Cap.III: Fattori Tecnologici legati allo Sviluppo Del Commercio Elettronico




Nonostante i potenziali vantaggi che l'adozione delle nuove forme di commercio dovrebbe garantire, bisogna ammettere che il commercio elettronico tra le aziende stenta ancora a decollare.
Attualmente la presenza delle aziende in rete si limita, generalmente, alla presentazione di cataloghi virtuali (che non sono altro che la trasposizione digitalizzata dei cataloghi cartacei), in molti casi poco dettagliati e non sufficientemente aggiornati.
Dimostrando una scarsa conoscenza delle potenzialità del nuovo mezzo, non si forniscono informazioni sulle date di consegna, né sull'effettiva disponibilità della merce, né servizi di supporto al cliente particolarmente sofisticati.
L'impressione che se ne deduce è che esista un certo timore nell'esplorare le potenzialità di un nuovo canale di vendita che rischia di sovrapporsi ai canali di vendita tradizionali; d'altro canto c'è anche da ammettere una scarsa propensione all'uso di questa forma di commercio da parte dell'utenza italiana, poco abituata a compiere acquisti senza avere un contatto diretto.
Oltre questi fattori, per così dire culturali, vi sono anche ostacoli di tipo tecnico che bisogna considerare e che essenzialmente possiamo riassumere nella necessità di standard consolidati (specialmente nelle procedure di pagamento), nella risoluzione dei problemi connessi alla sicurezza e affidabilità della rete, ed infine nella necessità di appropriati riconoscimenti legali.
Vi sono degli elementi che invece potranno influenzare in termini positivi lo sviluppo del commercio elettronico:

punto.gif 12x6 Il numero di grandi imprese e di enti pubblici che traineranno la diffusione di servizi transattivi e di Commercio Elettronico, spingendo fornitori, distributori ma soprattutto l'utenza finale ad adottare nuove metodologie ed abitudini di lavoro e di accesso ai servizi;
punto.gif 12x6L'introduzione di sistemi standardizzati per il commercio tra aziende, soprattutto nel campo dei pagamenti on-line.
punto.gif 12x6 L'adozione di sistemi di pagamento semplici, efficaci e sicuri costituisce, ad oggi, una delle sfide più difficili, che vede coinvolti da un lato gli operatori finanziari (banche e società di carte di credito), e dall'altro i fornitori di piattaforme/servizi integrati per la gestione delle transazioni;
punto.gif 12x6 La diffusione di Internet soprattutto presso le Piccole Medie Imprese per il peso notevole che esse hanno nel tessuto produttivo nazionale;

Tutti gli analisti sono d'accordo nell'affermare che la maggiore parte del giro di affari legata al Commercio Elettronico su Internet verrà dalle transazioni tra aziende, piuttosto che da quelle derivanti dalle vendite tra aziende e consumatori.
Le motivazioni addotte per giustificare questa previsione sono le seguenti:

- Il mondo degli scambi "reali", nelle transazioni tra aziende genera un fatturato superiore a quello realizzato nell'area delle vendite al dettaglio (tra aziende e consumatori).

Per quanto riguarda l'Italia il giro d'affari tra aziende é stimabile in circa 2,6 MIL. di MLD di Lit., mentre gli scambi al dettaglio valgono 450.000 MLD di Lit.: il rapporto tra i due mercati è quindi di oltre 5 a 1.

- Il mercato aziendale è fortemente teso a recuperare produttività e margini di profitto, razionalizzando aspetti della catena del valore fino ad ora non toccati e vede le nuove opportunità date dalle tecnologie come un veicolo per introdurre ristrutturazioni e nuove modalità di lavoro.

Il Commercio Elettronico rappresenta il vero grande business che la rete genererà.
In rete le aziende regoleranno sempre di più le transazioni grazie alle "fatture elettroniche": l'EDI (Electronic Document Interchange) su Internet sarà decisivo per ridurre i costi amministrativi e quelli di magazzino e potenziare il just in time.
Databank Consulting stima che il fatturato elettronico tra aziende sulla rete sarà pari, in Italia, ad almeno 6.000 MLD di Lit. nell'anno 2000.
In confronto il commercio tra aziende e consumatori sarà minore, anche se di tutto rispetto: risolti i problemi relativi alla sicurezza dei sistemi di pagamento, Databank Consulting prevede, infatti, che nel 2000 il Commercio Elettronico orientato verso i consumatori sarà pari a 1.450 MLD, ovvero solo di poco minore al giro d'affari complessivo delle vendite dirette attuali via posta.
Il canale Internet genererà nel 2000 un giro di vendite paragonabile a quello di una medio-grande catena di supermercati.
I prodotti più venduti saranno quelli informatici - software e hardware commodities - turismo, editoria, banche di dati, musica e pubblicità.

Fonte

Paese

1999

2000

IDC

USA

290.000

 

Yankee Group

USA

215.000

 

Forrester

USA

145.000

370.000

Databank

ITALIA

2.000

6.000
Stima giro d'affari commercio elettronico tra aziende.

L'accesso Alla Rete: Nuove Prospettive Legate Ai Servizi A Larga Banda
 Gli utenti consumer che si collegano da casa alla rete Internet utilizzano principalmente un p.c. ed una linea telefonica analogica.
Questo significa che tutte le case ove non è presente un p.c. non hanno la possibilità di collegarsi, (dal 60% negli Stati Uniti a oltre il 70% in Italia) e ove sia presente una connessione alla rete, questa è caratterizzata da velocità di trasmissione dati piuttosto basse.
Per illustrare l'importanza della velocità di collegamento sui possibili utilizzi della rete, si può esaminare una tabella che illustra il tempo necessario per il download di un video di 3.5 minuti in differenti situazioni. Utilizzando una connessione con modem analogico/digitale a 28.8Kbps sono necessari 46 minuti. Ovviamente con questi tempi di trasferimento sono impossibili tutti i servizi basati sulla trasmissione di sequenze video (es. tv interattiva).
Tuttavia, da questo punto di vista, una pluralità di soggetti (compagnie telefoniche, imprese per la trasmissione dati via satellite o su cavo) stanno studiando soluzioni tecnologiche in grado di garantire nuove possibilità di accesso alla rete.
Una delle tecnologie sulle quali sono riposte le maggiori speranze, è rappresentata dall'uso dell'ADSL, (Asynchronous Digital Subscriber Line) che promette velocità di 8 Mbps sul doppino di rame.
L'impatto della liberalizzazione e privatizzazione dei servizi di telecomunicazioni nel nostro Paese rende oggi possibile, anche per il privato, la scelta tra un parco opzioni differenziato, dalla semplice telefonia fissa, fino alle opzioni più sofisticate via via percorribili in alcuni casi già da oggi:

A. Sistemi di larga diffusione esistenti
- Rete telefonica analogica PSTN (la rete telefonica commutata tradizionale)
- Rete telefonica digitale ISDN,
- Rete cellulare GSM.

B. Sistemi di limitata diffusione esistenti o prossimi
- Ricezione satellitare da orbita geostazionaria e parabola TV (ad es.: DirectPC),
- Ricezione satellitare da orbita bassa LEO (ad es.: Iridium)

C. Sistemi di larga diffusione ma futura realizzazione (medio termine)
- Cablaggio domestico urbano in fibra ottica
- ADSL su rete telefonica.
- UMTS.

Un condizionamento evidente, seppure non l'unico, e probabilmente non il maggiore, alla diffusione del Commercio Elettronico e degli altri servizi e applicazioni è costo dalla tariffazione delle connessioni. Questo problema va rapidamente scomparendo con la comparsa di prime proposte d'accesso gratuito alla rete offerto dalle principali compagnie di servizi telefonici (da valutare in termini di affidabilità di servizio e prestazioni).
I gruppi di servizi B e C riportati sopra sono rivolti attualmente ad un'utenza specializzata. In particolare i cablaggi in fibra o tramite ADSL rimangono un problema aperto, che dovrà trovare però una prossima soluzione essendo un pre-requisito necessario allo sviluppo e alla diffusione di quei settori applicativi per i quali è indispensabile una larga banda (es.: Video On Demand, trasmissioni multimediali).
Un altro campo di ricerca è quello che tenta di fornire strumenti di accesso alla rete più facili da usare per gli utenti.
I costruttori dei p.c., appoggiati dalle case di software, propongono i nuovi network computer progettati per il collegamento alla rete, caratterizzati da un costo di poche centinaia di dollari e da nuovi software (nuove interfacce grafiche, strumenti di ricerca, riconoscimento vocale etc.) per facilitare l'uso dei p.c. e semplificare la navigazione in Internet.
A breve sarà possibile collegarsi ad Internet tramite il proprio televisore; è quanto promette la tv digitale HDTV (tv ad alta definizione) che utilizzerà come supporti cavi oppure parabole satellitari.
Tecnologia d'accesso Caratteristiche Commenti Tempo di trasferimento

Tecnologia d’accesso

Caratteristiche

Commenti

Tempo di trasferimento

Modem

Connessione simmetrica 28-33-56Kbps

Connessione a basso costo ma lenta

46/23 minuti (a 28.8/56.6 kbs)

Modem ISDN

Connessione simmetrica 64-128 kbps accoppiando due canali

Rete economica diffusa in Italia ed in Europa

10 minuti

Satellite

Da 300k a 1.2Mbps all’utenza. Necessita di parabola ricevente

Necessita di linee telefoniche standard (o wireless) per il canale di ritorno

Circa 1 minuto

ADSL

1.5-27 Mbps all’utenza.368-640Kbps per il canale di ritorno; può funzionare su rete telefonica tradizionale

Tecnologia in fase sperimentale in Italia ma ancora molto costosa. Ottime prest.

