi in caso di furto

Si è cercato fin qui di incoraggiare e rassicurare il consumatore nell’uso della carta di credito per il commercio elettronico. Ma, quando un addebito non equivale ad un nostro acquisto (così come quando ci si accorge di aver perso la Carta di credito), cosa si deve fare? Innanzitutto non lasciarsi prendere dal panico, sennò non si combina nulla! Inoltre bisogna:

1 - Telefonare immediatamente al servizio clienti del gestore della Carta di credito. Bloccare immediatamente la carta e annotatarsi l'eventuale Numero di blocco comunicato dall'operatore;
2 - recarsi dai Carabinieri o alla Polizia per sporgere denuncia. La denuncia, oltre a contenere tutti i dati in possesso relativi alle operazioni incriminate (indicazione del sito Web o negozio in questione), dovrà far riferimento ad "Uso fraudolento della carta di credito" e NON al furto o smarrimento della carta di credito (sempre nel caso che la carta non sia stata effettivamente persa e/o smarrita);
3 - Preparare un fax da inviare al gestore della Carta di credito dove chiedere formalmente il rimborso delle cifre addebitate (indicando chiaramente la somma, il numero dell'operazione, gli estremi dell'estratto conto in questione) in quanto "non dovute" e corrispondenti "a operazioni mai effettuate". Allegare poi copia della carta d'identità e copia della denuncia presso l'Autorità di Pubblica Sicurezza. Se richiesto, inviare anche la fotocopia fronte retro della carta di credito tagliata in due parti. Spedire il fax all'ufficio del gestore che normalmente ha nome "Ufficio dispute titolari". Potrebbe essere richiesto infine l'invio per posta dei frammenti della Carta di credito;
4 - Il gestore dovrebbe provvedere nel giro di una o due settimane al riaccredito degli importi contestati. Rimane la facoltà di riaddebitarli se le indagini condotte dal gestore dovessero dimostrare che gli acquisti contestati sono stati effettuati dal titolare. E’ il gestore della carta che deve sostenere l'onere della prova, cioè dimostrare che gli acquisti sono stati fatti dal titolare, mentre non sta al titolare dimostrare di non aver effettuato gli acquisti contestati. ‘Fallendo l’onere della prova’, il gestore è tenuto al riaccredito delle somme contestate.

Fino al momento della notifica, il titolare è ritenuto responsabile dell’utilizzo della carta per un determinato massimale (non superiore ai 150 Euro). Nulla può essergli richiesto oltre a questo limite, stabilito direttamente dalla Comunità Europea. E’ chiaro che questa forma di tutela si applica laddove il titolare abbia comunque agito in buona fede e abbia custodito la carta con diligenza.

In conclusione, non bisogna diffidare così tanto dal commercio elettronico, che al contrario è una vera e propria comodità. Ad esempio, dal punto di vista economico, pagando con la carta di credito la transazione avviene effettivamente a fine mese, quindi si può ancora disporre di liquidità e relativi interessi per tutto il periodo rimanente alla fine del mese. Inoltre, l’acquisto on line permette di fare shopping comodamente da casa propria, e ricevere la merce imballata sempre a casa propria. Non bisogna inoltre dimenticare che molti prodotti costano meno su Internet che nei comuni negozi! E se poi uno non è convinto del proprio acquisto oppure teme di aver preso una fregatura non avendo potuto ‘tastare con mano’ il proprio acquisto, ci sono sempre leggi che tutelano il consumatore permettendogli di rimandare indietro ciò che non lo soddisfa! Quindi, speziamo una lancia a favore degli acquisti on line, non dimenticando però di usare la testa: non lasciamo il nostro numero di carta di credito a qualunque sito ce lo richieda, ma solo ai siti più fidati (o affidabili).