PORTALINO Laurea : Tesi di laurea di Antonio Cagnoni

Università degli Studi di Siena
Facoltà di Scienze Economiche e Bancarie

Corso di laurea in Scienze Economiche e Bancarie
Anno Accademico 1996-1997

I sistemi di pagamento:
realtà e prospettive in Internet.

Relatore: Chiar.mo Prof. Alfio Andronico
Correlatore: Chiar.mo Prof Gastone Ceccanti

Tesi di laurea:
Antonio Cagnoni
(afc@tirreno.it)

Capitolo III

I sistemi di pagamento elettronici in Internet

3. Assegni elettronici

4.3. FirstVirtual

Nell'ambito delle carte di credito nel contesto Internet, riportiamo per ultimo, non per importanza bensì per le peculiarità che lo rendono significativamente differente dagli altri, il sistema First Virtual.⁽¹³⁾

Questo sistema di pagamento studiato per Internet, fu uno dei primi capaci di entrare in funzione. Risale infatti al 15 Ottobre 1994 la data a partire dalla quale First Virtual è apparso sulla Rete come fornitore di un mezzo di pagamento elettronico.

E' basato sul cosiddetto "Green Commerce Model" secondo il quale tutti i rischi della transazione vengono a cadere su colui che vende il bene od il servizio oggetto dell'operazione.

Il cliente apre un account alla First Virtual (FV) seguendo una procedura off-line, tipicamente telefonica, mediante la quale viene ad istituirsi un collegamento con la propria carta di credito (Visa o Mastercard). Una volta registrati alla FV, si ottiene un "virtual PIN" per acquisti elettronici e che può essere spedito via WWW o e-mail.

Dall'altra parte, il commerciante deve anch'esso registrarsi alla FV fornendo un collegamento ad un proprio conto bancario accessibile tramite il sistema di compensazione interbancaria statunitense (di fatto quindi con banche statunitensi o canadesi).

A questo punto i commercianti possono scegliere di aderire alla InfoHaus, una specie di grande magazzino virtuale in cui è possibile apparire come venditori e fare pubblicità anche senza avere un proprio sito in Internet. Una specie di vetrina ben visibile agli utilizzatori del sistema First Virtual.

Il Green Commerce Model permette all'acquirente di ricevere prima il bene che si vuole acquistare e poi, se di gradimento, di pagarlo tramite FV. Si pagherà solo se il bene corrisponde alle aspettative dato che una vendita a distanza può indurre in errori di valutazione anche molto rilevanti.

Da notare che questo sistema permette a FV di controllare la qualità dei venditori convenzionati e, nel caso questi siano protagonisti di un operazioni con elevato grado di restituzione delle merci, vengono esclusi dal sistema. Tutto questo per garantire un certo livello nella qualità del servizio offerto da FV.

Veniamo però ad analizzare le caratteristiche che fanno di questo sistema qualcosa di unico nel suo genere.

Infatti non vengono assolutamente usate, per esplicita scelta di FV, tecniche di crittografia che invece, abbiamo visto, essere largamente usate in altri sistemi.

Alla base di FV c'è la rigida distinzione tra informazioni che possono viaggiare in Internet causa il basso contenuto di importanza che hanno ed il relativo scarso livello di segretezza di cui necessitano e informazioni che invece, per la loro implicita gravità devono essere tenute categoricamente segrete e quindi non devono viaggiare su network aperti quale Internet, appunto.

Secondo First Virtual, proprio la natura anarchica di Internet, lasciato senza alcuna autorità in balìa di milioni di computer e relativi utenti, conduce alla consapevolezza che è meglio tenere per se i dati importanti e trasmettere solo quelli irrilevanti.

Esistono infatti due diversi approcci al problema. Da un lato è possibile mediante "stenografia" (nascondendo le informazioni in una grande massa di altre informazioni) e crittografia (v. cap.2) rendere informazioni rilevanti nascoste da occhi indiscreti. Dall'altro lato si vuole invece tenere queste importanti informazioni completamente fuori da Internet.

Così quando FV è chiamata in causa nel processare una transazione finanziaria, essa richiede solo il Virtual PIN del cliente (rappresentato da un insieme di cifre). A questo punto, ottenuto il PIN, cercherà nel proprio database l'indirizzo e-mail dell'utente al quale verrà inviato un messaggio di posta elettronica in cui si chiede la conferma dell'operazione. L'utente potrà rispondere, "yes", "no", "fraud". Solo nel caso in cui la risposta sia affermativa inizierà la transazione finanziaria portando in gioco la carta di credito dell'acquirente ed il sistema di compensazione nazionale. Nel caso in cui la risposta porti il messaggio "fraud" (frode), FV inizierà una serie di controlli tendenti ad identificare il possibile autore dell'imbroglio.

Infatti FV considera, come abbiamo detto, proprio per la natura di Internet, ogni cosa facilmente intercettabile ed oggetto di furto. Quindi, invece di creare uno strumento che impedisca frodi, ha cercato di disegnare un sistema che riduca gli effetti di un possibile furto.

Se, ad esempio venisse intercettato e rubato il Virtual PIN, ciò non porterebbe gravi conseguenze. Colui che riuscisse a far ciò potrebbe iniziare una transazione ma non potrebbe concluderla non potendo completarsi il necessario "loop" di posta elettronica tra FV ed il cliente autorizzato.

Il furto del PIN può essere inteso come uno dei passi per un attacco generale al sistema First Virtual, ma preso singolarmente non produce alcun effetto.

Affinché quanto sopra esposto possa causare conseguenze più gravi, si renderebbe necessario anche il furto dell'indirizzo IP (Internet Protocol), ovvero quel numero che può arrivare ad essere composto da 12 cifre e che identifica ogni computer collegato ad Internet. L'intercettazione dell' IP permetterebbe al truffatore di dirottare tutto il traffico telematico (comprese le e-mail) diretto al computer identificato dall'IP in questione, verso il proprio terminale.

Tutto ciò, a prima vista sembrerebbe il punto debole capace di far crollare il castello FV. Non vi è dubbio che il furto di IP è possibile ed altrettanto efficace nelle conseguenze. Però non bisogna dimenticare che questa tecnica è molto "cruda" ovvero difficile da eseguire senza destare attenzione. Infatti l'utente del computer "assalito" noterà immediatamente una grave riduzione nelle prestazioni e nella stabilità del proprio servizio Internet. Per questo motivo, un assalto sull'IP, viene generalmente scoperto presto ed altrettanto facilmente si può risalire all'intruso seguendo le tracce che questo ha lasciato nella navigazione non autorizzata.

Così questo furto di IP può essere praticato per un periodo di tempo brevissimo, pena la scoperta dell'imbroglio. Questa limitatezza di tempo per l'azione va a tutto vantaggio del sistema FV. Infatti la spedizione casuale (in intervalli di tempo sempre diversi) della e-mail all'utente, rende impossibile per l'impostore sapere quando inserirsi al posto del vero utente celandosi dietro l'IP rubato.

Oltre a questo, il malfattore deve, per impadronirsi dell'indirizzo IP, risalire dal PIN intercettato, all'indirizzo di e-mail e da quest'ultimo all'IP del computer vittima. Sicuramente non una cosa semplice !

NOTE:

(13) AA.VV., First Virtual Home Page. URL : http://www.fv.com/ [57]