10 secondi

Modem su cavo coassiale

12-27 Mbps all’utenza/ 128k-1Mbps per il canale di ritorno. Funziona su rete tv via cavo.

Influenzata dalla condivisione di banda di ritorno degli utenti

Meno di 8 secondi

UMTS

2 mbps. teorici verso l'utente

accesso mobile ad Internet, video real-time

40 secondi




Dowload 3.5 min videorce: FCC, CS Docket No. 96-496, 1997 - databank consulting 1998; ADSL from Werbach 1997.

approfondimento: L'Umts E Il Futuro Di Internet


image002.gif 194x207




Si avvicina per il nostro Paese il momento dello sbarco della tecnologia Umts.
L'Universal Mobile Telecommunications System sarà la tecnologia base della terza generazione dei telefoni cellulari, ma anche una nuova piattaforma per Internet
Per capire quanto ricco si preannunci il business di questo settore è sufficiente osservare la ressa che si è creata intorno alla gara per le concessioni.
Il ministero delle Telecomunicazioni ha da poco reso note le norme che regoleranno le frequenze sulle quali correranno i dati dai cellulari abilitati ad una velocità potenziale di 384 Kilobit al secondo (ma già si prevede che si arriverà presto a 2 Megabit/s) e ora si attende di conoscere i nomi degli operatori ai quali verrà concessa la licenza di operare sul nuovo standard.

L'offerta di servizi

Il sistema Umts è una tecnologia di terza generazione, dopo quella analogica dei Tacs e quella digitale dei Gsm, che partirà dal gennaio 2002.
La trasmissione del segnale si basa su una catena di ripetitori di ricezione terrestri che consentono di ricevere il segnale su tutto il globo, senza gli inconvenienti di ricezione degli attuali cellulari GSM.
La tecnologia W-Cdma (Wideband-Code division multiple access) permette di raggiungere velocità di trasmissione fino ai 2 megabit al secondo e consente di svolgere attività finora precluse agli strumenti di telefonia mobile.
Innanzitutto assicurerà una qualità di ascolto analoga a quella della telefonia fissa, eliminando i fastidiosissimi e numerosi disturbi dei Gsm.
Ci sarà un'integrazione sul piano della multimedialità e della videoconferenza: Internet e telefonia cellulare convergeranno in un piccolo dispositivo molto simile agli attuali cellulari GSM.
Le altre applicazioni della tecnologia Umts saranno innumerevoli: accesso a banche dati online, trasmissione di programmi televisivi e radiofonici, cartoline elettroniche e shopping a distanza diventeranno una realtà a portata di "tasca". Con una velocità di comunicazione simile sarà possibile implementare sul nostro cellulare anche una piccola telecamera per trasmettere audio e video ad alta definizione.
Il telefonino Umts potrebbe quindi, finalmente, consentire all'Italia il vero boom di Internet e dei servizi di e-commerce, finora piuttosto arretrati anche a causa della scarsa diffusione dei computer nelle famiglie italiane.
I primi a interessarsi alla nuova tecnologia Umts sono stati gli attuali gestori della telefonia mobile. A Torino è stato recentemente compiuto un passo decisivo verso il futuro sviluppo di questa tecnologia nel nostro Paese.
Infatti TIM, tramite lo Cselt, ha effettuato la prima chiamata da un apparecchio con la nuova tecnologia e i vantaggi si sono mostrati in tutta la loro magnificenza; gli esperti assicurano una qualità di ascolto finalmente analoga a quella della telefonia fissa e la possibilità di chiamare e ricevere da qualsiasi parte del mondo.
Molti ostacoli tecnologici dovranno essere rimossi nel frattempo, a incominciare da quelli riguardanti i terminali mobili: ora come ora, dicono i costruttori, è difficile pensare a un telefonino capace di operare a 2 Mbps con autonomie di batteria rispettabili.


Qualche dettaglio tecnico di UMTS

 Sulle frequenze si è giocata e si giocherà una delle partite più critiche.
Se ipotizziamo i livelli di penetrazione raggiunti dalla seconda generazione del cellulare, i sistemi a larga banda come l'UMTS richiederanno una disponibilità di spettro che in questa fase iniziale ha messo in crisi diverse nazioni europee, Italia in testa. Recentemente sul sito Web del ministero delle Comunicazioni è comparso il risultato della pubblica consultazione svolta dallo stesso dicastero tra i gestori più direttamente interessati ai sistemi come UMTS, in preparazione del rilascio delle regole di gara per la concessione delle licenze. E' una lettura (www.comunicazioni.it/umtsr.htm) di notevole interesse, da cui emergono ben chiari i limiti tecnologici che impongono, almeno per il momento, un tetto al numero di licenze concesse. In base alle decisioni prese in sede CEPT/ERC, l'interfaccia UTRA (interfaccia aerea tra portatile e stazione radio) dovrebbe sfruttare due componenti di spettro.
Una, compresa tra i 1.900 e i 1.980 MHz e tra i 2.110 e i 2.170 MHz, da assegnare ai servizi basati su frequenze accoppiate simmetriche (il primo segmento per l'uplink terminale-cella, il secondo per il downlink cella-terminale); l'altra compresa tra i 2.010 e i 2.025 MHz e prevista per servizi che sfrutteranno canali disaccoppiati.
Nel primo caso, la tecnologia adottata è il W-CDMA in modalità FDD (Frequency Division Duplexing), un tipo di multiplazione in frequenza che richiede larghezze di banda più estese, adatto alle trasmissioni di tipo simmetrico come quelle di fonia; nel secondo caso è previsto il W-CDMA in modalità TDD (Time Division Duplexing), che permette di sfruttare con efficienza una porzione di spettro più ristretta in quanto assegna diversi slot temporali a più canali, tecnica più adatta alla comunicazione dati.
In base alla disponibilità di frequenze su indicata si è giunti, per l'Italia, alla definizione delle 5 licenze con 2x10 MHz FDD più altri 5 MHz TDD assegnati nella fase iniziale.
Va anche detto che il ministero non esclude l'eventuale possibilità, in futuro, di assegnare un'ulteriore sesta licenza sulla base dei "ritagli" di spettro ancora disponibili.
Un ultimo dettaglio tecnico ancora in via di definizione riguarda invece la possibilità di interfacciare tra di loro i diversi protocolli di comunicazione sia radio che verso i livelli di rete terrestre; a questo proposito più in basso è inserita una figura che illustra la proposta in questo senso dell' dall'ITU (International Telecommunications Union), denominata IMT-2000.

image002.gif 194x207

Grafico relativo al sistema di standard IMT-2000: L'ITU riassume i cinque principali gruppi di interfacce radio recentemente approvate per IMT-2000, organizzate in base a come i diversi sistemi utilizzano lo spettro di frequenze loro assegnato per garantire il dialogo tra le stazioni base e i terminali. Nella parte inferiore sono riportate invece le tre maggiori infrastrutture di rete che controllano i flussi tra le stazioni base: il MAP del GSM, l'ANSI-41 delle reti mobili americane e naturalmente le reti IP, che dovranno dialogare tramite opportune interfacce.
Autorità di riferimento:

ETSI (European Telecommunications Standards Institute)
ITU (International Telecommunications Union)



RIEPILOGO sulle NUOVE TECNOLOGIE DI CONNESSIONE

 

Telecomunicazioni: Costruttori e aziende di software stanno studiando soluzioni hardware e software capaci di permettere comunicazioni ad ampia banda. Tali soluzioni tendono ad utilizzare la rete esistente su doppino di rame per raggiungere l'utenza domestica (considerando gli alti costi di altre soluzioni quali ad esempio quelle che prevedono il cablaggio degli edifici), e puntano ad utilizzare nuovi apparati digitali sulle centrali telefoniche accoppiati con nuove tecniche di compressione dati (ADSL). Intanto si lavora anche sulle grandi dorsali intercontinentali adottando soluzione basate sull'uso delle fibre ottiche.

