Commercio elettronico e sicurezza

Uno dei principali problemi che la sfida del commercio elettronico si trova a dover affrontare è la sicurezza dei dati e l’affidabilità di un sito Web. Quanti di noi vagando qua e là su Internet si sono trovati di fronte ad un modulo di richiesta dati per scaricare la versione demo di un software? Credo quasi tutti.

Nella maggior parte dei casi non ci si pone nemmeno il problema di dover affidare dati personali al gestore del sito, né dell’eventualità che qualcun altro possa intercettare le nostre informazioni. Ma se dobbiamo acquistare qualcosa da un sito Web molto spesso ci vengono numerosi dubbi: e se qualcuno intercetta il numero della mia carta di credito? Dietro a questo sito non c’è l’azienda con cui credo di avere a che fare? E se l’azienda non esiste nemmeno? Dubbi che potrebbero far desistere il potenziale cliente dall’effettuare l’acquisto.

Ma anche da parte dell’azienda che propone la vendita di prodotti tramite il Web ci possono essere dubbi analoghi: se l’ordine non viene effettivamente da quel cliente? Immaginate che qualcuno per gioco ordini dei prodotti ad una azienda dando nominativo e indirizzo falso. Chi si assume il rischio delle spese di consegna e dell’eventuale rientro di quei prodotti?

Probabilmente questi dubbi costituiscono un freno al pieno affermarsi del commercio elettronico che, soprattutto in Italia, è lontano dal divenire una realtà anche per fattori culturali. Molti pensano che il commercio elettronico non sarà mai una realtà per la natura stessa della Rete, priva di un organismo centrale di controllo, in cui è facile camuffarsi e spacciarsi per altri. Ma se ci si pensa un attimo i dubbi del potenziale acquirente e del potenziale venditore non sono nuovi.

Le truffe ai danni sia dell’acquirente che del venditore esistono fin dall’invenzione del commercio. D’altronde i possibili rischi dell’affidare il numero della propria carta di credito ad un sito Web non sono molto diversi da quelli che si corrono consegnando la stessa carta di credito ad un cameriere in un ristorante oppure ordinando dei prodotti per corrispondenza.

A parte queste analogie, per l’affermazione del commercio elettronico è necessario dare una maggiore sicurezza e tranquillità sia all’acquirente che al venditore. A questo scopo, a fianco delle soluzioni tecnologiche avanzate già esistenti, sono anche necessarie soluzioni legislative innovative.

Tra le soluzioni tecnologiche per garantire la riservatezza dei dati trasmessi sul Web c’è l’uso dei cosiddetti canali sicuri. Alcuni siti o soltanto alcune pagine di un sito possono essere abilitati all’uso della trasmissione dei dati crittografati. Generalmente la tecnologia utilizzata è quella della crittografia a chiave asimmetrica, in base alla quale il sito ha una chiave privata e segreta e una chiave pubblica. Una chiave può essere considerata un meccanismo per la lettura e/o la scrittura di dati crittografati.

La chiave pubblica viene inviata automaticamente dal web server al browser che accede ad una pagina protetta e viene da quest’ultimo utilizzata per codificare i dati da inviare. Soltanto chi possiede la corrispondente chiave privata (cioè il sito) può decodificare i dati. Questo meccanismo garantisce un’elevata sicurezza nella trasmissione dei dati. Naturalmente l’utente non si accorge di nulla se non dell’eventuale avviso che il browser emette e dell’eventuale simbolo (è tipico il lucchetto o la chiave) che viene visualizzato quando è attivo un canale sicuro.

I canali sicuri garantiscono la riservatezza, cioè difficilmente qualcuno potrà decodificare i dati inviati al sito, ma non garantiscono l’autenticità di chi chiede i dati. Cioè chiunque potrebbe in teoria costruire un sito e spacciarsi per un’azienda o un ente sfruttandone la notorietà del nome. Come fare ad esser certi che il titolare del sito sia veramente quello indicato sulle sue pagine? A questo scopo esistono dei meccanismi che garantiscono l’identità di un sito o, più in generale, di un utente del Web.

Il tutto si basa sul concetto di certificato digitale e sull’esistenza di enti denominati Autorità di certificazione (Certificate Authorithies – CA). Un certificato digitale è costituito da un insieme di informazioni che legano i dati di identificazione di un individuo o di un’organizzazione ad una sua chiave pubblica. Se abbiamo accesso al certificato di una persona o di un’azienda abbiamo a disposizione anche la chiave pubblica per lo scambio sicuro di dati tramite Internet.

Si tratta quindi di un’evoluzione della tecnologia dei canali sicuri: un sito Web invia il proprio certificato digitale che garantisce una comunicazione a prova di intrusioni e mostra i propri dati di identificazione (nome, indirizzo, ecc.). Il certificato viene rilasciato da una CA che si fa in un certo senso garante dell’identità di un’azienda o di una persona e ha l’incarico di verificare l’effettiva esistenza di un’azienda e l’effettiva attività. Verisign, CyberTrust e Thawte sono alcune di queste organizzazioni.

In pratica, un’azienda che vuole certificare il proprio sito deve produrre la documentazione richiesta dalla CA scelta per poter dimostrare la propria identità. L’autorità di certificazione, una volta effettuate le opportune verifiche, provvede a rilasciare un certificato digitale utilizzabile per le connessioni sicure e legato ai dati di identificazione e all’indirizzo del sito Web.

In sostanza le autorità di certificazione hanno un ruolo analogo al notaio: provvedono all’autenticazione di un sito di fronte agli utenti del Web. Una domanda può sorgere spontanea: chi garantisce per le CA? Attualmente occorre basarsi sulla fiducia… D’altronde è nell’interesse della CA stessa fornire la massima affidabilità, poiché su di essa si basa la sua stessa esistenza. Per un riconoscimento formale restiamo in attesa di una regolamentazione legislativa adeguata.