casa › Formazione scolastica › Modalità di protezione del sistema di pagamento elettronico con moneta digitale. I principali modi per proteggere la moneta elettronica? Misure di sicurezza per i sistemi di pagamento elettronico

Modalità di protezione del sistema di pagamento elettronico con moneta digitale. I principali modi per proteggere la moneta elettronica? Misure di sicurezza per i sistemi di pagamento elettronico

I sistemi di pagamento elettronici sono uno dei tipi più popolari di lavoro con la valuta elettronica. Ogni anno si stanno sviluppando sempre più attivamente, occupando una quota abbastanza ampia del mercato per lavorare con la valuta. Insieme a loro si stanno sviluppando anche le tecnologie per garantire la loro sicurezza. Perché oggi non può esistere un unico sistema di pagamento elettronico senza buone tecnologie e sistemi di sicurezza, che a loro volta garantiscono la sicurezza delle transazioni monetarie. Esistono molti sistemi di pagamento elettronici stessi, nonché tecnologie di sicurezza. Ognuno di essi ha principi operativi e tecnologie diversi, nonché vantaggi e svantaggi propri. Inoltre, rimangono irrisolte una serie di questioni teoriche e pratiche, che determinano la rilevanza del tema di ricerca.

Ogni sistema di pagamento elettronico utilizza i propri metodi, algoritmi di crittografia, protocolli di trasferimento dati per eseguire transazioni e trasferimenti dati sicuri. Alcuni sistemi utilizzano l'algoritmo di crittografia RSA e il protocollo di trasferimento HTTPs, mentre altri utilizzano l'algoritmo DES e il protocollo SSL per trasferire dati crittografati. L'idea alla base della stesura di questo articolo è quella di studiare e analizzare una serie di sistemi di pagamento popolari, in particolare le tecnologie di sicurezza in essi utilizzate, e scoprire quale è la più avanzata.

Durante la stesura dell'articolo sono state effettuate ricerche sui sistemi di pagamento e un'analisi della sicurezza dei sistemi di pagamento esistenti. Sono stati analizzati quattro sistemi di pagamento (Webmoney, Yandex.Money, RauPa1 ed E-Port) secondo gli stessi criteri. I sistemi sono stati valutati utilizzando un sistema multilivello che include parametri nidificati. Naturalmente, tutti questi criteri si riferiscono all'area informazioni di sicurezza. I criteri principali sono due: supporto tecnico per la sicurezza informatica dei pagamenti e supporto organizzativo e legale. Ciascuno di questi due parametri è stato valutato utilizzando un sistema a tre punti. La scala di valutazione è esattamente questa, poiché lo sviluppo attuale dei sistemi di pagamento elettronico nel nostro Paese è a un livello tale che la maggior parte dei loro parametri possono essere descritti solo con le parole “sì o no”. Di conseguenza, se un sistema di pagamento elettronico soddisfa al meglio qualsiasi parametro, riceve il punteggio più alto (3); se non risponde affatto, riceve il punteggio minimo (0). Se il sistema non prevede questo criterio nella sua forma esplicita, ma sono presenti servizi o capacità associati a quello mancante, assegniamo un punteggio intermedio: uno o due.

Quando si valutano i sistemi di pagamento elettronico è opportuno ricordare che in condizioni diverse il valore dello stesso parametro non è lo stesso. Ad esempio, diversi servizi che aumentano notevolmente il livello di protezione possono essere implementati solo dall'utente volontariamente; inoltre, la presenza stessa di questi servizi nel sistema è preziosa. Il fattore umano non è stato cancellato e non verrà mai cancellato, per cui si tiene conto che il servizio può essere implementato o non realizzato.

Supporto tecnico per la sicurezza delle transazioni

Questo è il primo dei criteri: un insieme di parametri che, come suggerisce il nome, fornisce l'aspetto tecnico della protezione delle informazioni. Prima di questo parametro sono inclusi: metodi crittografici di crittografia, autenticazione e accesso tramite apposito hardware(nel caso più primitivo - utilizzando chiavi USB).

Non è un segreto che il criterio principale per proteggere le informazioni in termini tecnici sia, ovviamente, la crittografia dei dati e, più specificamente, gli algoritmi crittografici con cui vengono implementati. È anche noto che quanto più lunga è la chiave, tanto più difficile è decifrarla e, di conseguenza, accedere a informazioni riservate. Tre dei sistemi testati utilizzano l'algoritmo RSA ben noto e ampiamente rispettato: Webmoney, Yandex.Money, PayPal. E-Port utilizza la crittografia tramite il protocollo SSL versione 3.0, infatti la crittografia viene implementata utilizzando chiavi SSL, che sono univoche, vengono generate durante la sessione e vengono chiamate chiave di sessione. La lunghezza della chiave SSL nel sistema E-Port varia da 40 a 128 bit, il che è abbastanza per un livello accettabile di sicurezza delle transazioni.

Il parametro successivo nel supporto tecnico della sicurezza delle informazioni sulle transazioni è l'autenticazione, ad es. un insieme di soluzioni di cui l'utente ha bisogno per accedere alle proprie informazioni personali. Tutto è semplice qui. I sistemi Webmoney e Yandex.Money utilizzano due criteri di accesso, mentre PayPal ed E-Port ne utilizzano solo uno. In Webmoney, per accedere al sistema ed effettuare pagamenti, è necessario inserire una password e una chiave speciale. Yandex.Money funziona in modo simile: sono necessarie una password e uno speciale programma di portafoglio. In tutti gli altri sistemi l'accesso avviene tramite password. Tuttavia, nel sistema E-Port, per poter funzionare utilizzando il protocollo SSL, il server web del potenziale cliente (e qualsiasi altro partecipante al sistema) deve disporre di uno speciale certificato digitale ricevuto da una delle società autorizzate. Questo certificato viene utilizzato per autenticare il server Web del client. Il meccanismo di sicurezza del certificato utilizzato in E-Port è certificato da RSA Security. Il terzo e ultimo criterio in questo studio è l'accesso al sistema utilizzando hardware speciale, come le chiavi USB.