 

Satelliti: l'uso dei satelliti si rileva interessante particolarmente in quei casi in cui non sia presente una rete di telefonia fissa molto sviluppata. Inoltre tale soluzione comporta tempi di realizzazione piuttosto brevi. L'inconveniente principale di tale soluzione consiste nel fatto che permette una comunicazione unidirezionale verso l'utente, (come avviene nel caso della tv) che non permette di realizzare servizi interattivi; tuttavia l'ostacolo può essere aggirato considerando altre infrastrutture (es. radio) che realizzino il flusso dati che parte dall'utente, anche considerando il ridotto flusso di dati che da questo inviati.

 

Cavi: l'uso di cavi permette di realizzare una comunicazione bidirezionale ad ampia banda. Lo sviluppo di Internet su questo tipo di rete si rivela conveniente specialmente in quei contesti in cui essa sia già stata realizzata per realizzare altri servizi, (es. tv via cavo) considerato l'inconveniente  dei lunghi tempi necessari per effettuare la posa dei cavi.

 

Sistemi wireless: tali sistemi sono allo studio per realizzare comunicazioni dati, voce, e sostenere traffico Internet accoppiati a strumenti che non limitino la mobilità degli utenti (telefoni mobili, p.c. portatili e nuovi computer palmari). Si è già accennato all'utilità di questi sistemi accoppiati ai satelliti. Almeno un cenno merita il discorso relativo ad UMTS (di prossima realizzazione), che promette la capacità di trasmissione fino a 2 Mbps per apparati di comunicazione mobili.

Si può intuire quanto la nuova tecnologia cambierà l'uso di Internet, rendendo possibile l'accesso alla rete da dispositivi mobili.

 

Comunicazioni su rete elettrica: al momento ancora in fase di studio tali reti promettono velocità di trasferimento dieci volte maggiori rispetto a quanto permesso dai sistemi attuali.
 
 














































Requisiti Di Sicurezza Ed Affidabilità, Per Le Transazioni On Line
Introduzione - Le Più Comuni Violazioni Dei Sistemi Per Il Commercio On-Line
I problemi di sicurezza di Internet derivano principalmente dal fatto che essa fu pensata, originariamente, come ambiente destinato alla ricerca e non per transazioni commerciali.
Partendo da questo principio, confidando sull'onestà degli utenti e sul rispetto reciproco tra gli appartenenti alla comunità scientifica, in fase di progettazione della rete furono implementati sistemi di accesso remoto che permettessero di modificare anche files critici di un sistema.
L'unico sistema di sicurezza adottato si basava sulla protezione degli host tramite uso di username e password utente.
La crescita di Internet e la sua diffusione anche presso una comunità di utenti molto diversa da quella originaria ha fatto venire alla luce, soprattutto in occasione di annunci di clamorosi violazioni di sistemi commerciali o governativi, lo scarso supporto offerto dal sistema in servizi di sicurezza.
Per la verità in parecchi casi la violazione dei sistemi informatici è conseguenza di un cattivo uso di strumenti di protezione già disponibili: errori di configurazione dei sistemi, software utilizzato di scarsa qualità, errata gestione del sistema o comportamento negligente degli utenti autorizzati all'accesso. Il timore di subire queste violazioni ha spinto a fornirsi di strumenti come i firewalls, che permettono di proteggere reti private collegate alla rete.
In ogni caso la fragilità di protocolli come il TCP/IP, usato sul Web (ma anche di protocolli come l'Ethernet), rende acora piuttosto insicura la parte "pubblica" della comunicazione.
Le inefficienze riguardo l'uso commerciale della rete si manifestano in differenti forme di attacco:

Intercettazioni Basate Sull'ascolto Del Traffico Sulla Rete

Questo tipo di violazione produce il furto di informazioni riservate che viaggiano sulla rete, quali il numero di carta di credito, il numero di codice cliente o il numero di conto corrente. In alcuni casi, anche solo l'informazione di un contatto avvenuto tra due soggetti può rappresentare un'informazione lesiva dei diritti di privacy, permettendo di disegnare un profilo dell'utente. In questo modo, per esempio, si potrebbero rintracciare tutti i fornitori/clienti di un'azienda a fini di concorrenza tra le imprese.

Sottrazione Di Password

La sottrazione delle password può permettere l'accesso a sistemi su cui sono presenti informazioni di proprietà privata.
Con l'evolversi degli algoritmi di cifratura crittografica dei dati che viaggiano sulla rete, la tendenza sarà quella di non provare a forzare tali algoritmi, ma tentare di accedere alle informazioni riservate sottraendo in qualche modo le password di accesso.

Modifica Dei Dati Che Viaggiano Sulla Rete

Attacchi basati sulla modifica dei dati possono essere usati per cambiare le informazioni spedite nel corso di alcune operazioni, specie finanziarie, (e.s. cambiando il beneficiario in un pagamento elettronico o cambiando l'ammontare della cifra trasferita).

Mascheramento.

Tale operazione consiste nell'assumere in rete l'identità di un'altra persona.
Un truffatore può metter su un negozio virtuale fasullo, raccogliendo così milioni di numeri di carte di credito da ignari acquirenti, oppure impersonificare una grande compagnia finanziaria coinvolta nelle operazioni di pagamento (Mastercard, Visa, etc.). Un'altra minaccia è costituita dalla creazione di società finanziarie prive di scrupoli al di fuori di qualsiasi istituto di controllo e di tutela.

Ripudio

 Il ripudio della transazione si verifica quando, nonostante si sia iniziata una transazione di tipo commerciale tra due soggetti, (che generalmente si conclude con un qualche impegno di pagamento), non si riesca a portare a termine la transazione in oggetto(es. ad arrivare all'addebito /accredito della somma concordata).


Requisiti Di Sicurezza Per I Sistemi Commerciali

Se i firewall assicurano un grado di sicurezza sufficiente per le reti private collegate alla rete, tuttavia non forniscono una protezione adeguata non appena si esce al di fuori della rete privata. Soluzioni basate sull'uso di password "usa e getta" possono risolvere alcuni problemi, come la sottrazione delle password, ma una soluzione che voglia soddisfare globalmente le necessità di sicurezza connesse all'uso della rete deve poter offrire le seguenti caratteristiche:
Riservatezza
 Tutti i dati relativi ad una conversazione devono essere a conoscenza esclusivamente delle due parti interessate; questa caratteristica garantisce la privacy degli utenti in rete e rappresenta un ostacolo al furto di informazioni riservate e delle informazioni a pagamento da parte di persone non autorizzate.

Garanzia Dell'identità'

Ciascuna delle due parti coinvolte in una comunicazione deve avere delle ragionevoli garanzie sull'identità dell'interlocutore. Allo stato attuale tali attestati di identità vengono forniti ricorrendo alle così dette Firme Digitali Per Il Commercio Elettronico.

Integrità Dei Dati

 I dati spediti durante una qualunque connessione non devono essere modificati durante il percorso; allo stesso modo non dovrebbe essere possibile una modifica di alcuni dati (es. dati relativi all'accesso a servizi riservati, o informazioni sulla possibilità di spesa sulla rete) neanche quando sono memorizzati in un qualunque dispositivo di massa.

Non Ripudio

Nessuna delle parti coinvolte in una transazione commerciale può successivamente negare di avervi partecipato. Questo significa fornire (generalmente a cura dell'intermediario finanziario tra i due soggetti coinvolti) una garanzia sia al venditore, riguardo il pagamento di quanto ha spedito, sia all'acquirente, riguardo l'effettiva spedizione della merce pagata.
Per esempio nel sistema di pagamento elettronico di Citibank viene utilizzato un agente software per garantire la sincronizzazione tra la spedizione e il pagamento.
Nel caso della vendita di merce in formato elettronico (es. software) questo sistema fa si che la consegna della merce e il suo pagamento avvengano contemporaneamente.
Il sistema prevede che il cliente e il venditore abbiano installato l'agente software Citybank sul loro p.c. o sulla propria smart card: quando il cliente vuole acquistare un'enciclopedia disponibile via software su Internet, i due agenti si identificano e l'ordine viene avviato. L'agente del venditore invia, pertanto, il software richiesto all'agente del cliente, proteggendolo con una chiave che ne impedisce l'esecuzione.
A questo punto l'agente del cliente effettua il pagamento della merce (usando il danaro custodito nel portafoglio elettronico) e aspetta la conferma che il pagamento sia avvenuto, in modo da togliere la protezione al software che quindi può essere utilizzato. Questo sistema potrebbe essere adattato anche al caso di spedizione di merce diversa dal software.

