Transazioni online e criminalità informatica

di Marcella Uricchio

scritto il

Il commercio elettronico in Italia e in Europa e i principali rischi di attacchi informatici

Le transazioni commerciali si articolano, nella loro accezione più generale, in tre fasi: l’offerta di un bene o di un servizio, l’autenticazione dei contraenti (venditore ed acquirente), il pagamento e la consegna.

Lo stesso discorso vale per il commercio elettronico dove, però, il bene o il servizio vengono presentati attraverso immagini su pagine Web, l’autenticazione ed il pagamento avvengono su piattaforme virtuali e la consegna del bene può essere effettuata, in base alla sua natura, in maniera diretta, on line (nel caso di acquisto di beni digtali o di servizi) o tramite i normali canali di spedizione.

Agli albori della diffusione di tale strumento, con la locuzione “commercio elettronico” si indicava il supporto alle transazioni commerciali in forma elettronica, generalmente ricorrendo a una tecnologia denominata Electronic Data Interchange, EDI, introdotta alla fine degli anni settanta, per inviare documenti commerciali come ordini d’acquisto o fatture in formato elettronico. In seguito vennero aggiunte delle funzioni denominate “e-commerce”, ovvero l’acquisto di beni e servizi attraverso il World Wide Web ricorrendo a server sicuri (caratterizzati dall’indirizzo HTTPS, un apposito protocollo che crittografa i dati sensibili dei clienti contenuti nell’ordine di acquisto allo scopo di tutelare il consumatore), con servizi di pagamento on-line, come le autorizzazioni per il pagamento con carta di credito.

Attualmente, il commercio elettronico può essere diviso in due categorie principali: il business to business, che abbraccia ogni genere di transazione effettuata tra un’impresa ed altre organizzazioni (partner commerciali, fornitori, clienti o istituzioni) e il business to consumer, che riguarda tutte le transazioni commerciali di beni e servizi tra imprese e consumatori finali.

A queste categorie se ne potrebbero aggiungere altre due, con una minor importanza a livello globale: il person to person, ovvero le transazioni on line effettuate tra privati con la mediazione di un terzo soggetto e il public administration to citizens/business, concernente tutti i rapporti che sussistono tra Pubblica Amministrazione, cittadini ed imprese.

Quanto al panorama legislativo che regola il commercio elettronico, il quadro è alquanto disomogeneo, poiché il legislatore, lungi dal creare un testo unitario, è intervenuto di volta in volta con disposizioni relative ad aree che richiedevano un intervento urgente, creando molto spesso non pochi problemi interpretativi.

Le problematiche maggiori sono dovute al fatto che spesso le parti contraenti appartengono a diverse nazionalità, ponendosi quindi il problema di quale legge applicare in caso di controversie.

A parziale risoluzione di tale quesito è intervenuto il legislatore europeo, con l’emanazione della direttiva 2000/31/CE, che si è proposta di creare regole uniformi per il commercio elettronico, anche in considerazione della suddetta incertezza esistente in molti Stati membri circa le regole da applicare a tale forma di commercio e delle divergenze esistenti tra le varie legislazioni nazionali. In particolare, la direttiva ha fornito indicazioni comuni relativamente alle regole da applicare alla prestazione di servizi delle società dell’informazione e dunque a tutte le transazioni in linea, in cui le negoziazioni e la conclusione degli accordi avvengono senza la presenza fisica dei contraenti.

A distanza di quasi tre anni dalla pubblicazione della direttiva, il nostro legislatore ha emanato, in recepimento della stessa, il D.Lgs. n. 70 del 9 aprile 2003, composto di 22 articoli in cui, riprendendo essenzialmente il disposto comunitario, si disciplina la libertà di svolgere attività commerciali on-line in assenza di autorizzazione preventiva e la tutela degli utenti (informazioni generali obbligatorie ed obblighi di informazione per la comunicazione commerciale).

L’intervento legislativo più recente relativo al commercio elettronico è costituito dalla c.d. “Legge Bersani”, in cui l’e-commerce non trova un suo spazio specifico e viene relegato semplicemente ad una tra le “forme speciali di vendita al dettaglio” e, più precisamente alla “vendita per corrispondenza o tramite televisione o altri sistemi di comunicazione”.

Altra problematica che accompagna da sempre questa forma di commercio riguarda le fasi di autenticazione e trasferimento, che negli anni hanno comportato la necessità di sviluppare nuove tecnologie in grado di garantirne un’efficacia sempre maggiore.

Uno dei rischi che si corrono in campo di autenticazione è che si interponga, tra i soggetti impegnati nella transazione, un terzo in grado di poter deviare le comunicazioni e carpire dati come password o numeri di carte di credito, tramite programmi denominati sniffer (dall’inglese, to sniff , che significa “annusare, fiutare”).

Per ovviare a tali inconvenienti, sono stati elaborati diversi strumenti, quali gli enti di certificazione, i c.d. infomediari e i sistemi di crittografia.

Nel 1996 è stato sviluppato da Visa e Master Card un sistema di sicurezza denominato SET (Secure Electronic Transation), un processo di autenticazione che comporta una serie di controlli di sicurezza eseguiti tramite certificati digitali emessi a favore di clienti, banche e società finanziarie.

SET consta di quattro componenti base: un borsellino elettronico (electronic wallet) per il titolare della carta, un merchant server, per elaborare le fasi di autenticazione e autorizzazione alla transazione, un gateway, utilizzato per i pagamenti gestito da un istituto di credito e un’autorità di certificazione, che emette e verifica i certificati digitali.