Metodi di crittografia crittografica

Webmoney e Yandex.Money utilizzano una chiave con una lunghezza di 1024 bit (un indicatore molto alto, è quasi impossibile decifrare una chiave del genere utilizzando un semplice metodo di forza bruta) e PayPal utilizza una chiave lunga la metà: 512 bit. , per i primi due sistemi, utilizzando questo criterio si ottiene il punto massimo – 3. PayPal, poiché utilizza una chiave di crittografia più corta, ottiene due punti. Resta solo da valutare E-Port con questo parametro. Nonostante l'utilizzo del protocollo SSL e anche la lunghezza della chiave fino a 128 bit, E-Port presenta qualche potenziale vulnerabilità: molte versioni precedenti dei browser supportano la crittografia con chiavi di lunghezza inferiore , quindi esiste la possibilità di hackerare i dati ricevuti; di conseguenza, per coloro che utilizzano il browser come client per sistema di pagamento, devi lavorarci ultima versione(ovviamente questo non è sempre conveniente o possibile). Tuttavia, nella colonna “crittografia”, a E-Port può essere assegnato un punteggio di 1,7: il sistema ha ottenuto questo punteggio grazie all'utilizzo del protocollo progressivo PGP per la crittografia dei messaggi di posta elettronica.

Autenticazione

I sistemi Webmoney e Yandex.Money utilizzano due criteri di accesso, mentre PayPal ed E-Port ne utilizzano solo uno. In Webmoney, per accedere al sistema ed effettuare pagamenti, è necessario inserire una password e una chiave speciale. Yandex.Money funziona in modo simile: sono necessarie una password e uno speciale programma portafoglio, mentre in tutti gli altri sistemi l'accesso avviene tramite password. Nel sistema E-Port, invece, il web server del potenziale cliente viene utilizzato per funzionare utilizzando il protocollo SSL.

Secondo Webmoney e Yandex.Money, qui ricevono tre punti, PayPal - 0 punti, E-Port - uno.

Qui è ancora più semplice che con i parametri precedenti. Di tutti i sistemi solo Webmoney PayPal dispone di questa opzione aggiuntiva, quest'ultimo non offre tale opportunità. Pertanto, tenendo conto del coefficiente di ponderazione, Webmoney e PayPal hanno ricevuto 1,5 punti per questo parametro, tutti gli altri hanno ricevuto zero.

Dopo aver valutato i due criteri, possiamo riassumere. In base alla somma dei parametri considerati, Webmoney si è rivelato sicuro. Infatti, se l'utente utilizza tutti i servizi di sicurezza forniti, può rimanere praticamente invulnerabile ai truffatori. Il secondo posto è stato preso dal sistema Yandex.Money, il terzo da PayPal (questo sistema è ideale per le persone giuridiche per la sua significativa trasparenza giuridica dei pagamenti), e l'ultimo posto è stato assegnato al sistema E-Port.

Inoltre, riassumendo l'analisi dei sistemi di pagamento, possiamo dire che la scelta di un sistema di pagamento elettronico non viene effettuata in base ad un parametro di sicurezza, anche se è uno dei più importanti. I sistemi di pagamento elettronici differiscono anche per la disponibilità dei servizi, la facilità d'uso e ci sono molti altri fattori.

conclusioni

I pagamenti elettronici sono una fase naturale nello sviluppo delle telecomunicazioni. La domanda è elevata in quelle nicchie in cui esiste un prodotto a tutti gli effetti - un prodotto digitale, le cui proprietà sono ben "sovrapposte" con le proprietà del pagamento online: pagamento istantaneo, consegna istantanea , semplicità e assenza di marchio.

Sistema di pagamento su Internetè un sistema per effettuare pagamenti tra organizzazioni finanziarie, imprenditoriali e utenti di Internet nel processo di acquisto/vendita di beni e servizi tramite Internet. È il sistema di pagamento che consente di trasformare un servizio di elaborazione degli ordini o un negozio elettronico in un negozio a tutti gli effetti con tutti gli attributi standard: selezionando un prodotto o un servizio sul sito web del venditore, l'acquirente può effettuare un pagamento senza uscire dal computer.

In un sistema di e-commerce, i pagamenti vengono effettuati soggetti ad una serie di condizioni:

1. Mantenimento della riservatezza. Quando si effettuano pagamenti via Internet, l'acquirente desidera che i suoi dati (ad esempio il numero della carta di credito) siano noti solo alle organizzazioni che hanno il diritto legale di farlo.

2. Mantenere l'integrità delle informazioni. Le informazioni sull'acquisto non possono essere modificate da nessuno.

3. Autenticazione. Acquirenti e venditori devono essere sicuri che tutte le parti coinvolte in una transazione siano chi dicono di essere.

4. Mezzi di pagamento. Possibilità di pagamento con qualsiasi mezzo di pagamento a disposizione dell'acquirente.

6. Garanzie contro i rischi del venditore. Quando fa trading su Internet, il venditore è esposto a molti rischi associati al rifiuto del prodotto e alla disonestà dell'acquirente. L'entità dei rischi deve essere concordata con il fornitore del sistema di pagamento e con le altre organizzazioni coinvolte nella catena commerciale attraverso appositi accordi.

7. Ridurre al minimo le commissioni di transazione. Le commissioni di elaborazione delle transazioni per l’ordinazione e il pagamento delle merci sono naturalmente incluse nel prezzo, quindi abbassare il prezzo della transazione aumenta la competitività. È importante notare che la transazione dovrà essere comunque pagata, anche nel caso in cui l'acquirente rifiuti la merce.

Tutte queste condizioni devono essere implementate nel sistema di pagamento su Internet, che, in sostanza, sono versioni elettroniche dei sistemi di pagamento tradizionali.

Pertanto, tutti i sistemi di pagamento sono suddivisi in:

Addebito (funzionamento con assegni elettronici e contanti digitali);

Credito (lavorare con carte di credito).

Sistemi di debito

Gli schemi di pagamento con debito sono costruiti in modo simile ai loro prototipi offline: assegni e denaro normale. Lo schema coinvolge due soggetti indipendenti: emittenti e utenti. Per emittente si intende il soggetto che gestisce il sistema dei pagamenti. Emette alcune unità elettroniche che rappresentano i pagamenti (ad esempio, denaro nei conti bancari). Gli utenti del sistema svolgono due funzioni principali. Effettuano e accettano pagamenti su Internet utilizzando le unità elettroniche emesse.