Possibilità Di Scelta Dei Servizi Di Protezione Dati

 Dovrebbe essere possibile scegliere quali dati mantenere riservati (o addirittura nascosti) e quali rendere visibili.
La riservatezza dei dati viene garantita attualmente da sistemi di cifratura, mentre la garanzia dell'identità, la loro integrità e il non ripudio dell'operazione sono assicurati dall'uso del sistema delle firme digitali e chiavi pubbliche certificate; questi quattro servizi sono ormai ampiamente disponibili in rete.
L'ultimo servizio assume importanza crescente come si può desumere dall'esempio: un cliente vuole acquistare un prodotto da un negoziante; secondo la prassi attuale, l'acquirente fornisce al venditore il suo numero di carta di credito che viene poi passato da quest'ultimo agli istituti finanziari per l'operazione di accredito.
A questo punto, dopo aver ricevuto la conferma dell'avvenuto pagamento, il venditore può procedere alla consegna della merce.
In questa procedura esiste un passaggio non necessario, rappresentato dalla consegna al venditore del numero di carta di credito: infatti ciò potrebbe essere evitato se l'acquirente mettesse le informazioni riservati sulla sua carta di credito in un involucro digitale in modo che queste informazioni risultino visibili solo alla banca e non al venditore.

Appendice: Breve Descrizione Delle Falle Nella Sicurezza Dei Protocolli Internet

Mentre ci sono molti problemi con servizi utente di Internet (e.s. i molti bachi nel meccanismo di sendmail, la potenza dei comandi di accesso remoto di BSD che si affidano all'onestà degli utenti, le difficoltà di configurazione in molti pacchi software), questi non sono tanto fastidiosi quanto la mancanza di servizi di sicurezza di base nel protocollo TCP/IP.
Protocolli degli strati inferiori.
La maggior parte dei protocolli di basso livello, incluso Ethernet, sono di natura broadcast. Di conseguenza è, ad esempio, possibile a qualsiasi macchina connessa a una rete locale (LAN) di spiare il traffico destinato alle altre macchine presenti sulla stessa LAN. Allo stesso modo, è possibile per qualsiasi macchina su Internet che venga a trovarsi lungo un percorso di comunicazione tra due utenti (e.s., un service provider), spiare il traffico dati in transito.
Autenticazione Di Identità.
In nessun modo il protocollo TCP/IP mette a disposizione degli strumenti in grado di identificare gli utenti, così come è impossibile determinare se gli indirizzi nei pacchetti dei dati sono veri o meno, permettendo così ad un sistema di "impersonificare" un altro sistema.
Contenuti Del Pacchetto.
Allo stesso modo non vi sono precauzioni per garantire l'autenticità del contenuto dei pacchetti. In effetti vengono utilizzati dei semplici algoritmi di controllo cecksum, ma questi sono studiati solo per individuare possibili errori di trasmissione e non per impedire la modifica dei dati presenti nel pacchetto.
Numeri della sequenza.
Certe applicazioni basate su TCP/IP fanno uso di numeri di sequenza abbastanza prevedibili. La semplicità della predizione dei numeri di sequenza TCP, collegata con la mancanza di un servizio di autenticazione, rende possibile stabilire collegamenti non autorizzati senza destare alcun allarme.
Altri Problemi tecnici riscontrati:
Le osservazioni che seguono illustrano le esperienze, riguardo i problemi incontrati nella pratica di e-commerce sulla rete, maturate da una delle prime aziende americane che hanno offerto servizi di gestione transazioni di pagamento via Internet sin dal 1994: la First Virtual.
La natura distribuita di Internet, caratterizzata dalla mancanza di una qualsiasi autorità centrale di governo, comporta inevitabili problemi nel funzionamento di certi servizi con frequenti parziali e temporanei guasti della rete, problemi di comunicazione totali o parziali, incompatibilità tra i software dell'acquirente e del venditore, e altro ancora.

I guasti che si verificano sulla rete fanno si che le seguenti due situazioni siano indistinguibili all'acquirente:
  • Un guasto tecnico, anche causato da una parte intermedia non visibile, impedisce ad un commerciante di informare sull'avvenuta spedizione della merce pagata oppure sulla mancata consegna e sull'avvio delle procedure di rimborso.
  • Un commerciante privo di scrupoli defrauda i suoi clienti.

    • il primo scenario è di gran lunga il più comune, ma gli acquirenti sono spesso propensi ad immaginare il verificarsi del secondo.
    Questo è, in parte, causato dalla natura umana e, in parte, dovuto alla stranezza delle relazioni di affari nel cyberspazio, ove un cliente spedisce soldi a un'altra persona che non ha mai visto, magari sull'altro lato del pianeta.
    I clienti si aspettano che chi si occupa della gestione dei servizi di pagamento, aiuti a risolvere gli eventuali problemi tecnici emersi nel corso dell'operazione; oggi è, quindi, necessario che le imprese che forniscono servizi Web legati a pagamenti on line, si occupino anche dei possibili problemi tecnici incontrati.
    È possibile che in futuro questi servizi possano essere forniti dalle istituzioni finanziarie, anche se, attualmente, risolvere problemi di natura tecnica, dovuti a realizzazioni incompatibili dei protocolli di Internet, non sono una competenza della maggior parte delle istituzioni finanziarie.
    La squadra First Virtual ha incontrato dozzine, forse centinaia, di queste situazioni.

    Difetti di Ftp:

    Alcuni browser mettono una lunghezza massima troppo bassa sui trasferimenti dei files tramite ftp. Il risultato è che l'acquirente ottiene un file troncato che spesso è inutile (e.s. un file software). Comunque, in questo caso, accade che il venditore crede che l'acquirente abbia effettuato con successo il download del software e chiede il conseguente pagamento. (Il venditore dovrebbe essere in grado di accorgersi che il download e' fallito, ma qualche volta questo è impossibile).

    Disfunzioni di Connessione:

    Può accadere che su un certo sito, dove vengono forniti servizi a seguito di un pagamento, si verifichi un disservizio per cui l'abbonato si vede negata l'autorizzazione ad entrare. L'abbonato, invece di pensare ad un guasto tecnico, pensa subito ad una truffa.
    Purtroppo però il sistema che abbia subito un guasto hardware catastrofico, spesso è incapace di informare i clienti riguardo al problema verificatosi.

    Violazioni del protocollo:

    Ci sono molti venditori di software che distribuiscono realizzazioni non funzionanti dei Protocolli base di Internet.
    I Commercianti, che cercano di fare uso di alcune delle caratteristiche di alto livello messe a disposizione da Internet, sono spesso soggetti ad avere a che fare con clienti il cui software non lavora correttamente.
    Per un cliente è difficile non lamentarsi di un commerciante che ha promesso la consegna quotidiana di una foto via email se poi vede solamente una immagine inguardabile (e.s. a causa di una realizzazione Mime non corretta).
    Tali difetti sono comunque abbastanza rari.

    Comunicazione unidirezionale:

    Molti commercianti attirano i clienti sulle loro pagine Web, dove richiedono loro di fornire un indirizzo email. Sfortunatamente, quasi la metà degli utenti di Internet commette qualche errore quando gli viene chiesto di digitare il proprio indirizzo dell'email e così forniscono un indirizzo che non funziona.

    Difetti di configurazione del software:

    Il browser di Netscape ampiamente usato, per esempio, può essere usato per spedire posta, ma nel suo sistema di configurazione non fa nessuno tentativo per verificare se l'indirizzo dell'email fornito dall' utente è corretto (anche sintatticamente).
    Un numero sorprendentemente elevato tra gli utenti di Netscape non riceve mai, per questo motivo, delle risposte alle proprie email, senza mai sapere il perché.
    Ciascun nuovo servizio, che viene portato ondine, sembra mostrare almeno uno di questi difetti, almeno per un pò. Finché Internet sarà piena di tali disfunzioni, ci dovrà essere, inevitabilmente, un intermediario per le operazioni commerciali condotte sulla rete.
    Per risolvere i vari inconvenienti, l'intermediario deve avere una comprensione profonda del modo in cui i protocolli di Internet davvero funzionano.

