I sistemi di pagamento per il commercio elettronico

Il successo del commercio elettronico è strettamente collegato alla possibilità di effettuare transazioni sicure sulla rete. Questo comporta una maggiore fiducia del consumatore finale e il raggiungimento di un livello accettabile di sicurezza nelle transazioni business-to-business. Nel panorama dei sistemi di pagamento impiegati in ambiente telematico occorre procedere con una prima distinzione tra metodi di pagamento tradizionali e soluzioni studiate su misura per il Commercio Elettronico. Nel primo caso (pagamenti off-line) è improprio parlare di Commercio Elettronico in quanto la transazione non si conclude esclusivamente on-line. È il caso di pagamenti per contrassegno o per vaglia postale nella forma tipica per il business-to-consumer e di pagamento via bonifico bancario a seguito della ricezione di una fattura nel caso del business to business. Attraverso la Rete si sceglie e si ordina il prodotto o il servizio, ma il pagamento avviene in anticipo o alla scadenza prestabilita con il merchant. Il pagamento on-line avviene invece utilizzando lo stesso mezzo sul quale viene effettuato l’ordine d’acquisto. Internet integra anche la transazione finanziaria. Nel caso del B-to-C la forma più comune è il pagamento con carta di credito, nel Bto- B sta prendendo piede la formula del Telepay. Lo scenario di riferimento, cioè l’ambiente di commercio elettronico vede un acquirente, connesso a Internet da un PC remoto, che accede ad un negozio virtuale su un sito Internet. Il gestore del negozio on line, ricevuto l’ordine di acquisto, deve richiedere autorizzazione per procedere con il pagamento. Le parti coinvolte in una transazione commerciale con carta di credito sono: Il titolare della carta (card-holder); Chi vende il bene/servizio (merchant); L’ente finanziario cui il merchant si appoggia (aquirer); Il gateway di pagamento, cioè il software che gestisce la transazione; La società che ha emesso la carta di credito (issuer); Le Authority competenti al rilascio del certificato digitale. SSL Nel contesto italiano la modalità più diffusa e la più semplice forma di pagamento sicuro è l’SSL (Secure Socket Layer). È uno standard impiegato dalla maggior parte dei siti di commercio elettronico; è un protocollo aperto e non proprietario progettato per gestire la trasmissione sicura dei dati su Internet. Può essere supportato dai principali browser senza l’aggiunta di programmi specifici né la richiesta di password. Le pagine protette di un negozio virtuale sono contrassegnate da un lucchetto (Netscape Navigator) o da una chiave (Microsoft Internet Explorer). Nel transitare dal browser al sito le informazioni vengono criptate per evitare possibili intercettazioni. Introdotto nel 1994 dalla Netscape Communication Corp, SSL riduce i rischi di violazione dei dati trasmessi on line. La crittografia impiegata garantisce riservatezza, integrità, autenticazione. Gli acquisti in modalità SSL sono assimilabili a quelli per corrispondenza. Non vi è la certezza dell’identità di chi effettua la transazione e quindi il titolare della carta può ricusare l’operazione visibile sull’estratto conto mensile. È comunque un sistema efficace soprattutto per il cosiddetto acquisto di impulso, il che giustifica il largo uso che ne viene fatto da molti siti di successo. Il primo impiego di SSL prevedeva che il card holder inoltrasse i dati della sua carta di credito al merchant. La certificazione delle informazioni, che viaggiavano criptate con algoritmo a 40 bit, avveniva off-line. Questo procedimento quindi non permetteva al merchant di aver garanzia sulla validità della carta. Ultimamente è stato perfezionato l’uso del protocollo SSL con l’introduzione del POS on-line o Virtual Pos. Sul server del merchant giungono tutti i dati necessari alla gestione dell’ordine, mentre per i dati relativi alla carta di credito, il buyer viene collegato al server sicuro (a 128 bit) di un circuito bancario. I dati vengono immediatamente inviati ai circuiti di autorizzazione (Servizi Interbancari, Visa, MasterCard e altri) che provvedono alla verifica delle informazioni sulla carta di credito e della disponibilità di fido. Questa prima fase è detta Authorisation. Se la risposta del circuito autorizzativo è affermativa, l’importo pari alla transazione viene momentaneamente bloccato sul conto del card holder. L’autorizzazione arriva al merchant e al buyer tramite server. Nel caso di errore, la richiesta di evasione del pagamento viene rimandata al merchant e al buyer. La seconda fase, detta Clearing, può avvenire in due momenti distinti. Se la merce comprata sono beni digitali (abbonamenti