Gli assegni elettronici sono analoghi ai normali assegni cartacei. Queste sono le istruzioni del pagatore alla sua banca per trasferire denaro dal suo conto al conto del beneficiario. L'operazione avviene previa presentazione da parte del destinatario dell'assegno in banca. Ci sono due differenze principali qui. In primo luogo, quando scrive un assegno cartaceo, il pagatore inserisce la sua vera firma e, nella versione online, una firma elettronica. In secondo luogo, gli assegni stessi vengono emessi elettronicamente.

I pagamenti vengono effettuati in più fasi:

1. Il pagatore emette un assegno elettronico, lo firma con una firma elettronica e lo inoltra al destinatario. Per garantire maggiore affidabilità e sicurezza, il numero del conto corrente può essere crittografato con la chiave pubblica della banca.

2. L'assegno viene presentato per il pagamento al sistema di pagamento. Successivamente (qui o presso la banca che serve il destinatario) viene effettuato un assegno firma elettronica.

3. Se la sua autenticità viene confermata, la merce viene consegnata o il servizio viene fornito. Il denaro viene trasferito dal conto del pagatore al conto del destinatario.

La semplicità dello schema di pagamento (Fig. 43), purtroppo, è compensata dalle difficoltà della sua attuazione dovute al fatto che gli schemi di controllo non sono ancora diffusi e non esistono centri di certificazione per l'implementazione delle firme elettroniche.

Una firma digitale elettronica (EDS) utilizza un sistema di crittografia a chiave pubblica. Ciò crea una chiave privata per la firma e una chiave pubblica per la verifica. La chiave privata viene memorizzata dall'utente e chiunque può accedere alla chiave pubblica. Il modo più conveniente per distribuire le chiavi pubbliche è utilizzare le autorità di certificazione. Qui vengono archiviati i certificati digitali contenenti la chiave pubblica e le informazioni sul proprietario. Ciò libera l'utente dall'obbligo di distribuire personalmente la propria chiave pubblica. Inoltre, le autorità di certificazione forniscono l'autenticazione per garantire che nessuno possa generare chiavi per conto di un'altra persona.

La moneta elettronica simula completamente il denaro reale. Allo stesso tempo, l'organismo emittente - l'emittente - emette i propri analoghi elettronici, chiamati diversamente nei diversi sistemi (ad esempio, coupon). Successivamente, vengono acquistati dagli utenti, che li utilizzano per pagare gli acquisti, e poi il venditore li riscatta dall'emittente. Al momento dell'emissione, ciascuna unità monetaria è certificata da un sigillo elettronico, che viene verificato dalla struttura emittente prima del rimborso.

Una delle caratteristiche del denaro fisico è il suo anonimato, ovvero non indica chi lo ha utilizzato e quando. Alcuni sistemi, per analogia, consentono all'acquirente di ricevere denaro elettronico in modo tale che non sia possibile determinare la connessione tra lui e il denaro. Questo viene fatto utilizzando uno schema di firma cieca.

Vale anche la pena notare che durante l'utilizzo moneta elettronica Non è necessaria l'autenticazione, poiché il sistema si basa sull'immissione in circolazione del denaro prima del suo utilizzo.

La Figura 44 mostra uno schema di pagamento che utilizza la moneta elettronica.

Il meccanismo di pagamento è il seguente:

1. L'acquirente scambia in anticipo denaro reale con moneta elettronica. Il deposito di contanti presso il cliente può essere effettuato in due modi, a seconda del sistema utilizzato:

Sul disco rigido del tuo computer;

Sulle smart card.

Sistemi diversi offrono schemi di scambio diversi. Alcuni aprono conti speciali su cui vengono trasferiti i fondi dal conto dell’acquirente in cambio di fatture elettroniche. Alcune banche possono emettere direttamente denaro elettronico. Allo stesso tempo, viene emesso solo su richiesta del cliente, seguito dal suo trasferimento sul computer o sulla carta di questo cliente e dal prelievo dell'equivalente in contanti dal suo conto. Quando si implementa una firma cieca, l'acquirente stesso crea fatture elettroniche, le invia alla banca, dove, quando il denaro reale arriva sul conto, vengono certificate da un sigillo e rispedite al cliente.

Oltre alla comodità di tale archiviazione, presenta anche degli svantaggi. Il danneggiamento di un disco o di una smart card comporta la perdita irreversibile di moneta elettronica.

2. L'acquirente trasferisce la moneta elettronica per l'acquisto al server del venditore.

3. Il denaro viene presentato all'emittente, che ne verifica l'autenticità.

4. Se le fatture elettroniche sono autentiche, l'importo dell'acquisto viene aumentato sul conto del venditore e la merce viene spedita all'acquirente o viene fornito il servizio.

Una delle importanti caratteristiche distintive della moneta elettronica è la possibilità di effettuare micropagamenti. Ciò è dovuto al fatto che il valore nominale delle banconote potrebbe non corrispondere alle monete reali (ad esempio, 37 kopecks).

Sia le banche che le organizzazioni non bancarie possono emettere contante elettronico. Tuttavia, non è stato ancora sviluppato un sistema convertire diversi tipi di moneta elettronica. Pertanto, solo gli emittenti stessi possono riscattare il contante elettronico emesso. Inoltre, l’utilizzo di tale denaro proveniente da strutture non finanziarie non è garantito dallo Stato. Tuttavia, il basso costo delle transazioni rende il contante elettronico uno strumento interessante per i pagamenti online.

Sistemi di credito

I sistemi di credito su Internet sono analoghi ai sistemi convenzionali che funzionano con le carte di credito. La differenza è che tutte le transazioni vengono effettuate via Internet e, di conseguenza, sono necessarie ulteriori misure di sicurezza e autenticazione.

Nell'effettuare pagamenti via Internet mediante carte di credito sono coinvolti:

1. Acquirente. Un client con un computer dotato di browser Web e accesso a Internet.

2. Banca emittente. Il conto bancario dell'acquirente si trova qui. La banca emittente emette le carte ed è garante degli obblighi finanziari del cliente.

3. Venditori. Per venditori si intendono i server di e-commerce in cui vengono mantenuti i cataloghi di beni e servizi e vengono accettati gli ordini di acquisto dei clienti.

4. Acquisizione di banche. Le banche al servizio dei venditori. Ogni venditore ha un'unica banca presso la quale tiene il proprio conto corrente.

