(Ndr: questo articolo è stato ripreso della rivista mensile Bancoforte di luglio-agosto 1997)

La moneta elettronica sta divenendo un mezzo di pagamento sempre più diffuso: ciò ha determinato l'avvio, in diversi settori, di studi e valutazioni per verificare quale sia l'impatto che tale strumento sta producendo nella società. Sebbene si sia ancora indubbiamente lontani dalla completa eliminazione dei mezzi di pagamento tradizionali, è chiaro comunque che i sistemi di trasferimento elettronico di fondi stanno vivendo già una fase più matura rispetto al periodo, che risale ai primi anni ottanta, in cui fecero la prima pionieristica comparsa nel nostro paese strumenti elettronici di accesso al conto corrente, come il Bancomat. Esso, consentendo di prelevare le tradizionali banconote mediante l'inserimento in un terminale di una carta, quindi, l'invio elettronico di un messaggio alla propria banca, rappresenta forse proprio l'anello di congiunzione fra la vecchia realtà bancaria, in cui protagonista era la carta, e quella nuova, ove prevarrà sempre più l'elettronica.

Comitato sistemi di pagamento

Attualmente si assiste ad una sostanziale evoluzione dei primi strumenti elettronici di utilizzo della moneta: dalle carte a banda magnetica si sta rapidamente passando alle smart cards, dotate di microchip, e all'utilizzo di Internet per una vasta serie di transazioni. In questo scenario, già nel novembre del 1995 i Governatori delle banche centrali dei paesi costituenti il Gruppo dei dieci (G-10) avvertirono l'esigenza di commissionare al Comitato sui sistemi di pagamento e di regolamento (Committee on payment and settlement systems) una serie di studi su temi specifici inerenti, appunto, la moneta elettronica, come l'impatto sulla politica monetaria, sulla tutela dei consumatori e sui sistemi di pagamento. Il Comitato ha approfondito i profili inerenti alla sicurezza, d'intesa con il Gruppo di esperti di computer e di un'apposita task force (composta da esponenti delle banche centrali dei paesi maggiormente industrializzati). Il risultato di tali lavori è rappresentato da un interessante Rapporto intitolato Sicurezza della moneta elettronica, ultimato nell'agosto del '96, che contiene una puntuale ricognizione dei rischi e delle principali misure di protezione nei paesi del G-10.

I rischi su Internet

Da un punto di vista strutturale, il Rapporto è articolato in una parte descrittiva, in cui vengono analizzati i singoli prodotti attraverso i quali opera la moneta elettronica, i rischi insiti in ciascuno di essi, le misure di sicurezza adottate, il tipo e le caratteristiche della particolare attività criminale interessata alle possibili malversazioni da effettuare nell'ambito operativo dei nuovi sistemi. Vi sono poi una serie di allegati contenenti l'esame dettagliato di temi specifici (ad es. Internet, le principali tecniche di crittografia, ecc.). Per una migliore comprensione dell'intero fenomeno, viene preliminarmente effettuata una prima, fondamentale distinzione tra prodotti stored value, strumenti prepagati ove i fondi di cui il consumatore può disporre sono già contenuti nello strumento stesso (l'esempio più rilevante è costituito dalle smart cards) e prodotti access, nei quali la spendita di moneta elettronica avviene mediante utilizzo di un personal computer, dotato di apposito software che consente al consumatore di accedere a prodotti convenzionali attraverso reti di computer (qui il modello-base è Internet). A giudizio della task force, il livello di sicurezza assicurato dai primi è decisamente maggiore rispetto ai secondi.

Per quanto concerne infatti Internet, la considerazione di fondo è che, allo stato attuale della tecnologia, tale strumento presenta debolezze dal punto di vista della sicurezza, dovute principalmente all'utilizzo di un protocollo volutamente ideato per fornire il maggior grado possibile di elasticità e quindi poco sofisticato dal punto di vista del livello di protezione da usi non autorizzati. Per fronteggiare questo pericolo sono stati quindi adottati nei diversi paesi presi in considerazione dalla task force svariati accorgimenti atti ad aumentare il livello di sicurezza di Internet quali, ad esempio, lo sviluppo di un protocollo aggiuntivo per decriptare alcuni dati nel colloquio tra utente e server, oppure l'estensione del linguaggio http, per consentire ad utente e server di concordare il livello di sicurezza desiderato già prima dell'inizio del colloquio, o ancora il perfezionamento dello stesso protocollo attualmente in uso proprio per introdurre più affidabili elementi di sicurezza. La situazione, comunque, è in costante evoluzione.