a servizi on line, software da scaricare…) l’addebito sul conto del buyer e l’accredito su quello del merchant, avvengono immediatamente dopo che l’autorizzazione di pagamento è stata ricevuta. Se si tratta dell’acquisto di beni fisici, l’addebito o l’accredito vengono posticipati a scadenza prestabilita o al momento della consegna. Telepay È il primo sistema di pagamento sicuro on line offerto dalle banche italiane e realizzato da SSB (Società per i Servizi Bancari) in grado di fornire ai venditori convenzionati (merchant) la possibilità di vendere on line in modo sicuro. Si basa sul protocollo SSL che permette di proteggere i dati a livello di trasporto e utilizza anche un protocollo, definito da SSB, che si basa sull’algoritmo RSA con chiave a 1024 bit, in grado di proteggere a livello applicativo la riservatezza e l’integrità dei dati relativi al pagamento. Il merchant non ha accesso al numero di carta di credito del compratore; solo SSB riceve i dati e autorizza l’addebito. Supporta sia pagamento con carta di credito che addebito in conto preautorizzato. L’acquirente on-line, subito dopo l’ordine, deve inoltrare la richiesta per procedere con la transazione al gestore dei sistemi di pagamento e attendere da SSB le relative istruzioni di pagamento. Il Venditore deve essere dotato di un sistema di gestione ordini e gateway verso i sistemi di pagamento (Virtual POS), installato su un Server Sicuro proprio (Virtual Shop) o di proprietà di una Terza Parte che lo ospita (Virtual Mall esempio www.paypal.it ). Il proprietario del server sicuro è l’entità (Banca Acquirer, venditore, Internet Service Provider) che gestisce il server sicuro e che ospita il sistema di gestione ordini e gateway verso i sistemi di pagamento (Virtual POS). SSB è l’entità che, in relazione alle singole esigenze delle Banche e dei loro clienti (Internet Service Provider, imprese, professionisti, privati), svolge il ruolo di “ processor” nell’ambito del sistema di commercio elettronico ed in particolare è attiva nelle seguenti aree: • sistemi di pagamento e sicurezza • gateway verso i sistemi di pagamento (GWP); • assistenza ai clienti. La Banca dell’acquirente è l’istituto presso cui l’acquirente intrattiene il rapporto di conto corrente da addebitare a fronte dell’acquisto effettuato su Internet. La Banca del venditore è l’istituto presso cui il venditore sottoscrive l’adesione al servizio. Per il pagamento degli acquisti effettuati presso i negozi virtuali con TELEpay è previsto l’utilizzo dei seguenti strumenti di pagamento. carte di credito, rivolto al segmento consumer in ambito internazionale; addebito preautorizzato in conto corrente bancario, area business –to- business; carte di debito, rivolto al segmento comsumer; borsellino elettronico” MINIpay”, rivolto al segmento consumer per piccole spese. L’ordine di acquisto viene inviato alla SSB, che è l’unica in grado di decriptare il numero di carta e di inviarlo per la richiesta di autorizzazione ai diversi circuiti delle carte di credito nazionali o internazionali. Ottenuto il consenso il “venditore” riceve il numero di autorizzazione e non il numero di carta di credito del “compratore”, mantenendo quindi la riservatezza sul numero di carta. Inoltre il sistema bancario garantisce, l’esistenza del venditore, attraverso l’emissione di certificati In conclusione la peculiarita del sistema di sicurezza di TELEpay consiste nel fatto che solo SSB dispone della coppia di chiavi RSA (pubblica /privata), mentre gli acquirenti ed i venditori utilizzano per la crittografia la chiave pubblica di SSB contenuta nel plug-in / active X integrato nei browser più diffusi sul mercato. Il Processo di setup Il processo di setup di Telepay comprende la realizzazione di un lavoro in tre passi: Adesione della banca del Venditore All’atto dell’adesione al servizio da parte della banca del venditore, SSB rilascia alla banca le licenze d’uso dei moduli software di gateway verso i sistemi di pagamento che la banca metterà a disposizione dei venditori convenzionati. Adesione del venditore Il venditore che intende aderire al servizio deve convenzionarsi con un Banca aderente e concordare con questa le modalità di gestione del negozio virtuale e le modalità di pagamento che intende accertare a fronte degli acquisti effettuati presso il negozio stesso. Il venditore deve avvalersi di un sistema gestione ordini e dell’accesso ai sistemi di pagamento presso un Server Sicuro proprio (Virtual Shop) o di proprietà di una terza Parte che lo ospita (Virtual Mall esempio www.paypal.it). Al fine di poter effettuare il monitoraggio sicuro degli ordini di sua pertinenza, nonché dell’esito dei