Internet e sicurezza – Carte di credito on line: cosa deve fare il merchant

di Andrea Monti – PC Professionale n. 108

I nodi cominciano a venire al pettine. E’ vero, usare le carte di credito per acquistare online è pericoloso ma non perché i numeri sono intercettati durante le transazoni dai pirati “cattivi”, ma perché le aziende che fanno commercio elettronico non sono adeguatamente sensibili al problema della sicurezza.


In altri termini, i rischi maggiori non si corrono inviando i propri dati online, ma una volta che il merchant li a memorizzati sui propri server. Già qualche tempo fa suscitò grande scalpore la possibilità di usare un comune motore di ricerca per “navigare” dentro le directory remote che contenevano i database con le informazioni sugli utenti (carta di credito compresa). Questo grazie ad un errore di configurazione delle macchine dei vendor, che consentivano agli spider dei motori di indicizzare anche file che dovevano rimanere segreti.

La notizia più recente parla invece di sedicenti pirati che si sarebbero impadroniti di interi database contenenti numeri di carte di credito e che ora minacciano di diffonderli se non ricevono un “adeguato” compenso. Anche in Italia ci sono segnalazioni non ufficiali – e quindi da prendere assoultamente con le molle – di note aziende che hanno subito lo “scippo” dei dati in questione.

Questa situazione offre lo spunto per ribadire un concetto essenziale della system-security: proteggere solo una parte del sistema equivale a non proteggerlo per niente. Ben vengano dunque i vari SSL o sistemi di “blindatura” delle transazioni, ma che siano affiancati da un adeguato livello di robustezza anche dalla parte di chi custodisce i dati.

Il problema serio è che da un lato le aziende “credono” molto poco alla necessità di dotarsi di strumenti per la sicurezza informatica; dall’altro che molti operatori del settore non sono esattamente un modello di trasparenza e competenza. Senza certificazioni o riconoscimenti “sul campo”, chiunque può improvvisarsi “esperto di sicurezza”, magari avendo letto qualche libro o usando software “SATAN-like” che effettuano test automatici sulle macchine bersaglio. Quel che è peggio, è che nessuno può “smascherare” gli improvvisatori.

Ma allora come si esce dall’impasse?

In primo luogo evitando le soluzioni pacchettizzate. Le esigenze di sicurezza sono estramemente varie, e il lavoro di un vero esperto è più simile a quello di un liutaio che a quello di un produttore industriale di violini “made in china”.

In secondo luogo, preferendo la formazione di risorse interne invece di delegare la gestione della sicurezza a terze parti. Così facendo, infatti, si evita di rimanere “ostaggi” di questo o quel fornitore senza avere alcun controllo su ciò che sta accadendo.
Sono perfettamente conscio del fatto che non è semplice mettere in pratica queste indicazioni, ma è anche vero che – come si dice dalle mie parti – non si possono fare le nozze con i fichi secchi.

Fare business – specie online – non significa soltanto realizzare web rutilanti e spuntare prezzi competitivi, ma anche offrire precise garanzie in termini di affidabilità e sicurezza. Tutt’ora, fra gli imprenditori, non sono molti quelli che possono dormire sonni tranquilli.

Possibly Related Posts: