|
|
Il successo del commercio elettronico
è strettamente collegabile alla percezione
di sicurezza del consumatore finale.
Sono ancora molti gli utenti che non si fidano ad
acquistare sulla Rete, in quanto scarsa è
la loro fiducia sul mezzo di pagamento della carta
di credito.
Questo indubitabile dato di fatto ha spinto i principali
network bancari e non a cercare sistemi sempre più
sicuri in grado di rassicurare gli utenti finali.
La diffidenza su Internet è rappresentata
dal fatto che gli utenti hanno difficoltà
a riconoscersi e temano che estranei possano intercettare
i dati e le comunicazioni scambiate sulla Rete,
carpendone o alterandone il contenuto.
Per rispondere adeguatamente a queste preoccupazioni
un sistema di pagamento per considerarsi sicuro
deve garantire:
• riservatezza: i dati sensibili,
devono essere cifrati per impedire agli estranei
di impossessarsene;
• integritità: i dati
scambiati tra le parti non debbano essere modificati
o alterati;
• autenticazione: le parti
debbono riconoscersi; il Merchant deve sapere che
chi acquista è davvero il legittimo titolare
della carta di credito e viceversa.
I primi due aspetti vengono garantiti adottando
un certificato SSL3 a 128 bit che cifra i dati sensibili
scambiati tra le parti, rendendo i dati illeggibili
a terzi. Il sistema di pagamento di Banca Monte dei Paschi di Siena,
prevede che il Consorzio Triveneto utilizzi un certificato
rilasciato da Verisign, la massima autorità
di certificazione a livello mondiale. La presenza
del certificato è verificabile dall’utente
visualizzando il simbolo del lucchetto sulla parte
destra del monitor; ciccando su tale simbolo si
risale a chi ha rilasciato il certificato.
L’autenticazione è invece un processo
che è possibile attivare soltanto mediante
uno specifico protocollo. Infatti questo processo
non va confuso con l’utilizzo dei codici di
controllo CVV2 CVC2 che sono i codici che si trovano
nelle carte Visa e MastreCard sul retro delle stesse.
L’utilizzo di questi codici consentono di
verificare soltanto che l’acquirente è
in possesso della carta e non di autenticare il
titolare. Per questo motivo Visa e Mastercard hanno
dato vita al 3D Secure, il protocollo che consente
di gestisce l’autenticazione. I marchi Verified
by Visa e Secure Code, identificano il prodotto
rispettivamente per Visa e Mastercard. Il protocollo
prevede che al momento del pagamento il titolare
della carta di credito inserisca una password personale.
In questo modo la Banca del titolare è in
grado di identificare compiutamente il titolare
e autorizzare il pagamento.
Sulla base delle regole stabilite dai circuiti internazionali
Visa e MasterCard l’esercente che aderisce
al protocollo 3D Secure è sollevato dai rischi
per uso fraudolento delle carte di credito: se il
titolare dovesse disconoscere un pagamento effettuato
su Internet, all’Esercente è garantito
il pagamento e la responsabilità della transazione
passa dall’Esercente alla società che
ha emesso la carta di credito. Si parla in questo
caso di liability shift per identificare il processo
che sposta le responsabilità.
Specifiche per Visa
La garanzia al pagamento all’Esercente
vale quando
• tutti gli attori ( Esercente e società
che ha emesso la carta, titolare) aderiscono al
sistema e l'autenticazione del titolare si è
completata con successo: il titolare ha inserito
la password corretta.
• l'Esercente aderisce al sistema e ha tentato
di autenticare il titolare e tuttavia il processo
non si è concluso perché la società
emittente o il titolare non hanno aderito.
La garanzia al pagamento all’Esercente
NON vale quando
• il cliente non naviga in Internet con il
browser ma con un device, ad esempio un mobile;
• il pagamento è effettuato con carte
di credito aziendali extraeuropee;
• il pagamento è effettuato con carte
anonime prepagate;
• se è verificato un problema tecnico
legato alla Rete Internet e il sistema è
andato in time out.
In tutti questi casi poiché l'autenticazione
è impossibile l'operazione non può
essere grantita.
Specifiche per Mastercard
La garanzia al pagamento all’Esercente vale
quando
• tutti gli attori ( Esercente e società
che ha emesso la carta, titolare) aderiscono al
sistema e l'autenticazione del titolare si è
completata con successo: il titolare ha inserito
la password corretta.
• l'Esercente aderisce al sistema e ha tentato
di autenticare il titolare e tuttavia il processo
non si è concluso perché la società
emittente o il titolare non hanno aderito.
La garanzia al pagamento all’Esercente
NON vale quando
• se è verificato un problema tecnico
legato alla Rete Internet e il sistema è
andato in time out.
Finestra Chargeback
Il Verified by Visa e Secure Code come abbiamo visto
attivano una garanzia a protezione delle transazioni
contro l’uso fraudolento delle carte pur con
le limitazioni stabilite dai medesimi circuiti.
Tale protezione se scongiura i riflessi finanziari
a scapito dell’Esercente, tuttavia non evita
le segnalazioni ai Programmi per il monitoraggio
delle frodi stabiliti dai circuiti internazionali
a tutela del sistema e dei circuiti stessi. Questi
Programmi, infatti, prevedono la segnalazione dell’operazione
risultata fraudolenta, stabilendo pure le soglie
di attenzione, fissate in ragione del numero di
transazioni e del relativo fatturato, oltre le quali
scatta la cosiddetta finestra chargeback, cioè
un periodo durante il quale tutte le transazioni
contestate sono addebitate all’Esercente,
indipendentemente dalla presenza o meno di garanzie
Verified by Visa o Secure Code. L’obbiettivo
di questi Programmi è mettere sotto osservazione
l’Esercente ritenuto particolarmente rischioso,
ma anche e soprattutto quello di cercare assieme
all’acquirer sistemi e modelli operativi più
efficaci contro le frodi, questo nell’interesse
del sistema, in generale, e delle società
emittenti in particolare.