pagamenti, è necessario che il venditore disponga di un PC con un browser connesso ad Internet. Registrazione preliminare del potenziale acquirente Un cliente interessato ad effettuare acquisti per la prima volta nell’ambito del servizio, accede al sito http://telepay.ssb.net e compila sul server SSB un modulo riportante i dati anagrafici e l’indirizzo di e-mail. Al termine della fase di registrazione e dopo aver verificato l’esistenza dell’indirizzo di e-mail indicato (attraverso uno scambio di messaggi di e-mail tra SSB e l’acquirente), SSB abilita l’acquirente ad operare nell’ambito del servizio. Ciò significa che da questo momento il client (il broswer) dell’acquirente è autorizzato a comunicare in modalità SSL. Affinché poi il computer dell’acquirente sia abilitato al pagamento, occorre scaricare dal server di SSB il plug-in/activeX che, come detto, serve a criptare i propri dati garantendo ulteriormente la sicurezza della transazione. Transazione Commerciale Inoltro dell’ordine dall’acquirente al negozio virtuale. L’acquirente registrato, dopo aver consultato il catalogo ed aver selezionato il bene/servizio che intende acquistare, inserisce , con il supporto della sicurezza SSL, l’ordine d’acquisto (completo dell’indicazione della modalità di pagamento prescelta, es. “ carta di credito”) sul sistema di gestione ordini del negozio virtuale residente presso il server sicuro. Transazione Finanziaria Inserimento istruzioni di pagamento da parte dell’acquirente. L’acquirente importa automaticamente sul proprio PC, con sicurezza SSL a livello di browser, il riepilogo dell’ordine (modalità di pagamento, numero riferimento ordine, importo totale, etc…) A fronte della suddetta ricezione il browser dell’acquirente attiva il plug-in/activeX distribuito da SSB che effettua le seguenti attività: verifica l’autenticità del certificato del venditore verifica i dati dell’acquirente, avviando eventualmente la fase di registrazione se questi non risulta registrato; visualizza i dati di riferimento dell’ordine richiede l’inserimento delle informazioni riservate relative al pagamento; crittografa i dati con la chiave pubblica di SSB associata al venditore presso cui è stato effettuato l’acquisto. Inoltro istruzioni di pagamento da acquirente a gestore sistemi di pagamento. Il messaggio contenente i dati crittografici viene quindi inviato dal PC dell’acquirente al gestore dei sistemi di pagamento presente sul server SSB , per le procedure di controllo e di autorizzazione. Dopo l’invio del suddetto messaggio, il plug-in/ active X residente sul PC dell’acquirente rimane in attesa dell’esito delle istruzioni di pagamento che sarà generato dal gestore dei sistemi di pagamento residente sul server SSB. Inoltro dell’esito delle istruzioni di pagamento dal gestore dei sistemi di pagamento al venditore. Il venditore può interrogare e consultare dal suo PC lo stato dei pagamenti di sua pertinenza, accedendo in modalità SSL al Web di SSB. SSB provvede comunque ad inviare anche tramite messaggi di posta elettronica e notifica on–line gli esiti dei pagamenti. SET (Secure Electronic Transaction) È il protocollo standard realizzato da Visa, Mastercard, Microsoft, Netscape. Nasce dall’esigenza di identificare in modo certo i contraenti (buyer, Merchant). Per utilizzare il protocollo SET, oltre ai software sul server del merchant, sono necessari sul PC del buyer un “wallet”, modulo software, e un PIN (personal identification number), appositamente rilasciato dalla compagnia che ha emesso la carta del buyer. SET permette il pagamento elettronico con carta di credito su reti pubbliche e private. SET consente ai possessori di carta di credito e ai merchant di potersi identificare con certezza prima che qualsiasi transazione abbia inizio. Ciò assicura a entrambe le parti che il pagamento sarà gestito esattamente come in un negozio fisico. Per il suo elevato livello di affidabilità, il sistema SET non prevede la ricusabilità della transazione da parte dell’utente. Questo processo di autenticazione utilizza certificati digitali che vengono rilasciati ai card-holders e ai merchant da un istituto bancario affiliato al circuito Visa-Mastercard. Con SET i dati delle carte di credito sono protetti in tutta la transazione; l’istituto finanziario procede al regolamento. Il merchant non può avere accesso a queste informazioni durante tutte le operazioni di pagamento. Visa-Mastercard fornisce i certificati digitali all’istituto che ha rilasciato la carta di credito e quest’ultimo a sua volta, provvede a munire il card holder di certificato e di codice personale PIN. Ancora oggi SET risulta un sistema poco diffuso nel contesto italiano.