Commercio Commercio Elettronico Elettronico

e e Transazioni Transazioni

Commerciali Commerciali in in

InternetInternet

Betty BronziniBetty Bronzini Corso di Sicurezza 2003Corso di Sicurezza 2003

Per transazione commerciale si intende lo Per transazione commerciale si intende lo

scambio di informazioni su prodotti, listini, scambio di informazioni su prodotti, listini,

ordini di beni/servizi e pagamento ordini di beni/servizi e pagamento elettronico.elettronico.

Il commercio elettronico è l’insieme delle Il commercio elettronico è l’insieme delle varie varie

transazioni commerciali tra produttore e transazioni commerciali tra produttore e

consumatore finale, realizzate con tecnologieconsumatore finale, realizzate con tecnologie

informatiche, e finalizzate allo scambio di informatiche, e finalizzate allo scambio di

informazioni correlate alla vendita di beni o informazioni correlate alla vendita di beni o

servizi.servizi.

Elaboratori: permettono la gestione Elaboratori: permettono la gestione e la manipolazione dei dati.e la manipolazione dei dati.

Reti telematiche: consentono la Reti telematiche: consentono la comunicazione fra computer e comunicazione fra computer e server, trasportando le informazioni server, trasportando le informazioni secondo formati e protocolli secondo formati e protocolli standard.standard.

Strumenti informatici Strumenti informatici usati nel usati nel

Commercio ElettronicoCommercio Elettronico

Ambiti di applicazione delle Ambiti di applicazione delle tecnologie informatichetecnologie informatiche

Area Intranet: mercato interno Area Intranet: mercato interno dell’organizzazionedell’organizzazione

Area Extranet: mercato creato Area Extranet: mercato creato dall’azienda venditrice con le dall’azienda venditrice con le aziende clienti e fornitriciaziende clienti e fornitrici

Area Internet: area finale del Area Internet: area finale del mercato, dove i prodotti e i servizi mercato, dove i prodotti e i servizi sono offerti direttamente ai sono offerti direttamente ai consumatori consumatori

Stretta interazione fra le varie Stretta interazione fra le varie unità dell’azienda, rapida ed unità dell’azienda, rapida ed efficiente circolazione delle efficiente circolazione delle informazioni e sicurezza.informazioni e sicurezza.

Le aziende hanno vantaggi Le aziende hanno vantaggi strategici, economici ed strategici, economici ed organizzativi. organizzativi.

IntranetIntranet

E’ il mercato che la singola organizzazione E’ il mercato che la singola organizzazione crea con le aziende fornitrici e crea con le aziende fornitrici e collaboratrici e con cui ha rapporti di collaboratrici e con cui ha rapporti di assistenza. assistenza.

Standard comuni per la sicurezza, Standard comuni per la sicurezza, controllo degli accessi e per il trasposto controllo degli accessi e per il trasposto delle informazionidelle informazioni

Abbattimento dei costi gestionali, Abbattimento dei costi gestionali, incremento dell’efficienza, semplificazione incremento dell’efficienza, semplificazione del funzionamento.del funzionamento.

Struttura regolata da norme giuridiche e Struttura regolata da norme giuridiche e culturali, che la rendono duratura e culturali, che la rendono duratura e affidabileaffidabile

ExtranetExtranet

In quest’area i vincoli precedenti In quest’area i vincoli precedenti vengono a mancare, e spesso le vengono a mancare, e spesso le parti interagiscono senza parti interagiscono senza conoscenza reciproca.conoscenza reciproca.

Quest’ area costituisce il vero Quest’ area costituisce il vero mercato elettronico.mercato elettronico.

InternetInternet

Vantaggi per il Vantaggi per il commerciantecommerciante

Ampliamento su scala geografica Ampliamento su scala geografica dei clienti potenzialmente dei clienti potenzialmente raggiungibiliraggiungibili

Costi di gestione ridottiCosti di gestione ridotti Pubblicità mirata e inviata solo agli Pubblicità mirata e inviata solo agli

utenti potenzialmente interessati utenti potenzialmente interessati ad un certo prodottoad un certo prodotto

Servizio 24 ore su 24Servizio 24 ore su 24

Vantaggi per il clienteVantaggi per il cliente

Maggiori possibilità di sceltaMaggiori possibilità di scelta RisparmioRisparmio Maggiore comoditàMaggiore comodità

Come si svolge una Come si svolge una transazione commerciale transazione commerciale

in area Internetin area Internet

Il potenziale acquirente si collega Il potenziale acquirente si collega ad un sito dedicato alla vendita di ad un sito dedicato alla vendita di prodottiprodotti

Il sito richiede l’identificazione Il sito richiede l’identificazione dell’acquirente dell’acquirente

L’acquirente sceglie i prodotti L’acquirente sceglie i prodotti Ed effettua il pagamento tramite la Ed effettua il pagamento tramite la

modalità prescelta (carta di modalità prescelta (carta di credito,contrassegno, bollettino credito,contrassegno, bollettino postale). postale).

