La rubrica I VENERDI' DI S NEWS propone oggi un tema di forte attualità: e-commerce e sicurezza. Si tratta di un approfondimento a cura di Fabio Guasconi, un Focus on del recente Rapporto Clusit 2013 sulla sicurezza ICT in Italia, nuova edizione settembre 2013.
Buona lettura!
la Redazione
E-Commerce
1. Quadro generale
In un momento di congiuntura economica non certo brillante come quello attuale, il mercato dell’e commerce continua a rappresentare in tutto il mondo una delle poche isole felici in cui la crescita in valori percentuali si può ancora misurare con numeri a doppia cifra. Secondo un rapporto pubblicato dal Politecnico di Milano, tra i più conservativi in termini numerici, il volume d’affari ad esso collegato nel nostro Paese è infatti cresciuto nel solo 2012 del 19% rispetto all’anno precedente. La suddivisione merceologica vede in testa il settore del turismo, seguito da abbigliamento, assicurazioni ed elettronica di consumo, come visivamente riportato nel seguente estratto dello stesso studio del Politecnico di Milano. Di particolare rilevanza il fatto che il mercato Italiano è da sempre più orientato alla vendita di servizi che a quella di prodotti, in controtendenza rispetto al resto del mondo.
Esistono branche innovative dell’e-commerce in cui la crescita è ancora più spinta: gli acquisti effettuati attraverso dispositivi mobile (ormai noti come m-commerce) stanno tenendo un incremento prossimo al 50% grazie anche all’endemica diffusione di dispositivi smart-phones o dei tablet, e potrebbero crescere fino a rappresentare 1/4 degli acquisti totali nel 2017. Allargando la prospettiva alle performance degli altri Paesi europei diventa evidente quanto il fenomeno sia lontano dall’essere locale: sempre secondo il Politecnico di Milano, Germania e Francia hanno avuto una crescita entrambe del 12% rispetto al 2011 e il Regno Unito, da sempre peso massimo del settore, dell’11%. La maggiore crescita dell’Italia è purtroppo imputabile non ad un’eccellenza nel settore, ma ad un ritardo considerevole accumulato nel tempo. Il valore del mercato italiano dell’e-commerce è infatti pari a poco più di 1/6 di quello inglese e alla metà di quello francese, come evidenziato dal diagramma seguente. L’Italia, secondo diverse analisi effettuate in merito, deve gran parte di questo ritardo a una serie di fattori bloccanti che portano meno della metà della popolazione ad acquistare su internet rispetto alla media europea. Tra questi fattori i principali sono riconosciuti essere:
â— la penetrazione di internet e delle comunicazioni ad essa legate è al di sotto della media europea;
â— vi sono barriere normative che zavorrano la competitività del canale;
â— gli strumenti di pagamento elettronici sono ancora scarsamente diffusi e utilizzati;
â— un terzo dei venditori nazionali vende esclusivamente sul mercato nazionale;
â— la propensione all’acquisto online e la cultura informatica della popolazione sono limitate;
â— la barriera linguistica che penalizza acquisti in altri Paesi è consistente.
Partendo da questi presupposti, e considerando le numerose opportunità derivanti dalla crescita dell’e commerce (nel Regno Unito l’internet economy vale oltre il 7% del PIL rispetto al 2% in Italia), questo è stato incluso come uno degli elementi di maggiore interesse nell’Agenda Digitale italiana e alcune iniziative di interesse sono state già intraprese nel corso dell’ultimo anno. Ciò non toglie che la strada sia ancora lunga e che alcuni dei fattori bloccanti sopra riportati siano di complessa risoluzione ma è altresì corretto sottolineare anche l’esistenza di opportunità per il nostro Paese, che vanta la seconda posizione per contratti di telefonia cellulare in Europa e di conseguenza, adeguandosi all’ampia crescita del mercato degli smartphones e dei tablet (rispettivamente del 45% e del 96% nel 2012), sta sviluppando un potenziale notevole per una seconda crescita digitale legata al mobile.
