Il truffatore nella rete
Rischi e precauzioni negli acquisti via Internet.
Le notizie allarmistiche diffuse dalla stampa negli ultimi mesi hanno alimentato fra gli utenti i timori di utilizzare la carta di credito per effettuare acquisti via Internet. Il panico nasce nel momento in cui il fornitore chiede l’invio del numero di carta di credito: ma esiste veramente il rischio che quel numero sia rubato on-line?
In realtà l’acquisto di prodotti in rete con carta di credito non ha come rischio principale la fase di trasmissione dati: la pirateria informatica è un rischio esistente, ma riservato a pochi esperti hackers.
La maggior parte delle aziende (almeno quelle legali: se poi si tratta di un’azienda fantasma allora è tutta un’altra questione) utilizzano sistemi di crittografia, che garantiscono la trasmissione sicura dei dati. Il più usato è il protocollo SSL (Secure Socket Layer), che garantisce la cifratura dei dati trasmessi a garanzia della riservatezza di quanto inviato sul canale di comunicazione. Questo sistema è in grado di tutelare la riservatezza e l’integrità di una connessione, ma non la veridicità dei dati trasmessi: il fornitore potrebbe utilizzare in modo fraudolento i dati che gli sono stati inviati dal fiducioso cliente; allo stesso modo, il cliente potrebbe fornire dati non validi o addirittura rubati.
Per ovviare a questo problema è stato sviluppato il protocollo SET (Secure Electronic Transaction), meccanismo che garantisce non solo la riservatezza dei dati e la loro inalterabilità, ma anche l’autenticazione dell’identità degli attori coinvolti e la non ricusabilità di un dato, ossia l’impossibilità da parte di chi lo riceve di negarne la ricezione e da parte di chi lo trasmette di negarne l’invio.
E’ possibile riconoscere se il sito è protetto da uno di questi sistemi di sicurezza, se sulla schermata appare il lucchetto chiuso.
Il nodo problematico non riguarda quindi la trasmissione dei dati in rete, quanto la memorizzazione dei numeri di carta e le procedure di sicurezza per mantenerli registrati nelle banche dati da parte delle aziende; secondo una ricerca del Politecnico di Torino il 64% delle aziende italiane non protegge i propri sistemi informatici dagli attacchi esterni dei pirati informatici, rendendoli vulnerabili alla loro acquisizione illegale.
Se un pirata riesce a ‘bucare’ il sistema, ottiene l’elenco completo delle carte di credito, assieme ad altre informazioni utili sul titolare, come i suoi dati anagrafici; tramite tali dati potrà ottenere l’accesso ad uno dei tanti siti a pagamento che si trovano in rete, effettuare acquisti e così via.
Per evitare rischi, l’operazione più semplice per il truffatore sarà quella di scaricare, ad esempio, dal computer un software o musica in formato digitale: in questo caso sarà sufficiente dissimulare il proprio IP address ed impedire così l’identificazione dell’autore del reato.
Ciò è possibile attraverso i Remailer, un servizio che consente di inviare posta completamente anonima, nato per garantire l’anonimato agli utenti Internet ma molto utilizzato dagli hackers per scambiarsi informazioni anonime sulle tecniche di hacking.
Invece, quando si tratta di acquisti di beni fisici, l’operazione si complica, visto che almeno una fase, quella di spedizione del bene, avviene al di fuori del cyberspazio, con i normali rischi di essere identificati e catturati. Sicuramente nessuno è così ingenuo da fornire il proprio indirizzo di casa: lo stratagemma consiste nell’utilizzare i servizi di fermo-posta pubblici e privati esistenti. Se si considera poi che Internet dà la possibilità di costruirsi una nuova identità, il gioco è fatto. In rete infatti è possibile acquistare una nuova patente o un nuovo passaporto (in genere di Stati non più esistenti come l’URSS) per poche decine di dollari e trovare dei softwares in grado di generare il codice fiscale partendo da un nome falso. In Internet è possibile trovare anche dei programmi che contengono algoritmi matematici capaci di produrre numeri di carte di credito verosimili. Combinando queste due attività è possibile commettere frodi, in genere per importi poco rilevanti per non destare sospetti, anche per soggetti con scarse competenze tecniche.
Cosa si può fare per minimizzare questi rischi? Anzitutto usare il buon senso: evitare di acquistare da siti sconosciuti, controllare che si tratti di un negozio reale e non solo virtuale, verificare la presenza del lucchetto sulla schermata. Ma soprattutto controllare l’estratto conto e riportare tempestivamente eventuali addebiti fraudolenti.
Il termine è di 60 giorni dalla scoperta e la denuncia alla propria banca garantisce il blocco del pagamento e il rimborso da parte della società che ha emesso la carta di credito.
In ogni caso è molto più sicuro trasmettere i dati della propria carta di credito in un sito che utilizza uno dei sistemi crittografici sopra esposti, che non fornire gli stessi elementi ad un commerciante per telefono.
Internet, se utilizzata correttamente, offre un livello di sicurezza paragonabile e spesso maggiore di quello offerto dai canali tradizionali di vendita.