5. Sistema di pagamento via Internet. Componenti elettronici che fungono da intermediari tra gli altri partecipanti.

6. Sistema di pagamento tradizionale. Una serie di mezzi finanziari e tecnologici per la manutenzione di carte di questo tipo. Tra i compiti principali risolti dal sistema di pagamento c'è quello di garantire l'uso delle carte come mezzo di pagamento per beni e servizi, l'utilizzo di servizi bancari, l'esecuzione di compensazioni reciproche, ecc. I partecipanti al sistema di pagamento sono persone fisiche e giuridiche unite attraverso l'utilizzo di carte di credito.

7. Centro di elaborazione del sistema di pagamento. Un'organizzazione che fornisce informazioni e interazione tecnologica tra i partecipanti al sistema di pagamento tradizionale.

8. Banca di regolamento del sistema di pagamento. Un organismo creditizio che effettua regolamenti reciproci tra i partecipanti al sistema di pagamento per conto del centro di elaborazione.

Lo schema generale di pagamento in un tale sistema è mostrato nella Figura 45.

1. L'acquirente nel negozio elettronico crea un paniere di beni e seleziona il metodo di pagamento “carta di credito”.

Attraverso il negozio, cioè, i parametri della carta vengono inseriti direttamente sul sito web del negozio, dopodiché vengono trasferiti al sistema di pagamento Internet (2a);

Sul server del sistema di pagamento (2b).

I vantaggi del secondo modo sono evidenti. In questo caso, le informazioni sulle carte non rimangono nel negozio e, di conseguenza, si riduce il rischio di riceverle da terzi o di essere ingannati dal venditore. In entrambi i casi, durante la trasmissione dei dati della carta di credito esiste ancora la possibilità che vengano intercettati da aggressori in rete. Per evitare ciò, i dati vengono crittografati durante la trasmissione.

La crittografia, naturalmente, riduce la possibilità di intercettazione dei dati in rete, per questo è consigliabile effettuare le comunicazioni tra acquirente/venditore, venditore/sistema di pagamento via Internet, acquirente/sistema di pagamento via Internet utilizzando protocolli sicuri. I più comuni oggi sono il protocollo SSL (Secure Sockets Layer), nonché lo standard SET (Secure Electronic Transaction), progettato per sostituire eventualmente SSL durante l'elaborazione delle transazioni relative ai pagamenti per acquisti con carta di credito su Internet.

3. Il sistema di pagamento via Internet trasmette una richiesta di autorizzazione al sistema di pagamento tradizionale.

4. Il passo successivo dipende dal fatto che la banca emittente mantenga un database online di conti. Se esiste una banca dati, il centro di elaborazione invia alla banca emittente una richiesta di autorizzazione della carta (vedi introduzione o dizionario) (4a) e poi (4b) ne riceve l'esito. Se non esiste un database di questo tipo, il centro di elaborazione stesso memorizza le informazioni sullo stato dei conti dei titolari delle carte, gli elenchi di stop e soddisfa le richieste di autorizzazione. Queste informazioni vengono regolarmente aggiornate dalle banche emittenti.

Il negozio fornisce un servizio o spedisce merci (8a);

Il centro di elaborazione trasmette le informazioni sulla transazione completata alla banca regolante (8b). Il denaro dal conto dell'acquirente presso la banca emittente viene trasferito tramite la banca di regolamento al conto del negozio presso la banca acquirente.

Per effettuare tali pagamenti nella maggior parte dei casi è necessario uno speciale Software. Può essere fornito all'acquirente (chiamato portafoglio elettronico), al venditore e alla sua banca di servizio.

introduzione

1. Sistemi di pagamento elettronici e loro classificazione

1.1 Concetti di base

1.2 Classificazione dei sistemi di pagamento elettronici

1.3 Analisi dei principali sistemi di pagamento elettronico utilizzati in Russia

2. Misure di sicurezza per i sistemi di pagamento elettronici

2.1 Minacce legate all'uso dei sistemi di pagamento elettronici

2.2 Tecnologie per la protezione dei sistemi di pagamento elettronico

2.3 Analisi delle tecnologie per la compliance requisiti di base ai sistemi di pagamento elettronico

Conclusione

Bibliografia

INTRODUZIONE

Un argomento altamente specializzato sui pagamenti elettronici e sulla moneta elettronica, che 10 anni fa interessava poco a poche persone, è recentemente diventato rilevante non solo per gli uomini d'affari, ma anche per gli utenti finali. Probabilmente una persona su due che legge anche occasionalmente il computer o la stampa popolare conosce le parole di moda “e-business” ed “e-commerce”. Il compito del pagamento a distanza (trasferimento di denaro su lunghe distanze) è passato dalla categoria speciale a quella di tutti i giorni. Tuttavia, l’abbondanza di informazioni su questo tema non contribuisce affatto a fare chiarezza nella mente dei cittadini. Sia per la complessità e la mancanza concettuale di sviluppo del problema dei pagamenti elettronici, sia per il fatto che molti divulgatori spesso lavorano secondo il principio di un telefono rotto, a livello quotidiano tutto, ovviamente, è chiaro a tutti. Ma questo finché non arriverà il momento dello sviluppo pratico dei pagamenti elettronici. È qui che non si capisce quanto sia appropriato l’uso dei pagamenti elettronici in determinati casi.

Nel frattempo, il compito di accettare pagamenti elettronici sta diventando sempre più importante per coloro che effettueranno attività commerciali utilizzando Internet, così come per coloro che effettueranno acquisti tramite Internet. Questo articolo è destinato a entrambi.

Il problema principale quando si considerano i sistemi di pagamento elettronici per un principiante è la diversità della loro progettazione e dei principi di funzionamento e il fatto che, nonostante la somiglianza esterna dell'implementazione, nelle loro profondità possono nascondersi meccanismi tecnologici e finanziari abbastanza diversi.

Il rapido sviluppo della popolarità di Internet globale ha dato un forte impulso allo sviluppo di nuovi approcci e soluzioni in varie aree dell'economia mondiale. Anche i sistemi conservatori come i sistemi di pagamento elettronico nelle banche hanno ceduto alle nuove tendenze. Ciò si è riflesso nella nascita e nello sviluppo di nuovi sistemi di pagamento: sistemi di pagamento elettronici via Internet, il cui vantaggio principale è che i clienti possono effettuare pagamenti (transazioni finanziarie), aggirando la fase estenuante e talvolta tecnicamente difficile del trasporto fisico di un ordine di pagamento alla banca. Anche le banche e gli istituti bancari sono interessati all'implementazione di questi sistemi, poiché possono aumentare la velocità del servizio clienti e ridurre i costi generali per l'effettuazione dei pagamenti.