2. Sicurezza?
Sorprende che il 60% di chi non acquista online indichi la sicurezza tra gli ostacoli principali, ma sorprende ancora più che nella stessa Agenda Digitale italiana questo elemento, messo in evidenza, sia liquidato come un falso problema. Se infatti da una parte è vero che la percentuale di frodi sull’e-commerce in lenta, ma costante riduzione da anni (dal 2011 risulta in calo da uno 0,17% a uno 0,12% delle transazioni e rispetto al 2001 gli esercenti hanno ridotto di un terzo le perdite), la forte crescita del numero di acquisti e del loro volume corroborata dai numeri precedenti e l’aumento progressivo dei canali tecnologici che si possono utilizzare sono tendenze che non possono permettere di abbassare la guardia. L’esperienza maturata in questi anni dagli esperti sulla sicurezza insegna infatti che l’interesse degli attaccanti si concentra dove si trova il maggior valore: così è per lo sviluppo dei malware, dove certe piattaforme sono preferite ad altre, altrettanto sta avvenendo per il commercio elettronico effettuato tramite navigazione web tradizionale e, appena inizieranno ad essere impiegati in modo consistente, lo stesso avverrà sugli strumenti mobile e sui canali come l’NFC (pagamenti contactless). Il fenomeno ormai comunemente definito sotto il nome di Cybercrime diventa sempre più vasto e in grado di operare su ampia scala, mettendo in cantiere veri e propri progetti di complessità precedentemente sconosciuta e condividendo informazioni con una base a bassa competenza, ma numerosa. Nel 2012, oltre alla violazione di altri giganti dei pagamenti online come la russa ChronoPay, si è assistito alla diffusione dei primi malware in grado di trasferirsi dai personal computer ai dispositivi mobile per attaccare i sistemi che utilizzano codici di sicurezza inviati via SMS; sono stati registrati casi di QR code autoadesivi che, applicati sopra a quelli veri di annunci fisici, rimandano a siti contraffatti e diversi siti di commercio elettronico sono stati bersagliati da una molteplicità di micro-frodi, il tutto mentre i primi arresti di cybercriminali hanno fatto notizia anche nel nostro paese, come nel caso di Ali Hassan. È inoltre sempre cronaca recente la sentenza pronunciata contro Sony in Inghilterra per non aver protetto adeguatamente i dati dei propri clienti memorizzati sulla PlayStation Network nel 2011. Meno noti e orientati alla truffa ma ugualmente significativi sono i contesti in cui l’e-Commerce viene utilizzato per aggirare restrizioni alla vendita di determinati prodotti, quali ad esempio medicinali o, in modo ancora più grave e legato alla tradizionale criminalità organizzata, droghe, armi e altro. In questo contesto le truffe sui canali tradizionali, quali la contraffazione di un POS di un distributore di carburante, di uno sportello per il prelievo bancario o l’immissione sul mercato di un lotto di banconote false, coinvolgono un numero circoscritto di soggetti e quindi generano meno clamore rispetto ai 77 milioni di vittime per il caso di Sony, ma sono molto più probabili di quest’ultimo, creando un maggiore, ma falso senso di sicurezza verso le transazioni fatte di persona, che troppo spesso si pensa di poter essere in grado di smascherare facilmente. Da molti anni stanno venendo peraltro effettuati sforzi considerevoli per migliorare il livello di sicurezza dei sistemi e delle applicazioni utilizzate nell’e-commerce. Una delle prime piattaforme utilizzate per questa finalità è stata eBay che ha acquisito il famoso servizio di pagamento online Pay- Pal già dal 2002, che oggi è leader delle transazioni online in Italia. Nei prossimi anni non mancheranno le novità nel settore, a partire da MyBank che si baserà sul sistema europeo di pagamenti per passare a Square che si presenta come un piccolo oggetto quadrato da collegare al proprio dispositivo mobile, mettendolo in grado di accettare pagamenti con carta. Tutti i servizi e i prodotti di questo tipo cercano costantemente di rendere al tempo stesso più sicuro e più facile il processo di acquisto online e sono sottoposti a una serie crescente di regole imposte da più parti, tra cui in primis:
â— le misure per la protezione dei dati personali di cui al d.lgs 196/2003 e le altre norme ad esso collegate;
â— gli standard del PCI Council che si applicano a chi elabora dati delle carte di pagamento dei principali marchi (VISA, MasterCard, American Express, Discover Network, JCB) ora corredati anche da una guida specifica sull’E-commerce;
â— la Direttiva 2007/64/CE relativa ai servizi di pagamento nel mercato interno;
â— la Direttiva 2009/110/CE concernente l’avvio, l’esercizio e la vigilanza prudenziale dell’attività degli istituti di moneta elettronica.
