Guide: passo per passo

Condividi:        

Carte di credito online

Generale
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
1. Introduzione

Acquistare su Internet con la carta di credito? Ma sarà sicuro? Il mio numero di carta di credito diverrà di dominio pubblico?

Sono domande frequenti che si sentono al giorno d’oggi quando si parla di acquisti on line! Infatti il cliente comune è abbastanza sfiduciato, sentite le storie che girano: hacker che si sono impossessati di numeri di migliaia di carte di credito spendendo a loro piacere milioni e milioni, carte di credito clonate, gente che s’è vista arrivare da parte delle società di credito lettere con spese assurde e mai fatte certo, bisogna filtrare: non tutte queste notizie sono false, ma neanche tutte sono vere! Ad esempio, io, semplice navigatore che voglio comprare un libro o qualunque altro oggetto su Amazon (probabilmente il più grande e famoso supermercato virtuale di Internet), sono in realtà un incoscente?!? Certamente no, anche se il rischio non è nullo!

Ma cerchiamo di approfondire il discorso. E' vero, usare le carte di credito per acquistare online è pericoloso ma non perché i numeri sono intercettati durante le transazoni dai pirati "cattivi", ma perché le aziende che fanno commercio elettronico non sono adeguatamente sensibili al problema della sicurezza. In altre parole, i rischi maggiori non si corrono inviando i propri dati online, ma una volta che il merchant li ha memorizzati sui propri server. Già qualche tempo fa suscitò grande scalpore la possibilità di usare un comune motore di ricerca per "navigare" dentro le directory remote che contenevano i database con le informazioni sugli utenti (carta di credito compresa). Questo grazie ad un errore di configurazione delle macchine dei vendor, che consentivano agli spider dei motori di indicizzare anche file che dovevano rimanere segreti.

Sì è anche parlato tempo fa di sedicenti pirati che si sarebbero impadroniti di interi database contenenti numeri di carte di credito e che minacciarono di diffonderli se non avessero ricevono un "adeguato" compenso. Anche in Italia ci sono segnalazioni non ufficiali - e quindi da prendere assoultamente con le molle - di note aziende che hanno subito lo "scippo" dei dati in questione. Questa situazione offre lo spunto per ribadire un concetto essenziale della system-security: proteggere solo una parte del sistema equivale a non proteggerlo per niente. Ben vengano dunque i vari SSL o sistemi di "blindatura" delle transazioni, ma che siano affiancati da un adeguato livello di robustezza anche dalla parte di chi custodisce i dati. Il problema serio è che da un lato le aziende "credono" molto poco alla necessità di dotarsi di strumenti per la sicurezza informatica; dall'altro che molti operatori del settore non sono esattamente un modello di trasparenza e competenza. Senza certificazioni o riconoscimenti "sul campo", chiunque può improvvisarsi "esperto di sicurezza", magari avendo letto qualche libro o usando software "SATAN-like" che effettuano test automatici sulle macchine bersaglio.

Quel che è peggio, è che nessuno può "smascherare" gli improvvisatori. Bisogna in primo luogo evitare le soluzioni pacchettizzate. Le esigenze di sicurezza sono estramemente varie, in secondo luogo, preferire la formazione di risorse interne invece di delegare la gestione della sicurezza a terze parti. Così facendo, infatti, si evita di rimanere "ostaggi" di questo o quel fornitore senza avere alcun controllo su ciò che sta accadendo. Fare business - specie online - non significa soltanto realizzare web rutilanti e spuntare prezzi competitivi, ma anche offrire precise garanzie in termini di affidabilità e sicurezza. Tutt'ora, fra gli imprenditori, non sono molti quelli che possono dormire sonni tranquilli.


Generale: hydra [72.684 visite dal 20 Dicembre 04 @ 00:01 am]