I sistemi di pagamento elettronici diffondono informazioni, comprese quelle riservate, che richiedono protezione dalla visualizzazione, modifica e imposizione di informazioni false. Lo sviluppo di tecnologie di sicurezza adeguate incentrate su Internet rappresenta attualmente una sfida importante. La ragione di ciò è l'architettura, le risorse e le tecnologie principali Reti Internet incentrato sull’organizzazione dell’accesso o della raccolta informazioni aperte. Tuttavia, recentemente sono apparsi approcci e soluzioni che indicano la possibilità di utilizzare tecnologie Internet standard nella costruzione di sistemi per la trasmissione sicura di informazioni tramite Internet.

Lo scopo della RGR è quello di analizzare i sistemi di pagamento elettronico ed elaborare raccomandazioni per l'utilizzo di ciascuno di essi. In base all'obiettivo, vengono formulate le seguenti fasi di esecuzione della RGR:

1. Determinare i compiti principali dei sistemi di pagamento elettronici e i principi del loro funzionamento, le loro caratteristiche.

2. Analizzare i principali sistemi di pagamento elettronico.

3. Analizzare le minacce associate all'uso della moneta elettronica.

4. Analizzare le misure di sicurezza quando si utilizzano sistemi di pagamento elettronici.

1. SISTEMI DI PAGAMENTO ELETTRONICO E LORO CLASSIFICAZIONE

1.1 Concetti di base

Pagamenti elettronici. Cominciamo dal fatto che è legittimo parlare dell'emergere dei pagamenti elettronici come una tipologia di pagamenti non in contanti nella seconda metà del XX secolo. In altre parole, il trasferimento di informazioni sui pagamenti tramite bonifico esiste da molto tempo, ma ha acquisito una qualità fondamentalmente nuova quando sono comparsi i computer ad entrambe le estremità dei cavi. Le informazioni venivano trasmesse utilizzando il telex, la telescrivente e le reti informatiche apparse in quel momento. Un salto qualitativo nuovo è stato espresso nel fatto che la velocità dei pagamenti è aumentata in modo significativo ed è diventata disponibile la possibilità della loro elaborazione automatica.

Successivamente sono emersi anche gli equivalenti elettronici di altri tipi di pagamento: pagamenti in contanti e altri mezzi di pagamento (ad esempio assegni).

Sistemi di pagamento elettronico (EPS). Chiamiamo sistema di pagamento elettronico qualsiasi complesso di hardware specifico e Software, consentendo i pagamenti elettronici.

Esistere vari modi e canali di comunicazione per l'accesso all'EPS. Oggi il più comune di questi canali è Internet. È in aumento la diffusione degli EPS, il cui accesso avviene tramite cellulare(tramite SMS, WAP e altri protocolli). Altri metodi sono meno diffusi: tramite modem, tramite telefono a toni, tramite telefono tramite operatore.

Moneta elettronica. Termine vago. Se si considera attentamente cosa c’è dietro, è facile capire che la moneta elettronica è un nome errato per “contante elettronico”, così come per i sistemi di pagamento elettronico in quanto tali.

Questo malinteso terminologico è dovuto alla libertà di traduzione dei termini dall'inglese. Poiché i pagamenti elettronici in Russia si sono sviluppati molto più lentamente che in Europa e in America, siamo stati costretti a utilizzare termini consolidati. Naturalmente, nomi di contante elettronico come “contante digitale” (e-cash), “denaro digitale”, “contante elettronico” (contante digitale)2 hanno diritto alla vita.

In generale, il termine “moneta elettronica” non significa nulla di specifico, quindi in futuro cercheremo di evitare di utilizzarlo.

Contante elettronico:

Si tratta di una tecnologia apparsa negli anni '90 del secolo scorso, che consente pagamenti elettronici che non sono direttamente legati al trasferimento di denaro da un conto all'altro in una banca o altra organizzazione finanziaria, cioè direttamente tra le persone - i partecipanti finali nel pagamento. Un'altra proprietà importante del contante elettronico è l'anonimato dei pagamenti che garantisce. Il centro di autorizzazione che certifica il pagamento non dispone di informazioni su chi ha trasferito specificamente il denaro e a chi.

Il contante elettronico è uno dei tipi di pagamenti elettronici. Un'unità di moneta elettronica non è altro che un'obbligazione finanziaria dell'emittente (banca o altro istituto finanziario), sostanzialmente simile ad una normale cambiale. I pagamenti tramite contante elettronico compaiono laddove diventa scomodo utilizzare altri sistemi di pagamento. Un chiaro esempio è la riluttanza di un acquirente a fornire informazioni sulla sua carta di credito al momento del pagamento di beni su Internet.

Dopo aver deciso la terminologia, possiamo passare alla fase successiva della nostra conversazione: parliamo della classificazione dell'EPS. Poiché l’EPS media i pagamenti elettronici, la divisione dell’EPS si basa su diversi tipi di questi pagamenti.

Inoltre, la tecnologia software e/o hardware su cui si basa il meccanismo EPS gioca un ruolo molto importante in questa materia.

1.2 Classificazione dei sistemi di pagamento elettronici

I sistemi di pagamento elettronico possono essere classificati sia in base alle specificità dei pagamenti elettronici sia in base alla specifica tecnologia alla base del sistema di pagamento elettronico.

Classificazione degli EPS in base alla tipologia di pagamenti elettronici:

1. Secondo la composizione dei partecipanti al pagamento (Tabella 1).

Tabella 1

Tipologia di pagamenti elettronici	Parti di pagamento	Analogo nel sistema tradizionale di regolamento del contante	Esempio dell'EPS
Pagamenti da banca a banca	Istituzioni finanziarie	nessun analogo
Pagamenti B2B	Persone giuridiche	Pagamenti senza contanti tra organizzazioni
Pagamenti C2B	Consumatori finali di beni e servizi e persone giuridiche - venditori	Pagamenti in contanti e non in contanti da acquirenti a venditori	Pilota di credito
Pagamenti C2C	Individui	Pagamenti diretti in contanti tra privati, bonifici postali e telegrafici

Non prenderemo ulteriormente in considerazione quei sistemi di pagamento elettronico progettati per servire pagamenti elettronici del tipo “banca-banca”. Tali sistemi sono estremamente complessi, influenzano maggiormente gli aspetti tecnologici del funzionamento del sistema bancario e molto probabilmente non interessano le grandi masse dei nostri lettori.