Informazioni per gli Informazioni per gli acquirentiacquirenti

Quando un sito è sicuro appare Quando un sito è sicuro appare sulla barra degli indirizzi del sulla barra degli indirizzi del browser l’acronimo “https” in browser l’acronimo “https” in sostituzione della sigla “http”. sostituzione della sigla “http”.

Nella barra di stato del browser Nella barra di stato del browser appare un lucchetto (o una chiave, appare un lucchetto (o una chiave, a seconda del browser utilizzato): a seconda del browser utilizzato): cliccando l’icona appare il cliccando l’icona appare il certificato di garanzia.certificato di garanzia.

Situazione ItalianaSituazione Italiana

+ 69%: è l’aumento di spesa in + 69%: è l’aumento di spesa in acquisti on-line riscontrato rispetto acquisti on-line riscontrato rispetto allo scorso anno.allo scorso anno.

La spesa media pro-capite è di 730 La spesa media pro-capite è di 730 €.€.

Si prevede che nel 2004 la spesa Si prevede che nel 2004 la spesa media pro-capite supererà i 1000 €.media pro-capite supererà i 1000 €.

Scarsa fiducia nel modo di tutela Scarsa fiducia nel modo di tutela dei dati personali.dei dati personali.

Diffidenza nei confronti dei siti di Diffidenza nei confronti dei siti di commercio elettronico che commercio elettronico che potrebbero spacciarsi per ciò che potrebbero spacciarsi per ciò che non sono realmente.non sono realmente.

Sussistono ancora timori Sussistono ancora timori dei potenziali acquirenti dei potenziali acquirenti

derivanti daderivanti da

Requisiti a garanzia Requisiti a garanzia di una sicura di una sicura transazione transazione commercialecommerciale

Questo requisito può essere suddiviso in due sottorequisiti: l’acquirente deve poter verificareche il sito presso il quale sta facendo acquisti non sia un falso sito, con il quale un hacker potrebbe“catturare” i numeri delle carte di credito da utilizzare per scopi illegali; il commerciante dovrebbe essere in grado di verificare che l’identità dell’utente corrisponda a quella

dichiarata al momento dell’acquisto.

Autenticazione: Autenticazione: ciascuna delle due parti ciascuna delle due parti deve verificare l’identità deve verificare l’identità

dell’altra.dell’altra.

Sia il primo che il secondo requisito vengono soddisfatti automaticamente dai protocolli che utilizzano una terza parte fidata e con l’utilizzo

dei certificati; in particolare l’autenticazione dei venditori da parte dei clienti viene spesso ottenuta attraverso il protocollo SSL e l’uso di certificati emessi dalla Autorità di Certificazione (riconosciuti internazionalmente).L’autenticazione dei clienti da parte del venditore, invece, avviene solo in sistemi che prevedono forme di pagamento via rete ed attraverso la mediazione di un istituto di

credito.

Integrità: i dati non Integrità: i dati non devono essere modificati devono essere modificati da terzi.da terzi.I dati scambiati durante una transazione potrebbero essere modificati.

L’integrità viene garantita utilizzando opportuni algoritmi crittografici inclusi nei protocollisicuri.

Riservatezza: i dati non Riservatezza: i dati non devono essere visibili a devono essere visibili a nessuno al di fuori della nessuno al di fuori della

transazionetransazione I dati che vengono scambiati durante l’operazione

di acquisto sono da ritenersi confidenziali: l’utente non desidera che un attaccante, in grado di analizzare il suo traffico di rete, possa conoscere la merce che acquista e tanto meno il suo numero di carta di credito.

Questo requisito viene soddisfatto abbastanza bene utilizzando protocolli crittografici, come ad esempio il Secure Socket Layer (SSL) sviluppato da Netscape.

Il non utilizzo di protocolli sicuri come l’SSL espone a grossi rischi: quasi tutti i browser avvertono l’utente quando questi sta per inviare dati al server utilizzando un canale non sicuro.

Disponibilità: Il servizio deve essere attivo 24 ore su 24, senzainterruzioni. Questo requisito viene soddisfatto

utilizzando gli stessi accorgimenti tecnici che si utilizzano per proteggere i normali server Web.

In particolare, oltre ad utilizzare hardware e software robusti, dispositivi di back-up e gruppi di continuità, occorre anche configurare opportunamente il sistema

perrenderlo resistente ai possibili attacchi che potrebbero arrivare dall’esterno. (es: Denial of Service)

Quindi i server devono utilizzare sempre softwareaggiornati. L’adozione di un firewall potrebbe costituire un’ulteriore forma di protezione, sempre che questo supporti i protocolli tipo SSL.

Non Ripudio:

Un acquirente non deve poter negare di aver effettuato un certo ordine, mentre uncommerciante non deve poter negare di aver offerto certi prodotti a certi prezzi.

Questo requisito viene soddisfatto utilizzando algoritmi di firma digitale dei contrattiche vincolino cliente e venditore agli impegni presi. Entrambe le parti firmanol’ordine prima che questo venga evaso.