Per quanto riguarda la sicurezza dei pagamenti online esiste uno standard noto come PCI DSS (Payment Card Industry Data Security Standard), ed è stata concepita per fornire alle aziende che si occupano di e-commerce un elevato standard di qualità, a qualsiasi livello: servizi di online banking, gateway di pagamento, merchant. L’iniziativa nasce congiuntamente nel 2006 su iniziativa di American Express, Discover, JCB, Mastercard e VISA, e si propone di fornire delle indicazioni univoche per implementare al meglio la sicurezza e la riservatezza delle transazioni online.

Senza entrare nei dettagli troppo tecnici o specifici della documentazione, in genere i rischi associabili ai pagamenti online sono stati classificati in almeno 5, fondamentali, tipologie:

malware phishing accesso remoto non autorizzato password deboli software obsoleto

Proviamo a vederli nel dettaglio.

I malware sono quelli che conosciamo anche fuori dal mondo dei pagamenti online, e sono in grado di bloccare i nostri dispositivi (ransomware), di infettarli a nostra insaputa (trojan), di spiare le nostre abitudini (spyware) e di trasmettere a terzi nostri dati personali (exfiltration), incluse le anagrafiche, le password ed i dati di pagamento. In genere contro i malware è opportuno dotarsi – su tutti i dispositivi che si usano abitualmente – di un buon antivirus, ricordando che vanno tenuti sempre aggiornati all’ultima versione disponibile. In genere, comunque, parte del rischio associato ai vari tipi di malware si attenua attenendosi alle regole generali del buonsenso, ad esempio evitando di cliccare a casaccio sul primo link che ci capita, specialmente se dovesse provenire da contesti enfatizzati o anche (magari solo apparentemente) da persone di cui ci fidiamo.

Il phishing consiste in comunicazioni ingannevoli, che avvengono soprattutto via email, e che sono in grado di sottrarci credenziali di accesso ai servizi di home banking, PIN e password riservate dei nostri wallet, carte di pagamento o conti online. Un caso tipico di phishing è legato a siti web che riproducano esattamente le fattezze dei siti originali, include le pagine di login, in cui non bisogna assolutamente inserire username o password. Per aiutarci ad identificare correttamente i siti corretti della nostra banca, pertanto, è utile:

verificare la presenza di HTTPS (il lucchetto verde a fianco dell’indirizzo del sito), praticamente obbligatorio per tutti i siti, meglio se con eventuale indicazione del nome dell’azienda (ad esempio Poste Italiane SpA se si tratta del sito della PostePay); verificare che l’URL o indirizzo sia esatto, e non una versione che gli somiglia o che coincida con esso solo in parte.

I casi di accesso remoto non autorizzato, cioè un malintenzionato che riesca ad accedere da remoto ad un nostro account ed effettui mediante esso operazioni di pagamento, possono avere più cause: circostanze accidentali, distrazioni da parte dell’utente, ma molto spesso anche mancanza di adeguata protezione dall’esterno. In molti casi possono esistere software malevoli o malware che si installano abusivamente sui computer delle vittime al fine di facilitare o consentire l’operazione (trojan).

Le password deboli sono ancora oggi estremamente diffuse anche tra gli utenti più esperti: per fretta, noncuranza o sottovalutazione del problema, si tende spesso ad utilizzare password banali, facili da ricordare o molto comuni, che possono essere oggetto dei cosiddetti attacchi “a dizionario” (si provano più password dall’esterno fino a trovare quella giusta). In questo caso impostare una password robusta è fondamentale per mantenere i propri wallet di pagamento sempre al sicuro.

Infine i software che utilizziamo devono essere sempre aggiornati: sistema operativo, programmi e librerie vanno tutti aggiornati all’ultima versione, e l’operazione andrebbe pianificata almeno un paio di volte al mese.

Quando si compra online, le regole basilari da seguire sono le seguenti:

eseguire le operazioni di inserimento delle password lontano da occhi indiscreti; assicurarsi che il sito da cui si acquista sia affidabile, sia verificando che supporti HTTPS (lucchetto verde) sia mediante ricerche su Google del nome del sito; abilitare il 3D Secure sulla propria carta prima di effettuare l’acquisto; preferite i pagamenti via bonifico e via Paypal a qualsiasi altra tipologia, specialmente se non si è troppo esperti o non ci si senta sicuri.

(Fonti: pcisecuritystandards.org)

4.53/5 (105)