Le misure di sicurezza

Il Rapporto prende in esame le misure di sicurezza interne alle strutture degli enti produttori/emittenti degli strumenti usati per la moneta elettronica, che possono, se inosservate, mettere in crisi un intero sistema. Ad esempio, i livelli elevati di controlli da effettuare all'interno delle stesse strutture produttive, l'adozione di particolari cautele per impedire la conoscenza da parte di uno stesso dipendente di troppi elementi potenzialmente produttivi di danno e la conseguente suddivisione fra diversi dipendenti di sezioni separate delle procedure maggiormente a rischio, l'esecuzione di test per la sperimentazione di hardware e software prima del passaggio in produzione e distribuzione, ecc.

Particolare attenzione è dedicata anche ai rischi e alle misure di sicurezza esistenti a livello di consumatore o di commerciante.

Di particolare rilievo è il capitolo in cui si sviluppa in maniera approfondita il tema delle misure di sicurezza, che devono essere adottate affinché sia fatta salva la necessità di salvaguardare l'integrità, l'autenticità e la riservatezza di dati e programmi, nonché di approntare efficaci sistemi di protezione dalle perdite dovute a duplicazioni fraudolente o da disconoscimenti, effettuati dagli stessi legittimi titolari di moneta elettronica, delle transazioni da essi compiute. In tale capitolo le misure di sicurezza vengono raggruppate in diverse categorie, a seconda che la misura stessa sia finalizzata essenzialmente a prevenire, scoprire o contenere gli effetti degli attacchi fraudolenti. L'obiettivo principale delle misure preventive è assicurare che gli attacchi alle componenti del sistema siano contrastati prima che sia eseguita una transazione fraudolenta, mentre le misure di investigazione sono quelle adottate per avvisare l'emittente o l'operatore del sistema dell'esistenza di una frode e per identificarne la fonte. Infine, le misure di contenimento sono finalizzate a limitare l'estensione di una frode una volta che la stessa sia stata commessa. Naturalmente, le misure di investigazione e di contenimento delle frodi possono svolgere anche un'importante funzione di deterrenza e servire perciò anche a scopi di prevenzione. In aggiunta, alcune misure di sicurezza, e in particolare le tecniche di crittografia, rispondono ad esigenze sia di prevenzione che di investigazione e contenimento.

L'attività criminale

Molto interessante è anche la parte che contiene alcune considerazioni sull'attività criminale che potrebbe interessare il mondo della moneta elettronica, le cui caratteristiche di anonimità e di rapidità nello spostamento di ingenti quantità di fondi possono potenzialmente richiamare più di altri sistemi di pagamento tradizionali l'attenzione di un certo tipo di criminalità. Si osserva comunque che l'interattività con un sistema centrale, l'identificabilità delle transazioni con numeri univoci e la fissazione di limiti d'importo, così come l'apposizione di date di scadenza dei singoli prodotti dovrebbero scoraggiare sufficientemente utilizzi illeciti, consentendo una rapida ricostruzione dell'attività fraudolenta perpetrata.

La prevenzione delle frodi

Meritano particolare attenzione gli interventi volti a prevenire le frodi, ad individuarle, a contenerne il rischio, nonché le attività di tipo organizzativo da svolgere in proposito, nonché la sintetica descrizione delle caratteristiche di Internet, della citata scarsa affidabilità del suo utilizzo nel campo della moneta elettronica al momento attuale e degli interventi in corso di attuazione al fine di migliorare tale aspetto, e di consentire quindi presto un utilizzo generalizzato di tale diffuso mezzo di comunicazione anche per le transazioni avente carattere finanziario.

Gli esperti internazionali della sicurezza hanno tratto un'impressione sostanzialmente positiva per quanto concerne l'attitudine della moneta elettronica ad apportare rilevanti benefici al mondo dei sistemi di pagamento. Ritengono sia quindi opportuno che il loro utilizzo sia incentivato, a condizione che siano sempre rispettati criteri irrinunciabili di sicurezza da perseguire attraverso tutti i mezzi offerti nel campo dalla tecnologia. Si evince comunque, altrettanto chiaramente, la piena consapevolezza che nessun sistema potrà mai fornire la garanzia di una protezione assoluta da qualunque tipo di attacco fraudolento. Infatti, la predisposizione delle misure di sicurezza più appropriate implica diversi tipi di considerazioni, non ultime il costo di implementazione e l'impatto sulla funzionalità del prodotto, che potrebbero influenzare l'applicazione di tecniche sofisticate.