3. I vari pagamenti elettronici
I sistemi di pagamento elettronici possono essere classificati come segue:
sistemi di pagamento tramite carta di credito:
la transazione avviene trasmettendo un numero di carta di credito al commerciante, utilizzando algoritmi crittografici per gestire riservatezza, integrità e non ripudio alla transazione;
assegni elettronici:
il cliente stipula una convenzione con l'istituto emittente ed emette quindi un assegno sottoscritto con firma digitale, che può così essere presentato alla banca per l'incasso;
borsellino elettronico:
si tratta di una carta prepagata e ricaricabile, dalla quale viene sottratta di volta in volta la somma spesa per effettuare una transizione;
e-cash (o moneta elettronica in senso stretto):
si tratta di un sistema tramite il quale una società emette crediti spendibili in rete, dietro pagamento della somma equivalente da parte dell'acquirente. Tale sistema presenta il vantaggio di garantire l'anonimato dei compratori e di consentire anche transazioni di modesto valore.
3.1 Pagamenti On-line vs Off-line
I pagamenti possono essere effettuati
on-line, coinvolgendo un server di autenticazione e autorizzazione
(tipicamente come parte del fornitore o dell'acquirente) in ogni pagamento,
oppure off-line, senza ricorrere ad una terza parte durante la
transazione tra compratore e venditore.
L'ovvio problema con i pagamenti off-line è come far sì che il compratore non
spenda più denaro di quello che attualmente possiede. Dunque, i sistemi di
pagamento off-line che vogliano prevenire doppie spese (che non siano
cioè solo in grado di accorgersi della doppia spesa una volta che questa è già
avvenuta) richiedono hardware anti-intrusione (smartcard, per esempio) presso il
compratore. Spesso tale tipo di hardware è sfruttato anche dal venditore, con
l'utilizzo, per esempio, di moduli di sicurezza presso i terminali presenti
presso i punti vendita (o Point Of Sale,
POS).
I sistemi on-line richiedono, senza dubbio, un maggiore scambio di informazioni, ma non necessariamente uno specifico hardware anti-intrusione né presso il compratore né presso il venditore. La maggioranza dei sistemi di pagamento su Internet è di tipo on-line.
Inoltre, la necessità di avere un lettore di smartcard montato sul PC o sulla workstation del compratore costituisce un ostacolo tecnico non trascurabile. L'utilizzo di economici lettori di smartcard di tipo PCMCIA e interfacce standard ad infrarossi su computer portatili costituirà una valida soluzione.
Per garantire la sicurezza del fornitore molti sistemi di pagamento off-line richiedono la presenza, sul dispositivo del compratore, di componenti hardware resistenti ad intrusioni.
È comunque anche nell'interesse del compratore avere un dispositivo sicuro di cui potersi fidare. Una prima possibilità è quella offerta da una smartcard, ma successivamente si potrà pensare di utilizzare un dispositivo intelligente dotato di tastiera e display propri, capace di accettare PIN e semplici comandi: si parla in questo caso di borsellino elettronico (electronic wallet).
Senza tali tipi di dispositivi, i segreti del compratore, come denaro e chiave, sono vulnerabili agli attacchi di chiunque acceda alla macchina del compratore. Questo è sicuramente un problema in ambienti multi-utente, ma anche macchine per singolo utente possono essere accessibili, direttamente o indirettamente, da altri, come nel caso di virus capaci di "rubare" PIN e password al momento del loro inserimento.
3.3 Sicurezza delle transazioni
La sicurezza delle transazioni può essere assicurata in maniera differente a seconda che si proteggano le comunicazioni utilizzate per la transazione, indipendentemente dalla sua tipologia, oppure si utilizzino tecniche specifiche per ciascuna tipologia di transazione. Nel primo caso si parla di sicurezza delle transazioni, nel secondo di sicurezza delle applicazioni.
Gli esempi più noto di sistemi di sicurezza è il Secure Socket Layer (SSL), per la protezione delle comunicazioni, ed il Secure Electronic Transaction (SET) per la sicurezza dei pagamenti tramite carta di credito.