La riforma delle leggi per la protezione dei dati personali, attualmente in discussione in sede europea, avrà l’opportunità di fissare nuove importanti garanzie per gli utenti dei servizi di e-commerce che, si spera, potranno contribuire ad imporre un livello minimo di sicurezza osservato da tutti gli operatori del settore, ad oggi non sempre così strettamente controllati sugli obblighi normativi sopra riportati. Uno dei temi centrali in questo senso è l’introduzione dell’obbligo di notifica al pubblico delle violazioni subite da parte di un’entità che tratta dati personali, in caso non si siano adottati sistemi avanzati di protezione dei dati. Questo obbligo è già stato introdotto nella maggioranza degli stati USA e per le aziende di telecomunicazioni che operano in Europa, ma i gestori di negozi online non ne sono al momento soggetti. Per quanto possa sembrare semplice da un punto di vista concettuale, in pratica non è assolutamente banale già solo individuare che una violazione informatica è avvenuta, specie per le entità di più contenuta dimensione.
Ciò nonostante, se chi vende online osservasse correttamente anche solo i seguenti principi, comunemente individuati dagli esperti come di fondamentale importanza, si potrebbe incrementare considerevolmente il livello di sicurezza del mercato (riducendo significativamente il numero di violazioni):
1) adozione di configurazioni sicure (hardening) dei sistemi;
2) inserimento della sicurezza nei requisiti di progettazione e nell’implementazione del software;
3) implementazione di sistemi di protezione e controllo automatici;
4) aggiornamento costante di tutti i sistemi;
5) verifica periodica dei rischi esistenti;
6) organizzazione della gestione della sicurezza.
Oltre a questi elementi mandatori sono stati sviluppati nel tempo una serie di accorgimenti funzionali a ridurre le frodi, alcuni di successo come i meccanismi antifrode “risk-based” e altri meno, come quelli di antifrode con regole statiche, alcuni che hanno un impatto sull’utente finale come il 3D Secure delle carte di pagamento e altri del tutto trasparenti ad essi quali la tokenizzazione dei numeri di carta memorizzati sui sistemi informativi del fornitore. L’anello mancante della catena finora descritta è però la cultura informatica e sulla sicurezza degli stessi utenti finali che, oltretutto, decretano il successo o la caduta dell’e-commerce in generale e degli strumenti in esso impiegati in particolare. La maggior parte delle frodi non sfrutta delle vulnerabilità dirette degli strumenti quanto piuttosto un loro uso improprio da parte di chi ha un minore livello di consapevolezza sulla sicurezza. ENISA, l’agenzia europea per la sicurezza delle reti e delle informazioni, è il principale soggetto che si è impegnato nel sensibilizzare gli utenti finali attraverso iniziative mirate e istituendo, lo scorso ottobre, il primo “European Cyber Security Month”, incentrato sulle principali regole da osservare per mantenere un buon livello di sicurezza nel cyberspace.
Le campagne di consapevolezza indirizzate agli utenti finali che verticalizzino la sicurezza e l’informatica intorno al tema dell’e-Commerce dovrebbero essere parte integrante della strategia per il suo rilancio nel nostro Paese, e percepite a ragion veduta sia come elemento di lotta preventiva alla criminalità sia come importante volano per creare quella fiducia che ancora manca agli italiani per abbracciare le opportunità offerte dall’e- Commerce.
a cura di Fabio Guasconi
Nell'immagine: Mercato dell’e-commerce in Italia, cortesia dell’Osservatorio eCommerce B2c Netcomm-School of Management del Politecnico di Milano.
Fabio Guasconi, Laureatosi in Informatica a Torino, è attivo da oltre 10 anni nella consulenza sulla sicurezza delle informazioni, con particolare attenzione per le tematiche di analisi del rischio, di organizzazione della sicurezza e verso le norme internazionali, alla cui stesura contribuisce attivamente.
Ha ottenuto le qualifiche di CISA, CISM, ITILv3 ISFS, ed è lead auditor sullo schema ISO/IEC 27001, di cui ha curato la traduzione in italiano. Ha maturato un’esperienza significativa sulla sicurezza dei dati delle carte di pagamento come QSA in ambito PCI-DSS, tema sul quale è coautore di un quaderno Clusit. Partecipa regolarmente ad eventi e pubblicazioni nazionali ed estere sulla sicurezza.
Attualmente presiede il comitato italiano ISO/IEC JTC1 SC27 per la sicurezza delle informazioni di UNINFO, ne è membro del consiglio direttivo, così come per Clusit, e partecipa attivamente ad AIIC e ISACA Roma.