    Problemi di addestramento del cliente inesperto

    Oltre al bisogno prima discusso di un intermediario di Internet, realizzare un sistema di commercio su Internet comporta un certo numero di problemi, legati al supporto al cliente, che possono non apparire al primo sguardo, specialmente a coloro già a proprio agio con la vita online.
    Questo accade perché la popolazione di Internet raddoppia ogni anno, cosicché, in qualsiasi momento, più della metà della comunità degli utenti è presente da meno di un anno sulla rete. I novizi sono la regola, non l'eccezione.
    La realtà è che una porzione costante della popolazione della rete ha solamente una scarsa , o rudimentale, comprensione del funzionamento di Internet o del proprio computer.
    A ciò si aggiunge il fatto che c'è un numero crescente di utenti di Internet con una scarsa padronanza dell'inglese.
    La somma di tutti gli inconvenienti sopra elencati è spesso all'origine di notevoli problemi.
    Le domande dei nuovi utenti alle prime armi con Internet o con il sistema del venditore sono generalmente molto numerose, cosicché chiunque voglia fornire un servizio di aiuto alla clientela è bene che pianifichi una capacità sovrastimata per il reparto di supporto clienti.
    Una volta che gli utenti hanno familiarizzato col sistema pongono poche domande, mentre generalmente le domande poste dai nuovi utenti riguardano sempre gli stessi problemi cui si può rispondere facilmente, quindi è probabile che essi saranno risolvibili , in futuro, con sistemi automatici.
    Infine è acclarato che le domande diventano meno frequenti mano a mano che si arricchisce la documentazione del sistema.

    I Sistemi Di Pagamento Su Internet.


    Firme Digitali Per Il Commercio Elettronico


    Il commercio elettronico su Internet ha già modificato i termini della concorrenza in molti settori commerciali europei.
    Organizzazioni di vendita e distribuzione, agenti di viaggio ed istituti bancari hanno adattato i propri processi aziendali alla ricerca di nuovi clienti ed alla vendita di prodotti sulla Rete.
    In più, compagnie di assicurazioni e società finanziarie hanno lanciato nuovi servizi per sfruttare le possibilità offerte dall'economia digitale.
    Il tasso di sviluppo e l'ampiezza della diffusione del commercio elettronico in Europa dipendono in gran parte dallo sviluppo delle infrastrutture di rete (il "backbone") e dalla sicurezza e riservatezza delle transazioni.
    "Affinché il commercio elettronico possa decollare, è necessario disporre di un ambiente affidabile e di transazioni sicure" rileva Andrew Walden, dirigente della Barclay Bank (Gran Bretagna). "Tanto i consumatori quanto le aziende dovranno poter contare sul fatto che le loro transazioni non vengano intercettate né alterate".

    Obblighi Legali

    I consumatori e le aziende avranno una maggior fiducia nell'impiego di transazioni elettroniche se queste, oltre ad essere sicure, assumeranno anche un aspetto legale.
    Diversi Paesi europei hanno allo studio provvedimenti legislativi sulle firme digitali, per giungere a definire un contesto legale per le transazioni elettroniche.
    La Germania è stata il primo paese, nell'agosto scorso, a promulgare una legge sulla firma digitale nel quadro più generale di una legge sulle tecnologie multimediali; il quadro legislativo è stato completato da un regolamento entrato in vigore tre mesi dopo. Nel momento in cui scriviamo sono in fase di redazione proposte di legge sulla firma digitale anche in Belgio, Danimarca ed Italia.
    Le firme digitali, oltre a garantire l'autenticità e l'integrità dei documenti elettronici, danno certezza anche sull'identità del mittente di un particolare messaggio; essendo legate in modo univoco sia al mittente che al messaggio inviato, esse sono verificabili e non ripudiabili.
    Un altro vantaggio importante viene dallo scambio di credenziali elettroniche (digital certificates) tra computer; ciò aiuta, infatti, a garantire che gli interlocutori siano davvero coloro che dichiarano di essere.

    Impronte... digitali

    A differenza delle firme autografe, quelle digitali non si limitano ad identificare l'autore di un messaggio elettronico ma possono anche garantire che il messaggio stesso non abbia subito alterazioni.
    Com'è ovvio si tratta di un fattore critico per il commercio elettronico.
    Le credenziali elettroniche, inoltre, aiutano a stabilire se i beni ed i servizi acquistati attraverso la rete siano autentici.
    Di norma i sistemi di firma digitale sfruttano la crittografia a chiave pubblica, anche se esistono altri metodi in grado di offrire lo stesso livello di sicurezza.
    I sistemi di codifica a chiave pubblica come PGP (Pretty GoodPrivacy), ad esempio, non richiedono l'uso di un canale sicuro per la distribuzione delle chiavi segrete agli altri utenti e sono quindi specialmente indicati per le comunicazioni sulla Rete.
    Nei sistemi di codifica a chiave pubblica ogni utente genera una coppia di chiavi, chiamate l'una chiave pubblica e l'altra chiave privata o chiave segreta.
    Per ulteriori dettagli, si veda l'illustrazione "Come funzionano le firme digitali".
    Solo la chiave pubblica può decifrare i messaggi cifrati con la chiave segreta corrispondente. Per "firmare" un documento elettronico, il mittente lo sottopone ad un algoritmo noto come funzione hash, scelto tra quelli standard.
    Le funzioni hash forniscono, come risultato, un numero, chiamato impronta del messaggio (message digest) che può essere considerato come un'impronta digitale legata al messaggio stesso: se quest'ultimo viene alterato in qualsiasi modo, la funzione hash fornisce come risultato un'impronta completamente diversa.
    A questo punto il mittente cifra l'impronta con la propria chiave privata, e l'impronta così cifrata costituisce la firma digitale vera e propria.
    Infine il mittente invia al destinatario sia il messaggio originale che la sua firma digitale. Si noti che il messaggio può essere cifrato con la chiave pubblica del destinatario, ma che ciò non è necessario per il semplice processo di firma (serve però per garantire la riservatezza della trasmissione).


    Controlli d'identità

    Quando riceve un messaggio, il software del destinatario effettua due distinte operazioni per verificare l'identità del mittente e l'assenza di alterazioni nel messaggio stesso.
    Per la verifica del mittente il sistema si serve della firma digitale e della chiave pubblica del mittente: decifrando la firma digitale si ottiene l'impronta del messaggio; se l'operazione ha successo, il destinatario è certo che l'origine del messaggio sia quella dichiarata.
    Per quanto riguarda le modifiche al messaggio, il destinatario sottopone il messaggio alla stessa funzione hash utilizzata dal mittente: mettendo a confronto le due impronte si accerta che il contenuto del messaggio non sia stato alterato da terzi.
    Finora, niente di quanto abbiamo detto impedisce ad un truffatore di generare una coppia di chiavi e di inviare quella pubblica sulla Rete a nome di un'altra persona; per questo motivo gli utilizzatori delle firme digitali devono essere certi che la presunta chiave pubblica di una persona appartenga effettivamente ad essa.

    Autorità di certificazione

     Le Autorità di Certificazione (CA, Certificate Authority) svolgono appunto questa funzione, con l'emissione di credenziali elettroniche che identificano sia l'abbonato che la CA emittente.
    Le credenziali contengono la chiave pubblica dell'abbonato e sono firmate con la chiave privata dell'Autorità; per ottenerle, occorre presentare alla CA una copia della propria chiave pubblica ed una prova convincente della propria identità.
    Oltre ai passi descritti sopra, il computer del destinatario verifica allora, presso la CA indicata nelle credenziali, che il mittente sia colui che afferma di essere e che le credenziali stesse non siano scadute né revocate.
    La crittografia asimmetrica e le firme digitali sono in uso da anni all'interno di alcuni gruppi chiusi, ad esempio società finanziarie ed organizzazioni sanitarie.
    Autorità di certificazione quali Belsign in Belgio, COST in Svezia ed il centro Telesec di Deutsche Telekom in Germania forniscono da anni dei servizi di gestione di credenziali online basati sullo standard internazionale X.509; si tratta di servizi mirati alle aziende, spesso operanti su scala nazionale.