Si segnala inoltre che esiste un'altra tipologia di pagamento che logicamente non rientra del tutto nella Tabella 1. Secondo criteri formali rientra completamente nell'area C2B, ma non può tuttavia essere erogata mediante diffusi EPS di questo tipo. I micropagamenti sono caratterizzati da un costo dei beni estremamente ridotto (centesimi o frazioni di centesimo). Il più caratteristico di tutti articoli popolari Un esempio di sistema che implementa i micropagamenti è la vendita di barzellette (per un centesimo al pezzo). Per effettuare micropagamenti sono adatti sistemi come Eaccess e Phonepay.

2. Per tipologia di operazioni effettuate (Tabella 2).

Tavolo 2

Tipologia di pagamenti elettronici	Dove vengono utilizzati?	Esempio dell'EPS
Operazioni di gestione del conto bancario	Sistemi di “banca cliente” con accesso via modem, internet, cellulare, ecc.	Operazioni per la gestione di un conto bancario del Sistema Cliente
Operazioni di trasferimento di denaro senza aprire un conto bancario	Sistemi di trasferimento di denaro reti di computer, simili ai bonifici postali e telegrafici
Transazioni con conti bancari di carte	Carte di debito e credito in plastica	Cyberplat (Cyberpos)
Transazioni con assegni elettronici e altri obblighi di pagamento non in contanti	Sistemi chiusi di pagamenti interaziendali	Cyberplat (controllo informatico)
Transazioni con (quasi) contanti elettronici	Calcoli con fisica persone, analoghi elettronici di gettoni e carte prepagate utilizzati come surrogati del denaro per il pagamento di beni

Va notato che i sistemi del tipo “cliente-banca” sono noti da molto tempo. Potresti accedere al tuo conto bancario utilizzando un modem. Negli ultimi dieci anni sono emerse nuove opportunità per gestire il proprio account utilizzando Internet, attraverso un'interfaccia web intuitiva. Questo servizio si chiamava “Internet banking” e non introduceva nulla di fondamentalmente nuovo nei sistemi di pagamento di tipo “banca cliente”. Inoltre esistono altre possibilità per accedere ad un conto bancario, ad esempio tramite il cellulare (WAP banking, SMS banking). A questo proposito, in questo articolo non ci soffermeremo specificamente su questo tipo di EPS; noteremo solo che attualmente in Russia circa 100 banche commerciali forniscono servizi di Internet banking, utilizzando più di 10 diversi EPS.

Classificazione dell'EPS in base alla tecnologia utilizzata:

Una delle qualità più importanti dell'EPS è la sua resistenza allo scasso. Questa è forse la caratteristica più discussa di tali sistemi. Come si può vedere dalla tabella 3, quando si risolve il problema della sicurezza del sistema, la maggior parte degli approcci alla costruzione di un sistema di sicurezza elettronico si basano sulla segretezza di un determinato database centrale contenente informazioni critiche. Allo stesso tempo, alcuni di loro si aggiungono a questo base segreta Questi livelli aggiuntivi di protezione si basano sulla durabilità dell'hardware.

In linea di principio, esistono altre tecnologie sulla base delle quali è possibile costruire l'EPS. Ad esempio, non molto tempo fa i media hanno riferito dello sviluppo di un EPS basato su dischi CDR integrati in una scheda di plastica. Tuttavia sistemi simili non sono ampiamente utilizzati nella pratica mondiale e quindi non ci concentreremo su di essi.

Tabella 3

Tecnologia	Su cosa si basa la stabilità del sistema?	Esempio dell'EPS
Sistemi con banca cliente server centrale, trasferimento fondi	Segretezza delle chiavi di accesso	Telebank (Guta-bank), "Banca dei servizi Internet" (Avtobank)
Smart card	Resistenza hardware delle smart card all'hacking	Mondex, ACCORD
Carte magnetiche e carte di credito virtuali		Assistente, Elite
Gratta e vinci	Segretezza del database con numeri e codici dei gratta e vinci	Porta elettronica, Creditpilot, Webmoney, Paycash, Rapira
File/portafoglio sotto forma di programma sul computer dell'utente	Forza crittografica del protocollo di scambio di informazioni
Telefonata a pagamento	Segretezza della banca dati centrale con codici PIN e stabilità hardware della rete telefonica intelligente	Eaccess, Phonepay

1.3 Analisi dei principali sistemi di pagamento elettronico utilizzati in Russia

Attualmente sull'Internet russo vengono utilizzati numerosi sistemi di pagamento elettronici, sebbene non tutti siano ampiamente utilizzati. È caratteristico che quasi tutti i sistemi di pagamento occidentali utilizzati sulla RuNet siano collegati alle carte di credito. Alcuni di loro, ad esempio PayPal, si rifiutano ufficialmente di lavorare con clienti russi. I sistemi più utilizzati oggi sono:

CyberPlat si riferisce a sistemi di tipo misto (dal punto di vista di una qualsiasi delle classificazioni di cui sopra). In effetti, possiamo dire che all'interno di questo sistema ne vengono raccolti sotto lo stesso tetto tre distinti: il classico sistema “banca-cliente”, che consente ai clienti di gestire i conti aperti presso le banche partecipanti al sistema (11 banche russe e 1 lettone). ; Sistema CyberCheck, che consente di effettuare pagamenti sicuri tra soggetti giuridici collegati al sistema; e un sistema di acquisizione su Internet, ovvero l'elaborazione dei pagamenti accettati dalle carte di credito - CyberPos. Tra tutti i sistemi di acquisizione via Internet disponibili sul mercato russo, CyberPlat fornisce l'elaborazione del maggior numero di tipi di carte di credito, vale a dire: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card; ha annunciato il suo imminente collegamento a il sistema di carte STB e la carta ACCORD/Bashcard. Ufficiosamente, i dipendenti dell'azienda hanno affermato che stavano esplorando la possibilità di interfacciarsi con altri sistemi di carte russi. Oltre a quanto sopra, la società CyberPlat provvede all'elaborazione dei gratta e vinci del sistema di pagamento E-port e ha annunciato la prossima messa in funzione di un gateway con il sistema Paycash.

