Andrea Beggi

Why? I'm a runner. That's what we do.

Quanto è sicuro usare la carta di credito online?

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

“Ma tu ti fidi?” – “Sarà sicuro?” – “Come fai a sapere che la tua carta non verrà clonata?”.

Chiunque dichiari di acquistare beni e servizi online si è sentito rivolgere queste domande almeno una volta. Non esiste una risposta valida in ogni circostanza perché, e lo sentiamo ripetere spesso, la sicurezza non è un prodotto o una tecnologia, bensì un processo, un’attitudine, una serie di regole e comportamenti che dipendono anche dai fattori in gioco e dalle circostanze. In un acquisto online le cose più importanti sono l’affidabilità del venditore e la sicurezza della transazione.

Per quanto riguarda chi vende, le regole sono quelle del buon senso: i motori di ricerca, i forum e i social network ci possono aiutare a controllare la reputazione. E’ buona norma non fidarsi di commercianti sconosciuti, che non rispondano alle richieste di informazioni o siano evasivi. E’ bene che sul sito sia presente l’ubicazione degli uffici – da verificare per quanto possibile — e un recapito telefonico. magari i dati fiscali. I dati fiscali sono obbligatori e consentono ulteriori controlli.  Anche prezzi troppo bassi sono da guardare con sospetto: potrebbero nascondere un raggiro, merce difettosa, di seconda mano, di provenienza non legale o non in linea con le normative. In generale un risparmio di pochi euro non vale le possibili scocciature di un acquisto fatto alla leggera. Personalmente tendo a guardare con sospetto anche siti fatti male, con frequenti errori, troppo lenti e palesemente anonimi, sciatti e fatti con pacchetti preconfezionati: tutti indici di incuria. Se un’azienda non bada alla sua unica vetrina, figuriamoci che valore può dare alla soddisfazione del cliente. Insomma, un po’ di cautela e normali precauzioni per evitare brutte sorprese.

E fino a qui basta il buon senso, ma cosa bisogna sapere della parte più tecnica, dei sistemi che ci permettono di inserire i dati della carta di credito in un form ed essere ragionevolmente sicuri che nessuno se ne impossessi?

Una volta stabilito che possiamo fidarci del venditore, dobbiamo comunicare con il nostro interlocutore senza che nessuno ascolti o intercetti i dati. Senza scendere in tecnicismi, ci sono due possibili rischi da controllare in queste situazioni: gli attacchi detti “man in the middle” e “eavesdropping“. Bisogna essere certi che nessuno si frapponga fra noi e il venditore facendo finta di essere lui,  oppure semplicemente che “origli” la comunicazione rubando le informazioni.

Ci sono alcune tecnologie che sottendono alla sicurezza delle transazioni  e ci permettono  di essere ragionevolmente sicuri che il nostro interlocutore sia chi dichiara di essere e che il traffico tra il nostro browser e i suoi server sia criptato e al sicuro da malintenzionati. Questa “ragionevole sicurezza” si ottiene tramite l’utilizzo di alcune tecniche di criptazione dei dati che si basano su un certificato digitale rilasciato al venditore da un’ente autorizzato, detto “Certification Authority”.

Questo post mi è servito per introdurre l’argomento del prossimo, in cui cercherò di spiegare in modo semplice come fa il nostro browser ad essere “sicuro” che la comunicazione con il nostro interlocutore sia al riparo da malintenzionati e dare alcune semplici nozioni con le quali ciascuno potrà fare una personale valutazione dei rischi che si corrono utilizzando una connessione sicura per trasmettere dati “preziosi”.

(Gli argomenti trattati sono molto delicati, e sono qui affrontati in forma semplificata senza la pretesa di una esposizione rigorosa. C’è parecchia letteratura in proposito, ed è quella da considerare di riferimento.)

12 Commenti

ludo | #

Andrea, fatti salvi gli utili ed interessanti dettagli su metodi e algoritmi di criptazione, le carte possono essere clonate anche a chi ha una certa esperienza e sta piuttosto attento. A me ad esempio è successo.

La prevenzione migliore in questi casi è attivare in anticipo il servizio di notifica delle transazioni via email/sms: la notifica arriva prima che la transazione sia “macinata” ed entri nel flusso contabile, e permette quindi se si reagisce con un reclamo immediato e il blocco della carta, di avere procedure di rimborso molto più veloci e soprattutto di non rischiare l’imposizione di franchigie, o peggio la contestazione del reclamo.

Andrea | #

Hai ragione Ludo, ed è una considerazione che vale anche per gli acquisti offline. Visa mi manda un SMS per ogni spesa che superi i 50 euro. Magari ne accenno nel prossimo post.

Davide | #

so di alcune banche, per certo Intesa e Fineco, che mettono a disposizione una carta prepagata associata al conto.Come se fosse una postepay pero’ associata al conto.In questo modo è possibile passare soldi dal conto alla carta al costo di un euro e fare le proprie spese in tranquillità godendo dei vantaggi di una carta prepagata.La carta è fisica quindi è possibile anche fare acquisti in negozi.

Enzo | #

secondo me la soluzione migliore (o meglio quella meno pericolosa) è usare carte di credito virtuali “usa e getta” che , ormai, quasi tutti i circuiti di carte offrono. Non può essere clonata, la usa solo per una transazione, imponi il limite di utilizzo e… dormi tranquillo”…
Tra le altre cose: non dimentiachiamo il pericolo della conservazione dei dati della carta che sono pericolo tanto quanto (o forse di più…) dei vari rischi legati alle transazioni on-line.

baldo | #

alcune soluzioni super sicure:
– numero di carta di credito virtuale usa e getto
– carta con un plafond basso e configurabile di volta in volta

Paolo C | #

In attesa di leggere il secondo post, mi permetto di citare questa meravigliosa strip di dilbert sul tema: http://dilbert.com/strips/comic/1996-01-11/ .
Io uso la carta di credito quasi solo on line e solo su siti di chiara fama. Per ogni acquisto mi arriva un sms e un paio di volte il gestore delle carta mi ha pure chiamato per chiedermi se quell’acquisto l’avevo fatto proprio io.

PANTALONE | #

Secondo me l’s.m.s. alert dovrebbe arrivare per ogni operazione che movimenti il denaro sia con bancomat che con carta di credito sia per spesa che prelievo. Purtroppo non e’ cosi’e sembra che le banche non percepiscano il problema. Io proporrei addirittura di mandare un avviso da parte della banca per accertarsi se e’ l’utente che fa l’operazione o e’ un truffatore che si e’ intromesso. Purtroppo di impicci ne succedono troppi e la prudenza non e’ mai troppa. Io on line utilizzo la tasterina virtuale del Kaspersky per accedere ai siti e fornire dati. Speriamo bene e sempre un’occhiata al conto on line non fa mai male. Buona giornata a tutti Pantalone