    La tecnologia e la legge
    L'obiettivo della legislazione sulle firme elettroniche è quello di regolamentare le procedure tecniche di generazione e distribuzione delle credenziali in modo da rendere le firme digitali accettabili come prova in un procedimento legale.
    L'incertezza sul valore delle firme digitali come mezzo di prova è il maggiore ostacolo al loro uso" afferma Simone van der Hof, giurista del Centro per la Legge, la Pubblica Amministrazione e l'Informatizzazione dell'Università di Tilburg (Paesi Bassi).

    Appendice: Miti E Realtà Sulla Crittografia

    Il rischio maggiore della crittografia è la perdita di efficacia delle chiavi crittografiche.
    Qualche volta potrà accadere che una chiave privata venga rubata senza che il suo proprietario se ne accorga.. Altre volte una chiave pubblica, che si ritiene appartenere ad un certo utente, potrà essere sostituita illecitamente da una chiave pubblica che appartiene a una terza persona.
    In questi due casi si perde completamente l'utilità degli algoritmi di crittografia.
    Una realizzazione scrupolosa della tecnologia crittografica presterà una particolare attenzione a come le chiavi pubbliche vengono associate all'identità dell'utente, come vengono scoperte e revocate le chiavi che sono state rubate, e quanto a lungo una chiave rubata è utilizzabile da parte di un criminale.
    Un elemento che può limitare questi rischi è la nozione di della durata della chiave, in base alla quale una coppia di chiavi pubblica/segreta è valida solo fino a una certa data. Tanto più a lungo le chiavi hanno validità, tanto più è probabile che un attacco minerà la loro segretezza. Questo è un settore con conseguenze spesso trascurate da coloro che propongono soluzioni basate su crittografia.
    Infatti, quando si confrontano soluzioni di crittografia, le persone generalmente si chiedono quanti bit sono lunghe le chiavi, riferendosi alla difficoltà di violare l'algoritmo di cifratura nel caso di un attacco, ma allo stesso modo può essere posta una domanda sulla durata delle chiavi.
    Per esempio, una chiave da 1024-bit con una durata di cinque-anni è probabilmente notevolmente più vulnerabile di una chiave di 512 bit della durata di un mese.
    Nello stimare la gravità dei vari rischi, è importante distinguere tra le due principali applicazioni della tecnologia di crittografia: l'autenticazione dell'utente (per le firme digitali) e la cifratura.
    Questi due utilizzi della tecnologia crittografica sono radicalmente diversi, sia sotto il profilo legale che tecnico.
    Giuridicamente, quasi tutte problematiche relative alle restrizioni riguardano la cifratura, perché i governi sono interessati a poter intercettare azioni di spionaggio o altre attività criminali nelle quali si faccia uso di tali algoritmi di protezione.
    Tecnicamente, le differenze tra autenticazione e cifratura sono fondamentali e sono fondamentali nel caso in cui l'algoritmo crittografico venga decifrato.
    Un'analisi realistica di qualsiasi meccanismo di commercio basato su crittografia deve analizzare le conseguenze del fatto che qualcuno, in mala fede, possa violare la crittografia (Con violare la crittografia, si intende la sconfitta degli algoritmi di crittografia e il furto delle chiavi segrete coinvolte, o la scoperta di un difetto in una realizzazione software usata.) Nel caso di autenticazione, un criminale che abbia violato l'algoritmo crittografico può assumere l'identità di uno o più utenti.
    Su Internet, è abbastanza facile, per chi assume l'identità di un altro, divenire irrintracciabile. Questo è evidentemente un problema, ma è un problema limitato, nel senso che il possibile danno causato può venire ridotto con opportuni accorgimenti.
    Per esempio, se qualcuno dice sulla rete di essere Bill Gates, questo gli permette di effettuare quelle operazioni permesse Bill Gates.
    I Commercianti allora possono limitare i rischi in questo caso permettendo a Bill Gates di avere merce consegnata solamente a casa, o possono usare altri metodi (come una conferma email o via telefono) per confermare l'identità dichiarata con i mezzi crittografici, specialmente nel caso in cui la violazione di tale autenticazione di identità sia divenuta piuttosto frequente.
    Differente è il caso di violazione degli algoritmi di cifratura. La cifratura, d'altro canto, e' spesso più di una tecnologia tutto o niente.
    Il punto essenziale per stimare il danno dovuto ad una violazione di una tecnologia di cifratura consiste nel considerare il valore delle informazioni che sono criptate .Nel caso in cui un criminale ha rotto un meccanismo di cifratura, avrà accesso a tutte le informazioni criptate.
    Il criminale può anche compiere delle operazioni per rendersi invisibile, mentre legge le informazioni cifrate che viaggiano su Internet. Il danno di tale atto è proporzionale al valore delle informazioni criptate.
    Tanto più preziosi sono i dati, tanto più, probabilmente, si vuole cifrarli e tanto meno accettabile è il rischio che questi vengano rubati su Internet.
    Se le informazioni sono così preziose che si ha la necessità di criptarle, è forse troppo pericoloso metterle su Internet e accettare il rischio di una violazione dell'algoritmo di cifratura.
    Nel caso dei numeri di carta di credito, le informazioni più comunemente soggette alla cifratura su Internet, è semplice valutare i rischi.
    Si immagini un mondo nel quale milioni di operazioni al giorno relative alle carte di credito viaggiano su Internet in forma criptata.
    Se qualcuno trovasse una crepa che permettesse la decifratura di queste operazioni, una marea di numeri di carte di credito potrebbe essere ottenuta senza lasciare alcuna traccia.
    Mentre il sistema delle carte di credito si è evoluto in modo da tollerare un certo tasso di frode, è improbabile immaginare uno scenario dove un solo criminale possa rubare una quantità così alta di numeri di carte di credito. (oggi si tiene traccia della frode della carta di registrando le operazioni lecite ed illecite. Perciò un criminale intelligente che ha rubato milioni di schede, potrebbe usare ciascuna di esse una volta sola, e sarebbe così più difficile seguirne le tracce).
    Le soluzioni di crittografia sono davvero molto più utili su reti chiuse che su quelle aperte, perché esse riescono a garantire solamente una parte della sicurezza complessiva (in particolare, la protezione della privacy nei confronti delle istituzioni finanziarie), piuttosto che la totale difesa contro i criminali.
    Un sistema di crittografia sarà forte tanto quanto il suo anello più debole, e raramente si conosce in anticipo l'anello più debole. Questo vuole dire, per esempio che non importa quanto sia forte l'algoritmo di cifratura se è possibile rubare i dati prima che essi siano stati cifrati, (e.s., tramite un virus nella gestione della chiave che attacca il computer dell'utente e registra ciò che viene battuto dall'utente).
    Similmente, il migliore sistema di cifratura del mondo è inutile se i dati possono essere rubati dopo che sono stati decifrati, per esempio da un accesso non autorizzato sulla macchina di un commerciante collegato ad Internet o su quella di una banca.
    Un ovvio, ma spesso ignorato, corollario di quanto detto è che, in un sistema di commercio su Internet, la crittografia non dovrebbe costituire un componente critico con un costo catastrofico in caso di fallimento.
    Mentre c'è indubbiamente spazio per la tecnologia della cifratura, è ancora presto il momento che ad essa vengano affidati le informazioni più preziose -incluso numeri di carta di credito e gli altri strumenti finanziari riservati- completamente via l'Internet.


    Riferimenti:


    1. Bellovin, S.M. Security problems in the TCP/IP protocol suite. Comput. Common. Row., 19,2 (Apr. 1989), 32-48.
    2. ANISH BHIMANI -Securing the commercial Internet- ACM Giugno 1996
    ANISH BHIMANI is a senior systems engineer in the Secturity & Fraud Reduction Solutions area of Bellcore and the co-author of Intemet Security fin Business. Author's Present Address: Bellcore, RRC IK225, 444 Hoes Lane, Piscataway, NJ 08854-4182; email: anish@cu.bellcore.com).
    3.Rainer Mauth Firme digitali per il commercio elettronico- Byte , Mc Graw Hill -Gennaio 1998.

