4.7 LA CARTA DI CREDITO

4.7.3 LA CARTA DI CREDITO "VIRTUALE"

L'ostacolo principale alla diffusione di SET è la necessità che l'utente finale disponga di un certificato X.509 ma tale condizione è ben lungi dall'essere raggiunta. Un secondo rilevante problema, per il potenziale utente, è la necessità di installare sul PC un apposito software di dimensioni rilevanti, il quale rappresenta una condicio sine qua non per effettuare una transazione on line. A seguito di queste ed altre considerazioni, le banche hanno pensato di realizzare una propria soluzione, la carta di credito virtuale, che realizzi il minimo indispensabile per operare un acquisto.

Essa non è altro che un certificato digitale, ossia la rappresentazione elettronica della carta di credito tradizionale 304. Tale certificato riproduce le informazioni rilevanti della carta di credito ed è rilasciato dalla banca emittente in qualità di autorità garante. La firma digitale della banca garantisce l'autenticità e la validità della carta di credito. Un altro certificato è quello emesso per l'esercente dalla banca aquirer: come quando, entrando in un negozio, sappiamo che la nostra carta è lì accettata perché scorgiamo la vetrofania affissa all'entrata, così tale certificato svolge la stessa funzione su internet 305.


Il funzionamento

La logica seguita è quella di riprodurre in ambiente internet il sistema POS, che i negozianti usano per la conclusione di transazioni tramite l'impiego di carte di pagamento 306. In questo modo al cliente non è richiesta la disponibilità di nessun particolare prodotto software, nessun plug-in, nessuna installazione; è sufficiente un browser che supporti il canale SSL a 128 bit. Il venditore e la banca sono al contrario dotati di una solida struttura di sicurezza, basata su tre certificati:
- il certificato per la server authentication, rilasciato da un Certification Authority, che permette di identificare con certezza la controparte;
- due certificati, uno per la cifratura applicativa e uno per la firma dei documenti.

Quando il cliente termina la fase della selezione dei prodotti e decide di effettuare un acquisto, comunica i propri dati al venditore. Durante questo processo le informazioni sono trasmesse solo alla controparte commerciale, che li userà per inviare la merce e/o redigere il contratto di acquisto.

Il venditore, determinato l'importo della transazione (equivale a digitare l'importo della transazione sul POS fisico), lo comunica alla banca utilizzando il cliente come trasporto: le informazioni sono cifrate con la chiave pubblica della banca, firmate con la chiave privata del venditore e la busta prodotta è inserita nell'URL che il cliente deve confermare. La banca riceve le informazioni, verifica la firma e la decifra, e chiede al cliente di specificare il numero della carta e la data di scadenza (analogo alla strisciatura della carta nel POS fisico). Il flusso è protetto dal canale SSL a 128 bit. A questo punto la banca verifica i dati della carta accedendo al circuito e provvede alla transazione, comunicando l'esito sia al venditore sia al cliente. E' molto importante osservare che il venditore non viene a conoscenza dei dati della carta di credito, così come la banca non è messa al corrente dei dati privati dell'acquirente (che normalmente non è cliente della banca) 307.

Note

304 - Un certificato digitale è un documento elettronico firmato da una Certification Authority che attesta l'appartenenza di una specifica chiave pubblica a un individuo identificato.
305 - ROTUNNO C., op .cit. pag. 456
306 - DADDA R., La banca e il commercio elettronico: il caso del Banco Ambrosiano Veneto, in SCOTT W.G., MURTULA M., STECCO M., Il commercio elettronico, ISEDI 1999 pag. 529
307 - DADDA R., op. cit. pag. 548