Attualmente, per aumentare il livello di protezione contro i pagamenti con carte di credito rubate, l'azienda sta sviluppando una tecnologia specializzata PalPay, che consente al venditore di verificare se l'acquirente ha effettivamente accesso al conto bancario associato alla carta di credito o ne conosce solo i dettagli. L'introduzione di questa tecnologia in funzione non è stata ancora annunciata ufficialmente.

Di grande interesse per l'organizzazione del lavoro con i partner aziendali è il sistema CyberCheck. La sua caratteristica principale (rispetto all'accettazione di pagamenti con carte di credito) è l'impossibilità per il pagatore di rifiutarsi di effettuare il pagamento a posteriori. In altre parole, ricevere la conferma del pagamento da CyberCheck è affidabile quanto riceverla dalla banca in cui si trova il conto del commerciante. Tutte queste caratteristiche rendono CyberPlat forse il più avanzato e interessante per i venditori di EPS sull'Internet russa.

Il sistema Assist in termini di elaborazione dei pagamenti dalle carte di credito è per molti versi un analogo funzionale di CyberPlat. A Mosca i suoi interessi sono rappresentati dalla Alfa Bank. Al sistema sono collegate complessivamente 5 banche. Il sottosistema di acquisizione Internet consente di accettare pagamenti da Visa, Mastercard/Eurocard, carta STB. Da settembre i pagamenti provenienti da altri sistemi di carte dichiarati sul server del sistema Assist non sono stati effettivamente accettati. Tuttavia, secondo informazioni non ufficiali, nel prossimo futuro sarà possibile accettare le carte Diners Club, le carte di debito Cirrus Maestro e Visa Electron. È interessante notare che questo tipo di carta di solito non è accettata dalle società acquirenti, ma a causa del suo basso costo, queste carte sono molto comuni. In genere, il rifiuto di accettare carte di debito è motivato da problemi di sicurezza. Forse ASSIST riuscirà a risolvere questo problema utilizzando il protocollo SET, il cui supporto è stato annunciato proprio l'altro giorno dall'azienda. A differenza del metodo tradizionale di pagamento con carte di plastica su Internet, che consente al titolare della carta di rifiutare il pagamento effettuato con la stessa (charge-back), il protocollo SET garantisce l'autenticità della transazione, riducendo notevolmente il rischio per il venditore.

Il metodo di liquidazione tramite certificati elettronici acquistati presso un provider Internet, annunciato sul sito web Assist, è piuttosto interessante in quanto apre nuove linee di business per i fornitori, tuttavia, secondo le informazioni disponibili, a causa di difficoltà legali, fino a poco tempo fa non era effettivamente utilizzato da chiunque. Tuttavia, sempre secondo informazioni non ufficiali, questa situazione cambierà presto: già nell'autunno del 2001 potremmo vedere la prima implementazione pratica di questo metodo di calcolo.

Oltre ai sistemi di carte CyberPlat e Assist menzionati nelle descrizioni, ce ne sono altri che hanno guadagnato una certa popolarità sul mercato. Discover/NOVUS è ampiamente distribuito in Nord America e potrebbe interessare i negozi di elettronica che servono un pubblico occidentale. Non siamo a conoscenza di alcuna società di acquisizione nazionale che elaborerebbe le carte di questo sistema, tuttavia, ci sono una serie di proposte da parte di intermediari che rappresentano gli interessi degli acquirenti occidentali. Tra i sistemi di carte russi, dopo STB e Union Card, i più notevoli sul mercato sono Zolotaya Korona, Sbercard (Sberbank), Universal Card e ICB-card (Promstroybank), nonché la già menzionata carta ACCORD/Bashcard. La "carta ICB" viene elaborata da un paio di piccole società di acquisizione, l'accettazione dei pagamenti via Internet dalle carte Zolotaya Korona e Sbercard è presumibilmente fornita direttamente dagli emittenti e/o dalle società collegate e, nel caso della carta universale, lo fa non sembrano essere forniti da nessuno.

Paycash e Webmoney sono posizionati dai loro sviluppatori come sistemi di cassa elettronici, ma ad un esame più attento solo Paycash può legittimamente rivendicare tale status.

Lo sviluppo di Paycash è stato avviato dalla Tavrichesky Bank, ma attualmente altre banche sono collegate al sistema, ad esempio Guta Bank.

Dal punto di vista tecnologico Paycash offre un'imitazione quasi completa dei pagamenti in contanti. Da un portafoglio elettronico (un programma specializzato installato dal cliente sul suo computer), il denaro può essere trasferito a un altro, garantendo l'anonimato del pagamento rispetto alla banca. Il sistema è diventato piuttosto diffuso in Russia e attualmente sta tentando di entrare nel mercato mondiale.

Il collo di bottiglia di Paycash è la procedura per trasferire denaro su un portafoglio elettronico. Fino a poco tempo fa l'unico modo per fare ciò bastava recarsi presso una filiale bancaria e trasferire denaro sul conto di sistema. È vero, c'erano delle alternative: per gli utenti del sistema Guta Bank Telebank, era possibile trasferire denaro da un conto presso Guta Bank senza uscire di casa, ma in alcuni casi, a quanto pare, era più semplice trasferirli direttamente sul conto del venditore - negozio elettronico senza utilizzare Paycash come intermediario. Era anche possibile trasferire denaro tramite Western Union o bonifico postale/bonifico, ma l'attrattiva di questa modalità era limitata dalle commissioni elevate. Per i residenti di San Pietroburgo, c'è un'opportunità molto esotica: chiamare un corriere a casa tua per soldi. Meraviglioso, ma, ahimè, non tutti viviamo nella capitale del Nord.

Non è ancora possibile trasferire denaro su Paycash dalle carte di credito. Ciò è dovuto al fatto che le aziende che supportano il funzionamento dei sistemi di carte offrono ai propri clienti la possibilità del cosiddetto “charge back” - rifiuto di effettuare un pagamento “retroattivamente”. Il "charge back" è un meccanismo che protegge il titolare di una carta di credito dai truffatori che potrebbero utilizzarne i dati. In caso di rifiuto, spetta al venditore l'onere di provare che la merce è stata effettivamente consegnata al vero titolare della carta e che il pagamento deve essere effettuato. Ma nel caso di Paycash questo tipo di prova è sostanzialmente impossibile, per ragioni abbastanza ovvie. Anche il suddetto gateway con CyberPlat, in fase di sviluppo, dovrebbe risolvere questo problema.

