Su AdnKronos leggo un articolo riguardo al phishing ed al rischio frodi nell’e.commerce.
Visto che lo trovo pieno di inesattezze lo commentero’ qui.
Gia’ nell’occhiello c’e’ scritto
L’esperto Foschini: ”I maggiori pericoli dall’e-commerce. Attenzione ai siti commerciali piccoli o sconosciuti”.
Statisticamente e’ provato che il maggior pericolo di furto dei dati della carta di credito avvenga offline dove, fra l’altro, viene clonato anche il bancomat e non solo la carta di credito.
Poi parlando di phishing nel titolo non vedo la benche’ minima coerenza con i siti di e.commerce piccoli che certamente non sono oggetto di phishing visto che anche l’articolo parla di “vittime” come eBay e Poste Italiane.
Ho messo vittime tra virgolette perche’ le Poste, come eBay, come Amazon, come PayPal, come le grosse banche non sono vittime vere e proprie. Le vittime sono gli incauti utenti che forniscono alla leggera i propri dati personali. E qui ci sarebbe da fare educazione da parte di chi emette la moneta elettronica piuttosto che limitarsi a massimizzare le nuove emissioni di carte.
E fra le carte un discorso particolare meriterebbero le carte ricaricabili spacciate per sicure quando sicure non sono. Certamente sono comode, per le emittenti che possono contare su denaro gia’ incassato e che verra’ speso in un secondo tempo senza bisogno di remunerarlo con i normali tassi di interesse.
La stima per il 2006 in attesa dei dati definitivi è di un incremento del 120% rispetto al 2005, quando si sono registrati oltre 11.000 tentativi di frode creditizia per un ammontare complessivo di 46,5 milioni di euro. Solo nel primo quadrimestre del 2006, infatti, sono stati più di 8.000, per un importo di 36,4 milioni di euro.
Quando i media danno i numeri e’ sempre difficile comprenderli, almeno per me. 46,5 milioni di euro e’ l’ammontare del denaro sottratto, di quello recuperato o di quello che avrebbero potuto sottrarre? Insomma, sono soldi persi per sempre o no?
Ma veniamo al succo che mi interessa, le parole di Andrea Foschini, un esperto in materia che non si riesce a reperire online
I commercianti on line, però, acquisiscono i dati della carta e li archiviano nel loro database. E non ci sono garanzie che la protezione dei loro computer sia adeguata. I loro server sono spesso oggetto di facile attacco da parte degli hacker.
Neppure una parola sul fatto che la quasi totalita’ degli e.commerce italiani in realta’ si appoggia a gateway esterni e che quindi il venditore non e’ in grado di recuperare in alcun modo i dati essenziali della carta di credito. E neppure un accenno riguardo alla sicurezza della transazione.
E’ chiaro che i sistemi informativi delle grandi compagnie aeree, delle compagnie ferroviarie o di navigazione, sono molto sicuri. I rischi si corrono quando si fanno acquisti su siti sconosciuti. Anche in caso di prenotazioni alberghiere è meglio affidarsi ai grossi service che gestiscono più strutture ed evitare di prenotare direttamente sul sito della pensioncina o dell’alberghetto delle vacanze.
Nessun dubbio, da parte sua. Se, e ribadisco il se, io trattenessi i dati delle carte di credito dei miei pochi clienti su un server con sicurezza medio-bassa sarei appetibile per un hacker piu’ del server della grande compagnia aerea con le sue decine di migliaia di carte di credito registrate?
E sempre se l’hacker avesse accesso ai numeri delle carte di credito dei miei clienti (informazione a cui non ho accesso neppure io) che se ne farebbe? Online non potrebbe utilizzarli per farsi spedire della merce, rimarrebbe traccia. Tantomeno per prelevare soldi, verrebbero stornati a favore dei titolari che sporgano denuncia.
Molto piu’ facile volendo entrare nottetempo in negozio da me, raggiungere l’archivio delle chiusure fiscali giornaliere (che non vi dico dov’e’ :-P) e recuperare le ricevute dei POS fatti negli ultimi mesi. Per tutte le carte di credito c’e’ numero e scadenza in chiaro. Gli stessi dati che un hacker potrebbe recuperare online con lo stesso rischio di essere preso.
Concludendo, non mi pare che questo articolo rappresenti i fatti al meglio. E soprattutto non fuga tutti i possibili dubbi dell’utente che si ritrova a pensare che non comprando dai piccoli ma fidandosi delle grosse strutture evita il pericolo frodi e phishing quando il secondo non viene mai fatto sfruttando il nome dei piccoli ma appunto delle grosse strutture.
Mi scuso con Andrea Foschini, nel caso legga questo post per non aver approfondito con lui il discorso ma non sono stato in grado (forse colpa mia e di Google) di reperire una sua pagina che parli di sicurezza telematica.