Naturalmente, mentre è relativamente facile
adottare precauzioni e modelli operativi efficaci
contro le frodi per i Pos fisici (richiesta del
documento di identità al titolare, utilizzo
di un apposita lampada UV), è molto più
complesso farlo per i Pos virtuali.
Qui entra in gioco la competenza del Merchant ma
anche della Banca acquirer, entrambi chiamati a
gestire particolari sistemi di risk management.
MODALITA' SSL
Il protocollo SSL è la modalità base
di ogni sistema di pagamento e-commerce
sicuro oggi sul mercato.
Tale protocollo prevede che i dati della carta di
credito inseriti dall’utente
viaggino cifrati dal suo computer fino al Payment
Gateway, in modo che
nessuno sia in grado di intercettare e riutilizzare
queste informazioni.
Per creare questo canale cifrato, il Consorzio Triveneto
S.p.A. si avvale di un
certificato SSL3 a 128 bit rilasciato da Verisign,
la massima entità di
certificazione a livello mondiale. La presenza del
certificato permette all’utente
di verificare in ogni momento, semplicemente cliccando
sul simbolo del
lucchetto in basso a destra, che la pagina di pagamento
HPP sia effettivamente
presentata dal Consorzio Triveneto S.p.A..
Inoltre, il Payment Gateway prevede che il messaggio
di inizializzazione del
pagamento avvenga direttamente tra il Merchant e
il Payment Gateway, senza
usare il browser del CardHolder come intermediario.
Pertanto, i dati inviati dal
Merchant (tra cui l’importo della transazione)
non possono essere modificati
dal Cardholder in alcun modo.
Riassumendo, il protocollo SSL implementato dal
Payment Gateway soddisfa i
seguenti requisiti di sicurezza:
· RISERVATEZZA: i dati della
carta di credito, digitati direttamente sulla
form del Payment Gateway, viaggiano cifrati
· INTEGRITA’: il CardHolder
non può modificare i dati in transito
· AUTENTICITA’: viene
garantita l’autenticità del server
dei pagamenti, sul
quale il CardHolder inserisce i dati della carta
3-D Secure
3-D Secure, conosciuto commercialmente col nome
“Verified by Visa” o
“VbV”, è un protocollo sicuro
sviluppato da Visa per le transazioni di ecommerce
effettuate con carte Visa su siti di Merchant convenzionati.
Il mezzo utilizzato da 3-D Secure per ridurre le
frodi e rendere così sicuro l’ecommerce
è l’autenticazione del Cardholder durante
la transazione.
L’autenticazione è quel processo che
permette alla banca, che ha emesso una
carta di credito, di verificare che chi stà
effettuando l’acquisto con la carta è
il
legittimo proprietario della stessa.
3-D Secure aggiunge delle ulteriori fasi per il
completamento della transazione,
come viene spiegato nel seguito, ma non vi è
necessità di installare alcun
software sul device del Cardholder, mentre dal lato
Merchant è la HPP del
Consorzio Triveneto S.p.A. che gestisce l’intero
processo.
Il meccanismo di autenticazione si aggiunge alla
presenza del protocollo SSL,
comunque presente, per cui i requisiti di sicurezza
soddisfatti sono:
· RISERVATEZZA: i dati della
carta di credito, digitati direttamente sulla
form del Payment Gateway, viaggiano cifrati
· INTEGRITA’: il CardHolder
non può modificare i dati in transito
· AUTENTICAZIONE MERCHANT:
l’identità viene verificata su un server
centrale Visa che viene contattato ad ogni transazione,
e sul quale il
Merchant è stato censito in fase di attivazione
del servizio
· AUTENTICAZIONE CARDHOLDER:
l’identità viene accertata mediante
inserimento della password associata alla carta
di credito
SecureCode
Anche MasterCard ha aderito all’utilizzo del
protocollo 3-D Secure per gli
acquisti sicuri in Internet. Il nome del prodotto
nella versione MasterCard è
“SecureCode” e copre le transazioni
e-commerce effettuate con carte
MasterCard su siti di Merchant convenzionati.
Dal punto di vista tecnico, quindi, una transazione
SecureCode si svolge con
modalità identiche a quelle 3-D Secure, e
i requisiti di sicurezza soddisfatti
sono gli stessi del caso precedente:
· RISERVATEZZA: i dati della
carta di credito, digitati direttamente sulla
form del Payment Gateway, viaggiano cifrati
· INTEGRITA’: il CardHolder
non può modificare i dati in transito
· AUTENTICAZIONE MERCHANT:
l’identità viene verificata su un server
centrale Visa che viene contattato ad ogni transazione,
e sul quale il
Merchant è stato censito in fase di attivazione
del servizio
· AUTENTICAZIONE CARDHOLDER:
l’identità viene accertata mediante
inserimento della password associata alla carta
di credito
|
|
|
METALSPORT DIFFUSION S.R.L.
V.le Certosa, 294
20156 Milano
Tel. ++39 - 0238007468 / 0238002954
Fax: ++39 0238002954
P. Iva 08943200157
E-mail: info@metalsport.it
Orario uffici: da lunedì a venerdì 9.00 –
12.30 / 14.00 – 18.30 |
 |
 |
|
