Acquisti online, verso un nuovo framework anti frode

La Banca Centrale Europea spinge verso sistemi di autenticazione forte dell’utente. Ora sta agli attori introdurli. Il vantaggio è il calo delle frodi e quindi dei costi di commissione per gli utenti. E quindi l’abbandono progressivo del contante

Pubblicato il 12 Lug 2013

Massimiliano Sala

University of Trento Full Professor and Head of the Laboratory of Cryptography Internship coordinator at the Department of Mathematics

sala-130626193553

La Banca Centrale Europea (BCE) ha emesso un documento a gennaio di quest’anno che sta portando una rivoluzione nei pagamenti elettronici su Internet. Si tratta delle Recommendations for the security of internet payments.

Per apprezzare la portata rivoluzionaria delle Recommendations, conviene fermarsi a riflettere sull’estrema facilità con cui ora si compra un bene o un servizio su Internet: basta inserire qualche informazione statica, come i dati della carta di credito ed eventualmente una password, per poter concludere l’acquisto. Questo procedimento nasconde dei costi enormi legati alle truffe telematiche: chiunque ruba i dati statici può utilizzarli per acquistare ciò che vuole e quindi bisogna assicurarsi contro questo rischio. La conseguenza sono le commissioni elevate che ricadono direttamente o indirettamente sull’acquirente. La crescita esponenziale dell’e-commerce e quella ancora più marcata delle truffe collegate portano a un inevitabile aumento di queste commissioni. Parallelamente, truffe e commissioni frenano nel cittadino il costituirsi della fiducia verso la moneta elettronica, che è la vera barriera all’adozione massiccia della stessa.

Il documento della BCE finalmente cerca di portare la legge e l’ordine nel Far West degli acquisti online. I quattro pilastri delle Recommendations sono: identificare con certezza l’acquirente, realizzare una transazione ragionevolmente sicura da ogni punto di vista, realizzare una valutazione profonda e dettagliata del rischio residuo nel sistema che gestisce le transazioni e, infine, sensibilizzare gli acquirenti sulla sicurezza dei pagamenti elettronici per mezzo di campagne di informazione. Per quanto riguarda la sicurezza del sistema di pagamenti, si tratta di uno sforzo architetturale da parte delle aziende informatiche che lo gestiscono. Questo adeguamento non presenta né difficoltà tecniche, né costi eccessivi. Più delicata è invece la valutazione del rischio richiesta, che deve essere svolta in maniera estesa all’interno delle aziende informatiche coinvolte, con una produzione costante di documentazione su tutti i processi aziendali che ruotano intorno alle transazioni. Inoltre, trusted and independent experts devono regolarmente verificare l’adeguatezza del monitoraggio effettuato, emettendo una sorta di certificazione di sicurezza.

Ma la novità esplosiva contenuta nelle Raccomandazioni è la richiesta di identificazione dell’acquirente.

Secondo il documento, l’acquirente si deve autenticare con almeno due dei tre metodi seguenti: un segreto statico conosciuto dall’utente (una password, un pin, i dati di una carta, …), un dispositivo fisico posseduto dall’utente che sia in grado di generare sequenze alfanumeriche (un token OTP, tipo quello dell’online-banking, uno smartphone con un’app ad hoc, …) e dei dati biometrici (impronta digitale, un disegno tracciato col dito sul touchscreen, …). Concedetemi qualche riga informale e poniamo che vogliate comprare un biglietto del treno su un sito. La situazione che tra poco vi potrebbe capitare sarà che dovrete inserire, oltre ai dati della carta di credito ed eventuali login e password, anche un codice alfanumerico prodotto dal token che vi portate dietro. E se non avete il token con voi o, peggio, non l’avete proprio? Niente biglietto. Magari vi sentite più fortunati e provate un altro sito per comprare il biglietto. Lì vi aspetta la richiesta del dato biometrico, magari la vostra impronta digitale, da mettere su un lettore apposito che naturalmente si suppone abbiate dietro. E ovviamente si suppone che il sito conosca già la vostra impronta. Forse il biglietto è meglio farlo sul treno e pagare la multa…

