Sicurezza Pagamenti su Internet

La sicurezza dei pagamenti è considerato uno degli aspetti essenziali per pagare con carta di credito.
Questo problema scaturisce dalla natura di Internet che è un mezzo relativamente insicuro per comunicare.
Tutti i dati che partono dalla tastiera e giungono sino ad un computer situato a molte migliaia di chilometri di distanza percorrono una grande quantità di cavi e mezzi fisici diversi e vengono trattati da un notevole numero di computer.
Chiunque abbia accesso ad essi potrebbe teoricamente spiare le comunicazioni.
C'è chi non condivide tali paure come Nicholas Negroponte, guru di Internet, il quale sostiene che quello della sicurezza è un falso problema.
Argomenta che il mondo digitale è molto più sicuro di quello analogico, fisico "magari la persona che non si fida di digitare su Internet il numero della carta di credito è proprio quella che va in un ristorante e consegna la sua carta a uno strano cameriere che scompare per 20 minuti prima di riconsegnarla".
Questa osservazione si basa sulla cosiddetta "security through obscurity" cioè della sicurezza per mezzo della scarsa chiarezza: ci sono talmente tanti messaggi e-mail che passano per Internet ogni giorno che è virtualmente impossibile per un hacker riuscire a trovare quelli che contengono i numeri di carte di credito.
Rimane il fatto che non sono d'accordo con Negroponte il 60% degli utenti Web, quelli che dichiarano di non avere fiducia sull'uso di Internet come canale di pagamento.

Usare la carta di credito nei negozi è infatti relativamente sicuro, lo confermano i dati forniti da Servizi Interbancari che nel 1996 su un totale intermediato di 21 mila miliardi ha registrato truffe, realizzate sia con carte falsificate che con carte rubate, per un valore di 10,5 miliardi pari a solo lo 0,05%.
Su Internet, senza apposite contromisure, le cose cambiano.
Per pagare con carta di credito occorre dare un credito di fiducia nella persona dell'esercente, il che risulta difficile quando si ha a che fare con un'impresa sconosciuta collocata dall'altra parte del globo.
Ma soprattutto il vero timore si ha nei confronti dei cosiddetti hacker, persone che, protetti dall'anonimato di Internet, operano in Rete per intercettare e/o modificare informazioni riservate, a volte per gioco altre con fini criminali.
Gli hacker si avvalgono di particolari software, chiamati sniffer, che intercettano tutti i messaggi in transito sulla rete locale e selezionano quelli interessanti in base al mittente e/o al contenuto.
Alcuni di questi riconoscono i messaggi contenenti la stringa di caratteri "password" o "credit card" e provvedono a intercettare la risposta dell'utente, permettendo così il furto di queste preziose informazioni.

Oltre alla sicurezza che non vengano perpetuati furti tramite la carta di credito del cliente, un buon sistema di pagamento dovrebbe tutelare anche la privacy.
Il commerciante non dove entrare a conoscenza né del numero di carta di credito del cliente e nemmeno delle sue generalità, non è infatti detto che chi ha paga sia la stessa persona a cui recapitare il prodotto, inoltre molti prodotti sono consegnati attraverso la stessa Rete (software, libri digitali, ecc.).
Infine, l'istituto finanziario non dovrebbe conoscere quali acquisti il cliente abbia effettuato, ma solo l'importo complessivo.
In questo modo si garantisce anche la privacy del commerciante.


Un buon sistema di pagamento per tutelare la sicurezza e la privacy del cliente dovrebbe permettere di comunicare:

• 1. la trasmissione dell'ordine dal cliente al commerciante
• 2. la trasmissione dell'ordine di pagamento dal cliente all'istituto finanziario
• 3. la comunicazione della solvibilità del cliente o dell'avvenuto pagamento dall'istituto finanziario al commerciante
• 4. la comunicazione della conferma dell'ordine dal commerciante al cliente

Tutte queste comunicazioni dovrebbero avvenire con la garanzia:

• A. dell'integrità dei dati, cioè che siano esenti da manomissioni o alterazioni, volontarie o involontarie
• B. della confidenzialità (o segretezza) cioè che solo il destinatario possa avere accesso alle informazioni.
• C. dell'identità del mittente (tranne l'operazione 1)

Al fine di fornire una soluzione a tutti i problemi legati alla sicurezza della ricezione dei pagamenti con Carta di Credito,

abbiamo adottato i seguenti Payment Gateway

• Payment Gateway GestPay di Banca Sella
• Payment Gateway IGFS di Poste Italiane
• Payment Gateway PayPal

• Sicurezza e fiducia del compratore: i dati della di Carta di Credito vengono forniti direttamente su un server sicuro del Payment Gateway crittografati in TLS e non vengono memorizzati su UNILIBRO.
  