    Approfondimenti sulle tematiche della sicurezza:

     1. Atkinson R. IP authentication header Internet RFC 1826, Proposed Standard 9Agosto 1995
    2. Atkinson R. IP Incapsulating security payload, Internet RFC 1827, Proposed Standard 9Agosto 1995
    3. Atkinson R. Security architeture for Internet Protocol- Internet RFC 1825, Proposed Standard 9Agosto 1995
    4. RSA Data Security, INC. The S/MIME Protocol, disponibile sul sito http://www.rsa.com
    5.Bellowin S.M. Security problems in TCP/IP protocol suite. Comput. Omm. Rvw. Aprile 1989 32-48.
    6. Aziz A. Markson T., Simple Key Managment for Internet Protocols (SKIP), Internet Draft http://draft-ieft-ipsec-skip-06.txt http://draft-benalohpet-00.txt
    http://draft-freier-ssl-version3-00.txt (per SSL)http://draft-ietf-wts-shttp-01.txt per il protocollo SHTTP
    7. Borenstein, N., and Freed, N. MIME (Multipurpose Internet Mail Extensions) Part 1: Mechanisms for specifying and describing the format of Internet message bodies. RFC 1521, Bellcore, Innosoft. Sept. 1993.
    8. Borenstein, N.S., and Rose, M.T. The ApplicationlGreen-Commerce MIME Content-Type. First Virtual Holdings. June 1995. http://pub/docs/agc-spec.itxt,ps)
    9. Rose, M.T., and Borenstein, N.S. The Simple MIME eXchange Protocol (SMXP). First Virtual Holdings. June, 1995. http:// pub/docs/smxp-spe,c.jtxt,ps1
    10. Stein, L.H., Stefferud, E.A., Borenstein, N.S., and Rose, M.T. The Green Commerce Model. First Virtual Holdings. June 1995. http://ptib/docs/green-model.ftxt,psI
    NATHANIEL S. BORENSTEIN is Chief Scientist of First Virtual Holdings Inc. Author's Present Address: First Virtual Holdings, 1724 Shadford St., Ann Arbor, MI 48104; email: nsb@A,.com
    For more information about First Virtual's Internet Payment System visit the First Virtual Web site, at bttp://www.fx,.com. Most of the same information is also available via mailserver, starting with info@fv.com. Technical details about the First virtual payment protocols have been published as Internet Drafts, and will be published as Informational RFGs. They are available for anonymous file transfer from the machine ftp.fv.com, in the directory pub/docs.



    La Moneta Elettronica E Le Future Forme Di Pagamento

    Le Soluzioni Allo Studio: Dalla Carta Di Credito, Alla Smart Card, Fino Alla Moneta Elettronica.

    Lo sviluppo della rete in ambito commerciale presuppone la necessità di mettere a disposizione degli utenti strumenti per effettuare con semplicità pagamenti online, altrimenti il Web non vedrà espresse tutte le sue potenzialità, rimanendo unicamente uno strumento di marketing e di pubblicità.
    Attualmente sono presenti su Internet numerosi esercizi commerciali, ma i pagamenti sono per la maggior parte gestiti off-line oppure ricorrendo alla comunicazione sulla rete dei numeri di carta di credito.
    Ci sono però, anche se non sono ancora molto diffusi, dei nuovi strumenti di pagamento, alcuni già disponibili, altri ancora in fase di sviluppo.
    Le tecnologie emergenti sono le seguenti:

  • Carte di credito: due colossi come Mastercard e VISA hanno sviluppato un sistema sicuro per i pagamenti con carta di credito detto SET (Secure Electronic Transaction). Sia Microsoft che Netscape contano di inserire nei loro browser il necessario supporto per questo sistema.
  • E-Cash: in questo settore le aziende leader sono la DigiCash e la CyberCash.
  • Smart cards: ancora in fase sperimentale in Europa e in Italia.

    • Sebbene si siano già affermate forme alternative al pagamento in contanti come le carte prepagate e le carte di credito, i problemi tecnici che oggi si devono affrontare sono accompagnati dalle incertezze riguardo le future abitudini delle persone (relativamente a quanto tempo sarà necessario affinché la gente possa porre piena fiducia nel ciberspazio) e ai metodi più convenienti e pratici per realizzare i nuovi sistemi di pagamento.
    È pur vero che, ormai, l'utilizzo della moneta contante appare superato; la carta moneta è fastidiosa da portare in giro e da cambiare, può essere distrutta ed è soggetta a deteriorarsi.
    I sistemi di pagamento attuali sono particolarmente inefficienti e costosi, sia gli assegni, che devono essere portati alle banche e poi trattati per registrare i dettagli dell'operazione (con un costo stimato negli Usa si 45 mld $), che il contante, caratterizzato da ingenti costi di trasporto (150 mld $).
    Tutti questi costi aggiuntivi potrebbero essere ridotti eliminando i costi associati alla gestione della carta moneta.
    Tuttavia il sistema attuale, con tutti i suoi limiti, è un sistema che funziona, cosicché i nuovi sistemi di elettronici di pagamento dovranno mostrare degli evidenti vantaggi per poter sostituire quelli attuali nelle abitudini delle persone.
    Questi vantaggi potrebbero essere:

  • Una maggiore sicurezza: Contrariamente all'opinione corrente i pagamenti digitali sono più sicuri degli attuali. Le persone sono oggi abituate a lasciare la loro carta di credito al cameriere al ristorante oppure a fornire il numero di carta al telefono: Queste abitudini, occorre ricordarlo, sono abbastanza rischiose. I pagamenti elettronici, invece, si basano sull'uso di sistemi di crittografia sofisticati per lo scambio delle informazioni cosicché il commerciante non ha la possibilità di vedere i numeri delle carte di credito. Inoltre ormai sono diffusi strumenti per garantire l'identità delle persone e l'integrità dei dati trasmessi.
  • Moneta più flessibile: La moneta elettronica è sicuramente più flessibile rispetto a quella tradizionale perché è possibile programmarla per particolari utilizzi. Infatti può essere destinata per usi specifici, per esempio per effettuare acquisti presso un centro alimentare, ma non per pagare il conto del bar, oppure i genitori possono trasferire del danaro elettronico ai figli che sia valido solo per l'acquisto di libri, o ancora lo stato può distribuire carte elettroniche per ricevere buoni pasto invece di distribuire delle somme di danaro come sussidio. In questi esempi il danaro può essere speso solo per l'uso indicato.
  • Moneta: qualsiasi cosa di valore. L'ultimo esempio suggerisce che qualsiasi cosa, non solo il danaro, può assumere forma elettronica: dai biglietti aerei alle tessere di viaggio, ai punti delle raccolte, ai documenti anagrafici e fiscali etc.
  • Convenienza: in forma digitale il danaro è meno costoso da trattare per le banche. È sempre disponibile nell'esatto ammontare, è facilmente trasportabile e può essere trasferito con facilità ovunque.
  • Economia digitale: forse la maggiore caratteristica della moneta digitale consiste nel fatto che, oltre a migliorare le operazioni attuali, essa potrebbe facilitare la nascita di una nuova economia digitale caratterizzata dalla facilità di scambiare merci, servizi ed informazioni a pagamento in tutto il mondo.

    • Si è già accennato ai requisiti di sicurezza richiesti per i sistemi commerciali su rete, osserviamo le varie possibilità di pagamento elettroniche disponibili:


    capIIIimage002.gif 295x256

  • Carte di credito: le forme di pagamento più semplici consistono in un'evoluzione dei sistemi di pagamento già in uso, cioè le carte di credito e gli assegni (più avanti si parlerà dei contanti). In questo settore il contributo maggiore è stato quello di MasterCard e VISA per la creazione di un protocollo sicuro per il pagamento tramite carta di credito che si adattasse al sistema attuale. Dopo aver sviluppato sistemi tra loro incompatibili, queste due aziende, assieme ad un gruppo assai numeroso di aziende tra cui Microsoft e Netscape hanno annunciato lo sviluppo del sistema SET (Secure Electronic Transactions), disponibile all'inizio del '97, basata su sistema di cifratura a chiave pubblica per la comunicazione dei dati sulle carte di credito; inoltre il sistema SET utilizza sistemi che rendono sicuro il canale fisico di comunicazione. I dati relativi al numero della carta viaggiano in forma cifrata fino al raggiungimento della banca. Il venditore può solo vedere i dati anagrafici dell'acquirente, la sua firma digitale che ne attesta l'identità e i dati relativi all'operazione di vendita (articolo richiesto e prezzo) mentre non conosce il numero della carta del cliente; analogamente la banca non riceve alcuna informazione circa i dettagli dell'acquisto.
  • Assegni: i sistemi basati su carta di credito presuppongono che il venditore sia riconosciuto dalla compagnia emittente della carta. Per i pagamenti tra privati basati su assegno è invece allo studio una soluzione da parte di CyberCash che si basa su assegni prepagati in formato elettronico.
  • Smart Cards: rappresentano un'evoluzione delle attuali tessere bancomat. Le smart card permettono di immagazzinare danaro sulla tessera perché sono sempre prepagate, a differenza delle carte di credito (che vengono rimborsate successivamente) e delle carte bancomat (che accedono al proprio conto corrente per trasferire le somme di danaro dal proprio conto a quello del venditore).


