Realizzare un e-commerce sicuro per l'azienda e gli utenti

Una delle problematiche più sentite nel mondo dell'e-commerce è indubbiamente la sicurezza nelle modalità di pagamento. Le modalità di pagamento più diffuse sono il bonifico bancario, il contrassegno, il pagamento con la carta di credito, e con sistema Paypal. I sistemi con carta di credito e Paypal sono sicuramente più interessati dal problema sicurezza.
Inizialmente, nei primi e-commerce, il trasferimento delle informazioni e dei dati personali tra venditore e cliente avveniva in chiaro, generando un enorme problema per la sicurezza.
I dati trasferiti erano suscettibili di intercettazione e utilizzo da terzi per operazioni al di fuori della pratica commerciale in atto. Oggi, questa pratica di trasferimento dei dati è stata abbandonata, a favore di pratiche più sicure che garantiscano una maggiore riservatezza delle informazioni personali e che quindi assicurano una transazione a prova di hacker. Gran parte dei siti di e-commerce che realiziamo utilizzano livelli di crittografia elevati come Transport Layer Security (SSL/TLS). L'abbinamento di questo protocollo al normale HTTP permette di ottenere un nuovo protocollo: l'HTTPS. Questi garantisce l'invio delle informazioni personali sottoforma di pacchetti criptati. In questo modo, la trasmissione delle informazioni avviene in maniera sicura, prevenendo intrusioni, manomissioni e falsificazioni dei messaggi da parte di terzi. Il protocollo HTTPS garantisce quindi la trasmissione confidenziale dei dati e la loro integrità. La maggior parte dei browser contraddistingue con un lucchetto i siti protetti

Ad oggi è sicuramente il sistema più usato, in quanto è supportato dalla maggior parte dei browser (Mozilla Firefox, Internet Explorer, Safari, Opera,...) e non necessita di alcun software specifico o password. Le pagine protette da questo protocollo sono riconoscibili dalla scritta scritta "https" che precede l'indirizzo del sito protetto e le sue pagine vengono contrassegnate da un lucchetto, visualizzabile nella parte inferiore del proprio browser.

Secure Electronic Transaction (SET).
Il protocollo SET nasce dalla collaborazione di Visa e MasterCard allo scopo di rendere più sicure le operazioni di pagamento online, garantendo una maggiore segretezza e autenticità dei dati. Per utilizzare questo protocollo è però necessario che il venditore disponga sul suo server di alcuni software e che il pc del compratore sia munito di un wallet e di un PIN, rilasciatogli dalla compagnia che ha emesso la sua carta di credito. La grande novità del protocollo SET consiste nel sistema di autenticazione del venditore e del compratore: i "contraenti" hanno, cioè, la possibilità di identificarsi con certezza prima che qualsiasi transazione abbia inizio. Questo avviene attraverso l'utilizzo di certificati digitali, che vengono rilasciati alle due parti dal proprio istituto bancario. In questo modo, l'acquirente può verificare l'identità del venditore, acquisendo così una maggiore garanzia circa i beni o i servizi che riceverà e il venditore può verificare a sua volta l'identità del compratore, acquisendo maggiori garanzie circa il pagamento. Affinché, quindi, il commercio elettronico possa svilupparsi è necessario che gli utenti possano svolgere le loro transazioni serenamente, senza temere intromissioni esterne. In questo senso, assume molta importanza la procedura di "autenticazione dell'utente". Generalmente, questa procedura avviene tramite la richiesta da parte del server di uno username al quale è associata una password. Tuttavia, è stato dimostrato che questo sistema non può essere considerato del tutto sicuro, in quanto i tempi di individuazione della password da parte di terzi vanno sempre più riducendosi. Per questo motivo, oggi, viene sempre più consigliato all'utente il cambio periodico della propria password. Questo avviene soprattutto per i sistemi di home banking che prevedono che i propri utenti cambino obbligatoriamente la password con una cadenza fissa o che facciano uso di una password "usa e getta" (one-time password) che viene sostituita ogni volta che si accede a un servizio. Sebbene, la disciplina riguardante il commercio elettronico sia volta soprattutto alla tutela del consumatore, non bisogna dimenticare l'equivalente diritto del venditore a operare sul mercato online in maniera serena. Una delle principali problematiche che interessa colui che decide di offrire un bene o un servizio online è sicuramente il non ripudio da parte dell'acquirente. In questa direzione opera l'utilizzo della firma digitale che fa sì che un contratto firmato digitalmente non possa essere disconosciuto da coloro che l'hanno sottoscritto. Inizialmente il trasferimento dei dati tra il sito di e-commerce e il cliente avveniva in chiaro. Questo costituiva un possibile problema di sicurezza, soprattutto quando c'era un pagamento con carta di credito. Con l'avvento del Secure socket layer questo rischio è stato ridotto, ma sono poi comparsi altri problemi quale il Phishing e la comparsa di virus trojan che cercano di rubare informazioni utilizzabili per finalità losche.

Con la diffusione dell'e-commerce si sono sviluppate truffe sempre più insidiose che colpiscono principalmente gli acquirenti. I principali casi sono: Vendita di prodotti da siti civetta: al ricevimento del pagamento non viene inviata la merce, o viene solamente simulata la spedizione. Problema presente anche su ebay con inserzioni truffa. Realizzazione di siti clonati con la finalità di rubare informazioni quali il codice della carta di credito. Aziende fallimentari che accumulano ordini e introiti, senza la possibilità di evaderli.

La normativa italiana prevede che tutti i siti di commercio elettronico riportino nella home page la partita IVA e la denominazione dell'azienda. I siti più importanti di e-commerce hanno un certificato digitale che consente di verificare l'autenticità del sito visitato.

Il principale problema dal punto di vista delle aziende è la gestione degli ordini simulati, dove vengono indicate generalità false o non corrette per l'invio dei prodotti. Per ridurre il problema molte aziende accettano solamente pagamenti anticipati.