morpheus3g
14-06-2004, 10:23
Ciao!
poco fa stavo pensando al problema della sicurezza delle carte di credito, del fatto che in Italia (ma anche in molti altri paesi) la gente non si fida ad utilizzarle su internet. Cosa che ha chiaramente limitato di molto l'e-commerce... non ho dati ufficiali ma il 99% delle persone che conosco non si fida ad usare la carta di credito e anche se vorrebbe comprare su internet alla fine non lo fa.
Le carte prepagate potrebbero essere una soluzione, eppure neanche quelle le ho viste cosi tanto utilizzate. Forse qui sul forum nel mercatino si ma bisogna considerare che la maggiorparte delle persone sono smanettoni (non a caso si chiama Hwupgrade forum :) ..
Allora ho pensato a un sistema di sicurezza che potrebbe essere facilmente applicato a tutte le carte di credito, semplice ed efficace; vi spiego come potrebbe funzionare..
Ogni acquisto su internet non viene autorizzato immediatamente ed automaticamente ma viene richiesta la conferma dell'acquirente stesso; mi spiego con un esempio pratico:
Io acquisto su internet un telefonino nuovo per 400€, inserisco i dati della carta di credito, numero e scadenza e confermo l'ordine.
Dopo pochi istanti mi arriva un email della banca o della società della carta di credito che mi informa che è stata richiesto un trasferimento di 400€ del negozio xxx con tutte le altre informazioni.
Ora per confermare clicco sul link nella mail che mi porta ad una pagina (possibilmente semplice per rendere le cose veloci e pratiche) dove inserisco la mia user-id e la password e da là posso visualizzare il trasferimento richiesto e confermarlo con un semplice click.
Se qualcuno entra in possesso dei dati della mia carta di credito tenterà di fare acquisti su internet (perchè per acquistare nella 'realtà' bisogna presentare la carta e comunque firmare e per utilizzarla nei pos o nei bancomat bisogna conoscere il pin)..
A me arriverà l'email che indicherà che è stato richiesto un trasferimento di xxx € dal negozio xxx con tutte le informazioni e ovviamente non autorizzerò il pagamento, ma anzi potrò contattare subito la società della carta di credito e avviare le procedure del caso (sostituzione della carta di credito e disabilitazione di quella vecchia).
Se l'email per qualche motivo non dovesse arrivare, oppure mi trovo in un internet cafe o da qualche parte per cui non posso accedervi, la stessa operazione di conferma del trasferimento è possibile andando direttamente sul sito web della società emittente della carta. L'email serve solo per comodità e per essere avvertiti quando qualche malintenzionato sta tentanto di usare la carta di credito.
Punti deboli: il sito per l'autorizzazione dei trasferimenti utilizzerebbe protocolli sicuri e un buon sistema di criptazione ma tuttavia, credo che ormai l'abbiamo imparato tutti, non esiste niente di sicuro al 100%, quindi potrebbe essere 'crakkato' anche quello. Tuttavia è sicuramente molto ma molto + remota la possibilità che un ladro di carte di credito riesca ad appropriarsi contemporaneamente del numero della carta, della società emittente e della user-id e pwd del proprietario. Inoltre a quel punto la responsabilità sarebbe della banca stessa il cui sistema di sicurezza ha fallito. Non dimentichiamo infine che il proprietario riceverebbe comunque l'email ed entro poche ore al massimo si accorgerebbe che è stato effettuato un trasferimento non autorizzato e potrebbe, nuovamente, contattare la banca.
Infine un accenno a una soluzione ancora più evoluta, piuttosto complessa ma che potrebbe interessare a chi pretende sicurezza assoluta. L'identificazione sul sito per autorizzare i trasferimenti potrebbe essere fatta con una chiave hardware (ad esempio una key usb) consegnata al cliente insieme alla carta di credito.
Fatemi sapere cosa ne pensate... :)
poco fa stavo pensando al problema della sicurezza delle carte di credito, del fatto che in Italia (ma anche in molti altri paesi) la gente non si fida ad utilizzarle su internet. Cosa che ha chiaramente limitato di molto l'e-commerce... non ho dati ufficiali ma il 99% delle persone che conosco non si fida ad usare la carta di credito e anche se vorrebbe comprare su internet alla fine non lo fa.
Le carte prepagate potrebbero essere una soluzione, eppure neanche quelle le ho viste cosi tanto utilizzate. Forse qui sul forum nel mercatino si ma bisogna considerare che la maggiorparte delle persone sono smanettoni (non a caso si chiama Hwupgrade forum :) ..
Allora ho pensato a un sistema di sicurezza che potrebbe essere facilmente applicato a tutte le carte di credito, semplice ed efficace; vi spiego come potrebbe funzionare..
Ogni acquisto su internet non viene autorizzato immediatamente ed automaticamente ma viene richiesta la conferma dell'acquirente stesso; mi spiego con un esempio pratico:
Io acquisto su internet un telefonino nuovo per 400€, inserisco i dati della carta di credito, numero e scadenza e confermo l'ordine.
Dopo pochi istanti mi arriva un email della banca o della società della carta di credito che mi informa che è stata richiesto un trasferimento di 400€ del negozio xxx con tutte le altre informazioni.
Ora per confermare clicco sul link nella mail che mi porta ad una pagina (possibilmente semplice per rendere le cose veloci e pratiche) dove inserisco la mia user-id e la password e da là posso visualizzare il trasferimento richiesto e confermarlo con un semplice click.
Se qualcuno entra in possesso dei dati della mia carta di credito tenterà di fare acquisti su internet (perchè per acquistare nella 'realtà' bisogna presentare la carta e comunque firmare e per utilizzarla nei pos o nei bancomat bisogna conoscere il pin)..
A me arriverà l'email che indicherà che è stato richiesto un trasferimento di xxx € dal negozio xxx con tutte le informazioni e ovviamente non autorizzerò il pagamento, ma anzi potrò contattare subito la società della carta di credito e avviare le procedure del caso (sostituzione della carta di credito e disabilitazione di quella vecchia).
Se l'email per qualche motivo non dovesse arrivare, oppure mi trovo in un internet cafe o da qualche parte per cui non posso accedervi, la stessa operazione di conferma del trasferimento è possibile andando direttamente sul sito web della società emittente della carta. L'email serve solo per comodità e per essere avvertiti quando qualche malintenzionato sta tentanto di usare la carta di credito.
Punti deboli: il sito per l'autorizzazione dei trasferimenti utilizzerebbe protocolli sicuri e un buon sistema di criptazione ma tuttavia, credo che ormai l'abbiamo imparato tutti, non esiste niente di sicuro al 100%, quindi potrebbe essere 'crakkato' anche quello. Tuttavia è sicuramente molto ma molto + remota la possibilità che un ladro di carte di credito riesca ad appropriarsi contemporaneamente del numero della carta, della società emittente e della user-id e pwd del proprietario. Inoltre a quel punto la responsabilità sarebbe della banca stessa il cui sistema di sicurezza ha fallito. Non dimentichiamo infine che il proprietario riceverebbe comunque l'email ed entro poche ore al massimo si accorgerebbe che è stato effettuato un trasferimento non autorizzato e potrebbe, nuovamente, contattare la banca.
Infine un accenno a una soluzione ancora più evoluta, piuttosto complessa ma che potrebbe interessare a chi pretende sicurezza assoluta. L'identificazione sul sito per autorizzare i trasferimenti potrebbe essere fatta con una chiave hardware (ad esempio una key usb) consegnata al cliente insieme alla carta di credito.
Fatemi sapere cosa ne pensate... :)