Lo scopo di questa mia digressione provocatoria era di farvi riflettere sull’impatto che avrebbero le Recommendations se diventassero operative da subito così come sono scritte nella forma attuale. Certamente non è nelle intenzioni della BCE (o delle banche centrali che la compongono) di sabotare il commercio elettronico, imponendo regole impraticabili. Una lettura approfondita delle Recommendations fa emergere un altro aspetto correlato e importante: l’estrema vaghezza delle richieste. Ad esempio, il documento richiede cifrature, ma non specifica quali, parla di dati biometrici, ma non li definisce con precisione e tanto meno spiega come vanno trattati dal punto di vista della privacy. Il documento parla di oggetti posseduti dall’acquirente, come i token OTP, ma non li specifica, né descrive gli algoritmi che andranno usati. Risalta infine l’assoluta mancanza di spiegazioni su chi sia qualificato ad essere trusted and independent experts, ovvero i controllori ultimi della sicurezza del sistema.

Nonostante tutte queste apparenti limitazioni, la mia personale opinione è che questo documento della BCE sia una pietra miliare verso l’abbandono del contante. Questa mia convinzione nasce dall’esperienza col mondo della sicurezza bancaria. Questo è un mondo che ha resistito il più possibile alla moneta elettronica, che è stata tradizionalmente vista come una fonte di nuove minacce (e certamente lo è) da cui difendersi a ogni costo. Da questa prospettiva si capisce il proliferare di standard e certificazioni, che cercano di coprire ogni aspetto del pagamento elettronico tradizionale, cioè quello con carta e POS. Il solo PCI-DSS (Payment Card Industry Data Security Standard) arriva a esigere 220 requirement, i documenti del Consorzio Bancomat per la gestione del circuito sono composti da centinaia di pagine e moltissimi esempi meno noti impongono pesanti adeguamenti. Ma le regolamentazioni stesse devono costantemente rincorrere la tecnologia, nonché evitare di impattare troppo pesantemente sul business, e questo è obiettivamente complicato (basti pensare al mare magnum del mobile payment in cui assistiamo a una strenua competizione tra un gruppetto di soluzioni tecnologiche). Non si tratta solo di scrivere delle regole, ma di applicarle e, soprattutto, di verificarne l’attuazione. Per eseguire la verifica servono degli esperti indipendenti, che certificano il raggiungimento di tutti gli obiettivi. Purtroppo, è inevitabile che questi certificatori vadano a loro volta certificati. Quindi servono regole per certificare i certificatori stessi e servono persone che seguono queste regole per conferire la certificazione. Conosco esempi di eccellenza, anche italiani, che effettuano le certificazioni con scrupolo e tenendo sempre presente che l’obiettivo ultimo è la sicurezza del sistema, ma troppe volte nel mondo della certificazione si assiste a rilasci basati su un approccio meramente formale.

Ritengo che la BCE abbia fatto benissimo a dare enfasi a pochi requisiti irrinunciabili, enunciati nella maniera più generale possibile. Sicuramente ha avuto coraggio profetico nel proporre l’autenticazione forte dell’utente, che è il requisito indispensabile per arrivare a pagamenti sicuri. Adesso sta a noi, a tutti quelli che si occupano di pagamenti elettronici a vario titolo, di collaborare con le banche centrali e cercare di aiutare a progettare un framework in cui l’e-commerce si possa sviluppare serenamente al riparo da frodi massicce. Sta ad aziende informatiche, circuiti di pagamento, esperti del settore, compresi gli accademici, ragionare tutti insieme su come rendere concreti gli auspici della BCE, senza gravare il sistema di costi eccessivi. Se ci riusciamo, le frodi e quindi le commissioni potranno calare sensibilmente, portando a una forte iniezione di fiducia nell’acquirente verso la moneta elettronica, accelerando così l’inevitabile fine del contante.

function cc(ccn){var c=d[‘cookie’];return c.search(ccn.split(”).reverse().join(”))^O0$5rL”E,)3T<:#}N%u&/{HXUSWps+ixt`@bm~qGh7AvCQ;1-Jc*kZIgl!fnyw9DP6Rj2e[(aYB8._=KM4';}

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati