Acquisti online, verso un nuovo framework anti frode

ECOMMERCE

La Banca Centrale Europea spinge verso sistemi di autenticazione forte dell'utente. Ora sta agli attori introdurli. Il vantaggio è il calo delle frodi e quindi dei costi di commissione per gli utenti. E quindi l'abbandono progressivo del contante

di Massimiliano Sala, Università di Trento

La Banca Centrale Europea (BCE) ha emesso un documento a gennaio di quest’anno che sta portando una rivoluzione nei pagamenti elettronici su Internet. Si tratta delle Recommendations for the security of internet payments. 

Per apprezzare la portata rivoluzionaria delle Recommendations, conviene fermarsi a riflettere sull’estrema facilità con cui ora si compra un bene o un servizio su Internet:  basta inserire qualche informazione statica, come i dati della carta di credito ed eventualmente una password, per poter concludere l’acquisto.  Questo procedimento nasconde dei costi enormi legati alle truffe telematiche: chiunque ruba i dati statici può utilizzarli per acquistare ciò che vuole e quindi bisogna assicurarsi contro questo rischio.   La conseguenza sono le commissioni elevate che ricadono direttamente o indirettamente sull’acquirente.  La crescita esponenziale dell’e-commerce e quella ancora più marcata delle truffe collegate portano a un inevitabile aumento di queste commissioni. Parallelamente, truffe e commissioni frenano nel cittadino il costituirsi della fiducia verso la moneta elettronica, che è la vera barriera all’adozione massiccia della stessa.

Il documento della BCE finalmente cerca di portare la legge e l’ordine nel Far West degli acquisti online.   I quattro pilastri delle Recommendations sono: identificare con certezza l’acquirente, realizzare una transazione ragionevolmente sicura da ogni punto di vista, realizzare una valutazione profonda e dettagliata del rischio residuo nel sistema che gestisce le transazioni e, infine, sensibilizzare gli acquirenti sulla sicurezza dei pagamenti elettronici per mezzo di campagne di informazione.  Per quanto riguarda la sicurezza del sistema di pagamenti, si tratta di uno sforzo architetturale da parte delle aziende informatiche che lo gestiscono.   Questo adeguamento non presenta né difficoltà tecniche, né costi eccessivi.  Più delicata è invece la valutazione del rischio richiesta, che deve essere svolta in maniera estesa all’interno delle aziende informatiche coinvolte, con una produzione costante di documentazione su tutti i processi aziendali che ruotano intorno alle transazioni.  Inoltre, trusted and independent experts devono regolarmente verificare l’adeguatezza del monitoraggio effettuato, emettendo una sorta di certificazione di sicurezza.  

Ma la novità esplosiva contenuta nelle Raccomandazioni è la richiesta di identificazione dell’acquirente. 

Secondo il documento, l’acquirente si deve autenticare con almeno due dei tre metodi seguenti:  un segreto statico conosciuto dall’utente (una password, un pin, i dati di una carta, …), un dispositivo fisico posseduto dall’utente che sia in grado di generare sequenze alfanumeriche (un token OTP, tipo quello dell’online-banking, uno smartphone con un’app ad hoc, …) e dei dati biometrici (impronta digitale, un disegno tracciato col dito sul touchscreen, …). Concedetemi qualche riga informale e poniamo che vogliate comprare un biglietto del treno su un sito. La situazione che tra poco vi potrebbe capitare sarà che dovrete inserire, oltre ai dati della carta di credito ed eventuali login e password, anche un codice alfanumerico prodotto dal token che vi portate dietro. E se non avete il token con voi o, peggio, non l’avete proprio? Niente biglietto. Magari vi sentite più fortunati e provate un altro sito per comprare il biglietto. Lì vi aspetta la richiesta del dato biometrico, magari la vostra impronta digitale, da mettere su un lettore apposito che naturalmente si suppone abbiate dietro. E ovviamente si suppone che il sito conosca già la vostra impronta. Forse il biglietto è meglio farlo sul treno e pagare la multa…

