Quanto è sicuro il mobile commerce?

Cosa si può fare, quindi? Come abbiamo espresso più volte parlando di questi temi ed altri affini, la sicurezza è un processo e non un prodotto. Tenendo presente questo concetto, diventa fondamentale comprendere come a questo processo siano chiamati a partecipare da un lato i gestori dei servizi e delle infrastrutture abilitanti al commercio mobile, con particolare attenzione agli sviluppatori di app, mentre dall'altro lato vi sia l'utente finale.

Partiamo quindi dalle misure che i gestori dei servizi dovrebbero implementare con attenzione. In questo caso la sicurezza deve essere pensata come elemento fondante ai sistemi informativi (come peraltro richiesto dalle norme ISO/IEC 27001 o PCI-DSS), in altre parole è opportuno abbracciare il principio di "security by design": un'app deve essere costruita per essere sicura, e tutte le sue funzionalità devono ruotare attorno al rispetto di elevati standard di sicurezza. Costruire un'app senza pensare alla sicurezza, giustapponendovi solo in un secondo momento le adeguate funzionalità si rivela spesso controproducente. Importante è inoltre sottoporre le app ad una estensiva ed approfondita fase di verifica prima della distribuzione al pubblico.

Lato utente finale, invece, il discorso si sposta sulla prevenzione: le misure minime da adottare sono semplici e financo "ovvie", anche se vengono frequentemente disattese. Anzitutto un sistema di blocco del telefono, anche temporizzato, unitamente ad un'autenticazione per lo sblocco che sia adeguatamente complessa e sicura e che coinvolga più fattori (password, scan biometrico e via discorrendo). In secondo luogo operare un accorto uso delle varie funzionalità del dispositivo, disattivandole quando non necessarie. La puntuale installazione degli aggiornamenti periodici rilasciati dai produttori di hardware e di sistemi operativi. Una opportuna cautela nell'installazione delle app, con particolare attenzione alla loro origine. Infine l'impiego di un software antimalware mobile, che sono attualmente disponibili anche in forma gratuita se limitati all'uso personale.

Leggendo fin qui, a fronte della relativa ovvietà delle misure, peraltro non particolarmente onerose, adottabili da ambedue gli attori, potrà sorgere la spontanea domanda: "Ma perché non succede"? La risposta è riscontrabile nella mancanza di motivazioni ed incentivi. I gestori dei servizi, infatti, hanno un limitato interesse nell'investimento per la sicurezza dell'm-commerce in quanto nei casi di azioni dolose non sono essi le vittime principali (possono al massimo scontare le conseguenze di danni di immagine e similari) o, detto in altri termini, non ne fanno direttamente le spese. L'utente finale, invece, è purtroppo schiavo della solita pigrizia insita nell'indole umana: da un'analisi sulle abitudini e comportamenti degli utenti mobile, il 50% circa di essi non solo non attiva le funzioni di sicurezza del proprio dispositivo, ma addirittura si spinge a disattivare quelle pre-impostate, allo scopo di poterlo usare con maggior libertà e con minori costrizioni.

Tenendo comunque presenti i suggerimenti pratici espressi poco sopra, la strada da battere è quella della cultura sulla sicurezza informatica che deve avere l'obiettivo di diffondere la consapevolezza dei rischi tra tutti i soggetti coinvolti. Particolare attenzione, in tal senso, deve essere rivolta verso quegli utenti che hanno il diritto di non essere degli esperti di sicurezza informatica ma sono semplici utilizzatori.

Scrive Guasconi: "Un elemento attorno al quale potrebbe crearsi l’occasione favorevole per diffondere una corretta cultura sul tema potrebbe essere un “bollino” europeo riconosciuto da (e imposto a, in maniera incentivante piuttosto che penalizzante) tutti gli attori che sia largamente sponsorizzato nei suoi principi, ivi incluso il corretto comportamento degli utenti, da istituzioni e associazioni rilevanti . Qualche passo in questo senso è stato mosso in passato ma ancora molto vi è da fare, soprattutto per quanto riguarda la sicurezza delle informazioni, troppo spesso dimenticata a favore di altri aspetti più tangibili ma purtroppo meno rilevanti".

Recentemente sono stati compiuti piccoli passi che potrebbero portare qualche risvolto positivo sullo stato della sicurezza dell'm-commerce, specificatamente per la tutela dei pagamenti mobile e del mobile banking, entrambi che dipendono dalla sicurezza dei dispositivi e delle applicazioni. Il Garante per la protezione dei dati personali è intervenuto su questo argomento allo scopo di garantire il trattamento delle informazioni legate alle firme grafometriche effettuate con dispositivi mobile. Tuttavia in questi casi ci si è limitati a rivolgersi ai gestori dei servizi i quali sono stati messi dinnanzi a misure di carattere generico e si è fatto poco per sensibilizzare l'opinione pubblica e alimentare la cultura degli utenti.

Sicuramente la sempre massiccia diffusione dell'impiego di dispositivi mobili in svariati campi rappresenta uno stimolo ad accendere una maggiore attenzione in questo contesto e diffondere una sensibilizzazione nel cittadino, il quale auspicabilmente dovrebbe iniziare a comprendere che in una vita che si compone sempre più di elementi "virtuali e digitali", la sicurezza delle informazioni è una cosa che lo riguarda in prima persona e verso la quale si deve porre in modo proattivo, senza pensare che debba essere un argomento demandato o demandabile a terzi.