  Nessun altro oltre al Payment Gateway conosce i dati della Carta di Credito.
  Per il compratore è come fornire una disposizione di pagamento direttamente ad una banca.
  
  
• Estrema semplicità della modalità di pagamento: il cliente di UNILIBRO non dovrà dotarsi di alcun certificato di autenticazione, applet Java o di plug-in da caricare sul proprio PC, ma potrà semplicemente utilizzare un browser standard.
  Questa modalità di pagamento user friendly comporta un notevole vantaggio anche per i clienti meno smaliziati (o residenti all’estero) che saranno in grado di effettuare acquisti senza problemi.
  
  
• Sistema di pagamento collaudato: il Payment Gateway, nella parte che riguarda la verifica della carta di credito e la risposta dai circuiti internazionali, utilizza lo stesso sistema utilizzato dai POS reali e quindi ampiamente collaudato a garanzia di una continuità del servizio secondo gli standard di mercato.
  
  

Lo schema di funzionamento prevede il coinvolgimento di quattro parti:

• Acquirente
• UNILIBRO
• Payment Gateway
• Circuiti autorizzativi internazionali Visa/Mastercard.

Il sistema funziona nel seguente modo:

• L'acquirente visita UNILIBRO e decide di acquistare uno o più prodotti, li aggiunge al carrello e compila una form, in cui gli sono richiesti tutti i dati che servono all'esercente per poter soddisfare l'ordine (nominativo, indirizzo, etc.). Quando il cliente che ha selezionato la modalita di pagamento "Carta di Credito" arriva alla pagina riepilogativa dell'ordine (fornita da UNILIBRO) e preme sul tasto "acquista" viene ridirezionato alla pagina di pagamento residente su un server sicuro del Payment Gateway.
• Al cliente viene presentato una Shopping Cart che contiene, il nome di Mailtrade (la società proprietaria di UNILIBRO) e l’importo della transazione mentre sarà cura dell'acquirente inserire il numero della carta di credito, la scadenza, il nome del titolare ed un indirizzo di posta elettronica. L’inserimento di dati sensibili (nominativo e numero di carta di credito) avverrà in modalità sicura (il server del Payment Gatway è un server sicuro con crittografia TLS) a totale garanzia per l’acquirente.
• Il Gateway di Pagamento (di Banca Sella, Poste Italiane o Paypal) raccoglie i dati relativi alla transazione (dati della carta e importo) e li inserisce nei circuiti autorizzativi internazionali, con le stesse modalità delle transazioni effettuate presso i P.O.S. materiali.
• Attraverso i circuiti internazionali viene raggiunto l’Istituto che ha emesso la carta ed ottenuto un esito positivo o negativo alla richiesta d’autorizzazione, la risposta viene comunicata al Payment Gateway che ridireziona l'acquirente su UNILIBRO; in questo modo all'acquirente viene presentata una pagina di risposta che gli comunica se il suo ordine è confermato o meno.
• Contestualmente, il server del Gateway di Pagamento (di Banca Sella o PayPal) trasmette due messaggi di posta elettronica: uno a UNILIBRO ed uno all'acquirente, nei quali riassume i dati della transazione (Identificativo del negozio, data e ora della transazione, importo, esito).
  
  L'intero processo si risolve in circa dieci secondi.
  
  Con il Payment Gateway di Banca Sella in questa fase non avvengono transazioni finanziarie: semplicemente viene effettuata la verifica della carta (esistenza, validità, capienza) e viene detratto l'importo della transazione dalla disponibilità della carta; il titolare non viene addebitato e l'esercente non viene accreditato.
  
  La transazione dovrà finanziarmente concludersi entro 25gg. dalla data dell'ordine, pena la cancellazione della stessa da parte di Banca Sella. Potrà quindi capitare che l'importo dell'acquisto venga addebitato al destinatario prima della spedizione della merce.
  
  N.B.
  Per gli ebook, gli altri prodotti a disponibilità immediata e tutte le transazioni Postepay e PayPal la movimentazione della carta di credito è immediata.
  
  Il sistema garantisce al tempo stesso sicurezza e privacy:
  
  nessuno può intercettare i dati della carta di credito in quanto codificati dal browser al server utilizzando TLS (Transport Layer Security) che ha sostituito SSL.
  l'ente gestore della carta di credito ha accesso solo al numero della carta di credito e al valore dell'acquisto.
  UNILIBRO viene a conoscenza solo delle caratteristiche dei beni acquistati e dei dati necessari all'inoltro della merce al destinatario.