Lo scopo di questa mia digressione provocatoria era di farvi riflettere sull’impatto che avrebbero le Recommendations se diventassero operative da subito così come sono scritte nella forma attuale. Certamente non è nelle intenzioni della BCE (o delle banche centrali che la compongono) di sabotare il commercio elettronico, imponendo regole impraticabili. Una lettura approfondita delle Recommendations fa emergere un altro aspetto correlato e importante: l’estrema vaghezza delle richieste. Ad esempio, il documento richiede cifrature, ma non specifica quali, parla di dati biometrici, ma non li definisce con precisione e tanto meno spiega come vanno trattati dal punto di vista della privacy. Il documento parla di oggetti posseduti dall’acquirente, come i token OTP, ma non li specifica, né descrive gli algoritmi che andranno usati. Risalta infine l’assoluta mancanza di spiegazioni su chi sia qualificato ad essere trusted and independent experts, ovvero i controllori ultimi della sicurezza del sistema.

Nonostante tutte queste apparenti limitazioni, la mia personale opinione è che questo documento della BCE sia una pietra miliare verso l’abbandono del contante. Questa mia convinzione nasce dall’esperienza col mondo della sicurezza bancaria. Questo è un mondo che ha resistito il più possibile alla moneta elettronica, che è stata tradizionalmente vista come una fonte di nuove minacce (e certamente lo è) da cui difendersi a ogni costo. Da questa prospettiva si capisce il proliferare di standard e certificazioni, che cercano di coprire ogni aspetto del pagamento elettronico tradizionale, cioè quello con carta e POS. Il solo PCI-DSS (Payment Card Industry Data Security Standard) arriva a esigere 220 requirement, i documenti del Consorzio Bancomat per la gestione del circuito sono composti da centinaia di pagine e moltissimi esempi meno noti impongono pesanti adeguamenti. Ma le regolamentazioni stesse devono costantemente rincorrere la tecnologia, nonché evitare di impattare troppo pesantemente sul business, e questo è obiettivamente complicato (basti pensare al mare magnum del mobile payment in cui assistiamo a una strenua competizione tra un gruppetto di soluzioni tecnologiche). Non si tratta solo di scrivere delle regole, ma di applicarle e, soprattutto, di verificarne l’attuazione. Per eseguire la verifica servono degli esperti indipendenti, che certificano il raggiungimento di tutti gli obiettivi. Purtroppo, è inevitabile che questi certificatori vadano a loro volta certificati. Quindi servono regole per certificare i certificatori stessi e servono persone che seguono queste regole per conferire la certificazione. Conosco esempi di eccellenza, anche italiani, che effettuano le certificazioni con scrupolo e tenendo sempre presente che l’obiettivo ultimo è la sicurezza del sistema, ma troppe volte nel mondo della certificazione si assiste a rilasci basati su un approccio meramente formale.

Ritengo che la BCE abbia fatto benissimo a dare enfasi a pochi requisiti irrinunciabili, enunciati nella maniera più generale possibile. Sicuramente ha avuto coraggio profetico nel proporre l’autenticazione forte dell’utente, che è il requisito indispensabile per arrivare a pagamenti sicuri.   Adesso sta a noi, a tutti quelli che si occupano di pagamenti elettronici a vario titolo, di collaborare con le banche centrali e cercare di aiutare a progettare un framework in cui l’e-commerce si possa sviluppare serenamente al riparo da frodi massicce. Sta ad aziende informatiche, circuiti di pagamento, esperti del settore, compresi gli accademici, ragionare tutti insieme su come rendere concreti gli auspici della BCE, senza gravare il sistema di costi eccessivi. Se ci riusciamo, le frodi e quindi le commissioni potranno calare sensibilmente, portando a una forte iniezione di fiducia nell’acquirente verso la moneta elettronica, accelerando così l’inevitabile fine del contante.

12 Luglio 2013

TAG: sala, banca centrale europea, pagamenti elettronici