    • capIIIimage004.gif 153x173capIIIimage006.gif 170x170capIIIimage008.gif 202x179


    Tali carte sono fornite di un microchip incorporato che ha la possibilità di registrare informazioni, implementando servizi di cifratura/decifratura basati su chiave pubblica e di riconoscimento delle firme digitali. Queste carte vengono inserite in speciali lettori che permettono di caricare la moneta elettronica che può essere poi spesa a piacimento. Esiste un forum di aziende (circa 200) che supportano lo sviluppo delle Smart Card visitabile al sito http://www.smartcrd.com.

  • Micropagamenti: i sistemi di pagamento finora descritti non sono altro che l'evoluzione di sistemi già usati, adattati per l'uso in rete, quindi non sono sempre adeguati alle necessità. Infatti questi sistemi sono caratterizzati da costi aggiuntivi troppo elevati per pagamenti dell'ordine delle poche migliaia di lire. Poiché la nuova economia digitale presuppone una miriade di scambi tra privati (notizie, informazioni finanziarie, software, scambi oggetti di seconda mano, etc) con pagamenti di cifre di poco conto, è necessario mettere a disposizione sistemi di pagamento appositi. A questi "micropagamenti" sono rivolti gli studi delle università così come delle compagnie come Digital, IBM, CyberCash. L'idea comune consiste nel ridurre i costi trattando contemporaneamente più operazioni di pagamento che vengono portate a termine assieme a regolari intervalli di tempo. La raccolta temporanea dei pagamenti non portati a termine e il successivo completamento dei pagamenti potrebbe essere svolta da degli intermediari.
  • La moneta elettronica: la moneta elettronica vorrebbe in futuro sostituire in molti casi il contante attuale e, come tale, dovrebbe poter essere spesa ovunque, scambiata tra due privati senza la necessità di conti bancari, né di alcuna forma di intermediazione. Le smart cards si avvicinano molto a questa definizione, perché possono essere caricate con moneta elettronica che può essere spesa ovunque. La moneta elettronica è molto adatta per quei micropagamenti che si suppone caratterizzeranno il futuro della rete. La moneta elettronica però, oltre che su smart card, può essere disponibile totalmente via software per l'uso in rete utilizzando i p.c. e quindi può essere conservata anche sul proprio hd. I vari sistemi proposti da alcune banche (Deutche Bank, Mark Twain Bank (USA), Merita Bank/Eunet (Finlandia)), oltre che da Microsoft, CyberCash, Mastercard, si basano sull'invio da parte della banca di moneta elettronica "stampata" (rappresentata da una serie di numeri) e certificata digitalmente con chiave privata.



    • imcap3n1.gif 177x230imcap3n2.gif 182x309imcap3n3.gif 162x303

    Questo approccio permetterebbe alle banche, annotando i numeri seriali delle banconote elettroniche di ciascun cliente, di conoscere come egli ha speso questi soldi. Invece la DigiCash ha sviluppato un sistema nel quale invece le banconote vengono "stampate" per così dire dal cliente e vengono poi manipolate dal software DigiCash in modo da rendere illeggibile in numero di serie. La banca, a questo punto, effettua l'addebito sul conto del cliente della somma corrispondente alle banconote elettroniche ricevute e gliele rispedisce dopo averle opportunamente autenticate. A questo punto le banconote, certificate dalla banca, vengono nuovamente manipolate per rendere nuovamente leggibile il loro numero di serie e possono essere spese senza che la banca possa dal numero di serie rintracciarne il proprietario.

    Verso La Moneta Privata?

    Ripercorrendo brevemente le tappe che hanno portato al sistema monetario attuale, siamo passati dalle forme di commercio basate sullo scambio di monete coniate con metalli preziosi, fino alla diffusione di banconote emesse dalle varie banche in sostituzione di queste fino al sistema attuale basato su alcune istituzioni finanziare dei governi nazionali (in Italia la Banca d'Italia) che hanno la possibilità di stampare carta moneta (che non corrisponde neanche più alle riserve auree in possesso) e che garantiscono in qualche modo la validità del danaro circolante, godendo di fiducia ormai consolidata.
    In futuro però si potrebbero avere altre forme di monete per così dire private emesse da grandi compagnie aventi migliaia di utenti; questa prospettiva non è tanto avveniristica se pensiamo che già i buoni punto o i bollini dei distributori oppure le tessere di abbonamento delle grandi compagnie aeree non sono altro che una forma di danaro privata.
    Tra qualche anno un negozio virtuale, presente sul Web, potrebbe offrire dei buoni punto per i clienti più affezionati; questi buoni punto potrebbero essere conservati nel borsellino virtuale del cliente e riutilizzati per fare acquisti successivamente.
    Cosa succederebbe se tale sito Web diventasse così popolare da poter scambiare tali buoni anche in altri posti della rete o addirittura convertirli in danaro? In pratica si toglierebbe il monopolio sulla moneta alle banche, seguendo una tendenza che negli Stati Uniti vede fronteggiarsi nuovi istituti (come la compagnia AT&T) a fianco di quelli tradizionali nel mercato delle carte di credito.


    5 Risposte Per L'utente Sulle Nuove Forme Di Pagamento

     D:Cosa accade se si perde la smart card o se non funziona?

    R: La smart card è in tutto e per tutto moneta contante, una volta persa viene perso il danaro in essa contenuto. Per quanto riguarda il cattivo funzionamento della smart card, gli esperti assicurano che trattasi di un evento estremamente improbabile.

    D:Come si può conoscere l'esatto ammontare contenuto nella smart card?

    R: Mediante sportelli in tutto simili a quelli bancomat o tramite dei piccoli terminali presso i negozi e comunque sempre all'atto dell'acquisto della carta per verificarne l'ammontare contenuto.

    D: Quali sono i mezzi per rendere sicura la trasmissione dei numeri di carta di credito e, più in generale, le garanzie per un acquisto sulla rete?

    R: Le soluzioni proposte per questo problema sono molteplici. Alcune si basano sulla definizione di un canale sicuro per la trasmissione (sistema Secure Socket Layer) dei dati riservati, defininendo un cammino su cui si trovano solo server ove non è possibile intercettare i dati (certificati come "sicuri" in questo senso) ; altre, invece, si basano su sistemi grazie ai quali i dati riservati risultano illeggibili se intercettati da persone non autorizzate. A questo scopo, per proteggere i messaggi di posta elettronica (che viaggiano in chiaro sulla rete), sono disponibili sistemi di crittografia basati su chiavi asimmetriche come RSA e PGP (Pretty Good Service), per le carte di credito è stato proposto il sistema SET , che tutela il titolare della carta di credito il quale manda il suo numero di carta di credito al venditore impacchettandolo in una busta virtuale che lo rende leggibile solo all'istituto di credito. Un ultimo problema riguarda la garanzia che il venditore, dopo aver avuto dal cliente il denaro, garantisca in effetti la consegna della merce nei tempi concordati. Si è già accennato alla necessità di meccanismi di non ripudio a proposito dei requisiti di sicurezza; tuttavia sono allo studio anche altri sistemi confidando anche sulla possibilità di raccogliere rapidamente dagli utenti indicazioni sui commercianti fraudolenti e metterle a disposizione di tutti (magari con l'aiuto di qualche agente software). Nel caso della moneta elettronica è possibile conservarla sul proprio hd.

    D:Ma se il p.c. va in crash? Inoltre è possibile il furto del danaro avendo il p.c. collegato in rete?

    R:In caso di guasto del p.c. in effetti se la moneta elettronica è conservata in un borsellino elettronico sul proprio hd (come nel sistema Digicash) questa verrà perduta; anche l'ipotesi di un furto a seguito di un accesso non autorizzato dall'esterno non si può escludere. Questi problemi si ripropongono alla stessa maniera nel caso delle chiavi private degli utenti che alla stessa maniera possono essere perdute o rubate.


    Riferimenti:
    1. The Future of Money http://www.wnet.org/archive/fom/menu.htm
    2. U. Flohr, J. Rupnik- Quanto le e-monete tintinneranno nelle vostre e-tasche?- Byte Italia Gennaio 1998.

    Approfondimenti:

    1. http://fame.org/research/library/cw-001.htm (materiale divulgativo sulla moneta elettronica)
    http://digicash.com (sito Digicash)
    http://www.ibm.il/ibm_il/int-lab/mpay/ (ricerche IBM sulla moneta elettronica)
    http://smrtcrd.com (forum sviluppo smartcard)