Prevenzione delle frodi nel commercio online

Le persone con una buona dose di arrivismo, propensione per le tecnologie internet e valori immorali spopolano nei clan dei criminali informatici. La corsa agli armamenti è iniziata da tempo – a che punto siamo?

Oggi tutti parlano di cyber security, hacking e frodi in internet. Il tema non è solo importante e urgente, ma anche seducente e trendy nei social media, tra gli influencer e tra gli esperti di sicurezza, più o meno credibili. Ormai ogni film di successo, da James Bond a Wallander, ha la sua spia informatica. E gli USA, come anche molti altri paesi, hanno dichiarato il cyberspazio zona militare.

In Svizzera le questioni relative ai crimini informatici vengono coordinate a livello federale principalmente da MELANI [1] e Fedpol [2]. La Confederazione sta intensificando i suoi sforzi volti alla prevenzione e alla lotta contro i rischi informatici con l’introduzione di un «Mr. Cyber» [3]. Florian Schütz, ex collaboratore RUAG ed ex responsabile della sicurezza presso Zalando, è stato scelto per questo incarico. La cyber security non è solo quella che si vede nei polizieschi, ma è una questione seria. 
Il titolo di questo contributo riguarda nello specifico la prevenzione di attività fraudolente nel commercio online, escludendo dalla tematica gli altri metodi di hackeraggio quali i ransomeware e i cavalli di Troia di codificazione. Il 99% dei sistemi di commercio online prevedono che il cliente si colleghi con il suo browser (Chrome, Firefox, Edge, Safari, MobileApp) a un sito web per selezionare prodotti e farseli consegnare a casa.

Gli hacker che violano questi sistemi hanno capito subito che attaccare direttamente l’infrastruttura della piattaforma di commercio è dispendioso e complicato. Abbondano notizie su hackeraggi a danno di aziende o carte di credito rubate ecc., dove l’hacker ha trovato un modo per accedere illegalmente all’infrastruttura informatica delle aziende. Nel 99% dei casi gli hacker cercano tuttavia di ingannare le persone (gli end-user) e di arricchirsi tramite i loro pc, laptop o cellulari o di impostare pagamenti illegali nei sistemi online.

Per le piattaforme commerciali si tratta di una questione molto spinosa, perché gli apparecchi terminali sono di responsabilità del cliente, il quale potrebbe provvedere a una scarsa manutenzione e non effettuare gli aggiornamenti. In altre parole, la piattaforma commerciale deve considerare l’apparecchio del cliente come non sicuro e presumere che venga già utilizzato da un criminale informatico.

Ma cosa succederebbe se una piattaforma commerciale potesse rilevare le attitudini di utilizzo degli utenti di siti web o app? La velocità con cui viene digitato un pagamento o la sequenza di acquisto? Se una piattaforma commerciale disponesse di queste informazioni, i criminali informatici avrebbero vita difficile. L’analisi della velocità di digitazione, delle attitudini di digitazione e di utilizzo non è una teoria. Viene infatti già impiegata in molte piattaforme commerciali online come sistema di Fraud Detection. Impedire un abuso sulla base del comportamento degli utenti è possibile ed è un potente strumento di difesa. Ma il crimine e la corsa agli armamenti non si fermano, perché gli hacker stanno perdendo utili e fanno di tutto per stare un passo avanti e smascherare i sistemi di rilevamento delle frodi.

Ma non finisce qui, anzi siamo appena all’inizio! Con la crescente digitalizzazione e l’utilizzo di algoritmi di machine learning aumentano in modo esponenziale le opportunità per gli hacker e per chi intende difendersi. Per il settore informatico questo è in ogni caso un buon affare. Gli sviluppatori di software sono i Michelangelo e le rockstar del futuro. La sicurezza è un processo mutevole e non possiamo starcene a guardare. Le numerose opportunità dell’era digitale hanno il loro prezzo e non va dimenticato che il cyberspazio è solo una rappresentazione della realtà. Nella vita reale la frode è nata con l’uomo. Forse è il secondo modello di business più antico. Non arrendetevi.

Ivan Bütler interviene su questo tema al Connecta Bern.