4.11 LE PROBLEMATICHE GIURIDICHE

4.11.2 LA SICUREZZA: LE ESIGENZE DI INTEGRITA' E IDENTIFICAZIONE

Con il continuo sviluppo dell'internet banking e dell'e-commerce, saper gestire problemi legati all'integrità delle informazioni è divenuto molto importante per un'azienda bancaria, soprattutto in vista di un sempre più massiccio utilizzo di nuovi canali distributivi. Con la progressiva sostituzione, infatti, della moneta elettronica a quella cartacea, le problematiche di sicurezza sono profondamente mutate rispetto al passato. Gli investimenti in questo ambito sono diventati per molte banche una vera e propria leva distintiva nei confronti della concorrenza.

Fino a qualche anno fa gli istituti di credito erano portati a pensare che sulla sicurezza non vi fossero grossi margini di miglioramento, anche perché ritenevano, allo stato dell'arte, il furto elettronico praticamente impossibile o quantomeno troppo costoso. Tale convinzione è stata però con il tempo letteralmente demolita: è sufficiente dare uno sguardo ai dati sulle truffe registrate da società che emettono carte di credito. Nel solo 1999 la Mastercard, per esempio, ha subito truffe per circa 703 milioni di dollari, con un aumento del 33% rispetto all'anno precedente, mentre la sua concorrente Visa ha raggiunto circa 1,2 miliardi di dollari di truffa (+28%) 341.

Le banche, nell'evoluzione verso nuove forme di contatto con la clientela, si sono dunque dovute preoccupare principalmente di garantire che 342:
- le informazioni siano inaccessibili a chiunque, fatta eccezione per il mittente (acquirente) e il destinatario (fornitore);
- le informazioni non siano modificate durante la trasmissione;
- il destinatario abbia la certezza che esse provengono da un ben preciso mittente;
- il mittente possa avere la sicurezza che il suo interlocutore è realmente il fornitore con cui intende svolgere la transazione;
- il destinatario non possa rifiutare ciò che il mittente gli ha inviato 343.

In una rete aperta quale internet, è difficile identificare con certezza l'interlocutore dal momento che nessun ente o soggetto controlla - o può controllare - il sistema ed i suoi variabili giocatori. Se una transazione prevede il pagamento in contanti non è necessario che si instauri alcun rapporto di fiducia tra i due interlocutori, concentrandosi l'attenzione delle parti contraenti solo sul bene compravenduto. Se invece lo scambio merce-moneta non è contestuale si ravvisa la necessità dell'elemento fiduciario che sarà tutelato attraverso "garanzie" diverse, quali l'utilizzo delle tecniche crittografiche, della firma digitale e dai più avanzati strumenti hardware (es. Firewall) e software (SET, SSL). Il problema della sicurezza trova, quindi, molteplici, possibili soluzioni, tutte operanti in modo estremamente mirato per una loro maggiore efficacia e funzionalità 344.

Mancando queste soluzioni verrebbe meno la fiducia tra le parti contraenti e per la conclusione della transazione si sarebbe costretti ad utilizzare strumenti alternativi ai nuovi sistemi di pagamento e storicamente testati quali sicuri: pagamento in contrassegno, bonifico bancario oppure pagamenti misti, quali la comunicazione a mezzo posta o telefono degli estremi delle carte di pagamento. Strumenti che mortificherebbero le potenzialità insite nella rete 345.

Tuttavia, come già esaminato, l'identificazione dell'utente presenta il grave difetto di costituire anche una potenziale violazione della privacy, potendosi ricostruire il suo profilo attraverso la raccolta e l'elaborazione delle operazioni da questi compiute sulla rete.

Si profila dunque un trade-off fra la tutela dell'utente e l'esigenza di sicurezza del sistema.

Al riguardo, occorre chiedersi in primo luogo, se sia sempre necessario che l'identificazione dell'utente coincida con la sua identificazione personale.

In certi casi, infatti, il controllo è volto a garantire piuttosto che l'identità, la sua legittimazione ad effettuare alcune operazioni o a impiegare determinati strumenti. Ad esempio, l'utilizzo del PIN non garantisce propriamente l'identità di un soggetto, bensì che questo è autorizzato, invece, ad effettuare prelievi 346.

I problemi della sicurezza che internet comporta, non sono tutti o soltanto problemi di natura tecnologica. Vi sono infatti aspetti che afferiscono alla sfera della psiche di ogni individuo che si appresta a navigare in internet. Questi aspetti, che possiamo indicare semplicemente e sinteticamente come una sorta di "diffidenza" verso questo strumento di comunicazione, sono certamente i più difficili da eliminare. Occorre, in questo caso, procedere per gradi, tentando cioè, pian piano, di smontare il castello di paure, di incertezze e di sospetti che ciascuno porta con sé, dimostrando con i fatti che la prefigurata pericolosità della rete non è poi necessariamente diversa o maggiore rispetto a quella che pur caratterizza altri strumenti propri del nostro tempo. In altre parole occorre svolgere un'azione di convincimento relativamente al fatto che i rischi cui si può andare incontro utilizzando internet per acquisire informazioni, per comprare o per comunicare non sono di un ordine di grandezza decisamente superiore a quello cui siamo da sempre abituati nel mondo in cui pure operiamo tutti i giorni 347.

La tabella 4 offre a questo proposito un quadro delle perdite che si hanno in alcune aree particolari, con le quali, malgrado questo, si ha, peraltro una grandissima familiarità.

La tabella evidenzia chiaramente come attualmente il rischio sia nettamente superiore in aree di attività che con internet non hanno nulla a che fare e che non risentono di fattori psicologici negativi per quanto riguarda la loro penetrazione tra il grande pubblico.

In questo contesto l'analisi dei rischi e le scelte organizzative possono supplire alle carenze degli strumenti tecnologici.

Nell'ambito bancario si può ipotizzare di neutralizzare i pericoli e offrire comunque dei servizi alla clientela:
- utilizzando password "usa e getta" o generate dinamicamente in modo che una eventuale cattura e decrittazione dei messaggi non consenta di accedere a informazioni utili;
- autorizzando solo disposizioni facilmente reversibili, come per esempio il pagamento di utenze;
- permettendo solo disposizioni pre-autorizzate come potrebbe essere il bonifico di importi inferiori ad una certa soglia verso conti correnti dichiarati in anticipo 349.

Note

341 - FEDERICI T., FERRACCHIATI A., Le banche e l'insicurezza digitale: possibili soluzioni, in Dirigenza Bancaria set/ott 2000 pag. 28
342 - FEDERICI T., FERRACCHIATI A., op. cit. pag. 29
343 - MORELLI M., op. cit. pag. 36
344 - MORELLI M., op. cit. pag. 36
345 - TIDONA M., op .cit. in
www.tidona.com/pubblicazioni/aprile00_2.htm
346 - FINOCCHIARO G., op. cit. pag. 130
347 - MORELLI M., op .cit. pag. 26
348 - MORELLI M., op .cit. pag. 78
349 - SALVATICI A., op. cit.