Nel frattempo, per spacchettare questo collo di bottiglia nel sistema, PayCash ha fatto due mosse abbastanza ragionevoli: ha emesso gratta e vinci prepagate e ha fornito l'accettazione del pagamento tramite il sistema di trasferimento Contact, le cui tariffe sono significativamente inferiori alle tariffe postali (2,2% contro 8%).

Il sistema Webmoney è uno dei “pionieri” nel mercato dei pagamenti elettronici in Russia. Attualmente ha un carattere internazionale. Secondo alcune informazioni, Webmoney ha rappresentanti non solo nelle repubbliche dell'ex Unione Sovietica, ma anche all'estero. L'operatore del sistema è l'organizzazione autonoma senza scopo di lucro "VM Center".

La modalità operativa di Webmoney è molto simile a quella con la moneta elettronica, solo un'analisi attenta e meticolosa consente di assicurarsi che in realtà Webmoney non fornisce il completo anonimato dei pagamenti, cioè non sono nascosti ai proprietari del sistema stesso. Tuttavia, la pratica di Webmoney ha dimostrato che questa proprietà è piuttosto vantaggiosa, consentendo in alcuni casi di combattere le frodi. Inoltre, come servizio a pagamento separato, VM Center offre la certificazione di persone giuridiche e fisiche, che naturalmente lo priva dell'anonimato rispetto agli altri partecipanti al sistema. Questa opportunità è necessaria soprattutto per chi vuole organizzare un negozio elettronico onesto e intende convincere i potenziali acquirenti della propria affidabilità. Webmoney ti consente di aprire conti e trasferire fondi in due valute: rubli e dollari.

Per accedere al sistema viene utilizzato il programma “portafoglio elettronico”. Ulteriori caratteristiche del sistema sono il trasferimento di brevi messaggi da portafoglio a portafoglio, nonché le transazioni di credito tra proprietari di portafoglio. Tuttavia, a nostro avviso, poche persone accetteranno di concedere prestiti a persone anonime via Internet senza la possibilità di riscuotere forzatamente il prestito in caso di mancato rimborso.

A differenza di Paycash, Webmoney inizialmente forniva la possibilità sia di trasferire contanti regolari su un portafoglio sia di incassare il contenuto dei portafogli senza le noiose procedure di compilazione degli ordini di pagamento in banca, ma in un modo piuttosto strano, dal punto di vista legale, . In generale, il supporto legale di Webmoney in termini di lavoro con le organizzazioni ha causato a lungo molti reclami.

Questo è stato il motivo per cui mentre gli utenti finali installavano attivamente i “portafogli” per se stessi, molti negozi di elettronica si rifiutavano di utilizzare questo EPS. È vero, al momento questa situazione è leggermente migliorata e la posizione di marketing attiva dei proprietari di Webmoney porta al fatto che l'immagine del sistema è in costante miglioramento. Uno di caratteristiche interessanti Questa strategia di marketing prevedeva che quasi immediatamente dopo il suo ingresso nel mercato, a tutti fosse data l'opportunità di guadagnare denaro con questo sistema (alcuni potrebbero ricordare il progetto "Nails" e il suo successivo sviluppo - visiting.ru). Proprio come Paycash, Webmoney emette gratta e vinci prepagate progettate per depositare denaro nel sistema.

Due sistemi basati sui gratta e vinci: E-port (Avtokard-holding) e KreditPilot (Kreditpilot.com), sono come fratelli gemelli. Entrambi presuppongono che l'acquirente acquisterà prima un gratta e vinci con un codice segreto da qualche parte in un'ampia rete di distribuzione o ordinandolo tramite corriere a casa, e poi inizierà a pagare online utilizzando questo codice nei negozi che accettano pagamenti da questi sistemi. E-port offre inoltre la possibilità di creare gratta e vinci “virtuali” trasferendo denaro sul conto dell’azienda tramite una banca o tramite il sistema “Webmoney”.

Il sistema Rapida, entrato in funzione nel settembre 2001, proprio come i due precedenti, offre la possibilità di depositare denaro sul conto dell'utente tramite gratta e vinci o il pagamento presso una banca partecipante al sistema. Inoltre, viene indicata la possibilità di lavorare in modalità “Banca Cliente” e di trasferire denaro sui conti di persone giuridiche che non partecipano al sistema, nonché su privati senza aprire un conto bancario. L'accesso al sistema è fornito non solo tramite Internet, ma anche telefonicamente utilizzando la selezione a toni. In generale, il sistema sembra tecnologicamente avanzato e molto interessante, ma finora non è passato abbastanza tempo dal suo avvio in funzione per poter parlare delle prospettive.

Gli EPS, che consentono il pagamento come per le chiamate interurbane (dopo, sulla base di una fattura della compagnia telefonica), sono apparsi per la prima volta negli Stati Uniti e servivano a pagare l'accesso a risorse pornografiche. Tuttavia, a causa delle sistematiche azioni fraudolente di molti proprietari di tali sistemi, non hanno guadagnato popolarità tra gli acquirenti e i venditori non ne erano particolarmente soddisfatti, poiché questi sistemi tendevano a ritardare significativamente i pagamenti.

Due implementazioni nazionali di un concetto simile – Phonepay ed Eaccess – sono all'inizio del loro viaggio. Entrambi i sistemi presuppongono che per effettuare un pagamento, il cliente debba effettuare una chiamata a un determinato numero interurbano con il codice 8-809 (fornito, a quanto pare, dalla società MTU-inform), dopo di che verranno fornite alcune informazioni chiave dettatogli dal robot: nel caso di Eaccess si tratta di un codice PIN utilizzato per accedere a una risorsa informativa a pagamento e nel caso di Phonepay si tratta di una “moneta digitale” universale composta da 12 cifre di uno dei cinque denominazioni codificate nel sistema. Osservando i siti web dei sistemi, si può notare che l'e-access si sta ancora sviluppando gradualmente, aumentando il numero di negozi collegati al sistema, ma Phonepay non ha collegato un solo negozio che non appartenga agli sviluppatori del suo sistema.

A mio parere, tali sistemi in Russia hanno prospettive molto precise legate alla facilità di accesso da parte dell'utente finale, tuttavia, l'ambito della loro applicazione sarà limitato alle vendite risorse di informazione. Il lungo ritardo nella ricezione dei pagamenti (il sistema li trasferirà al negozio non prima che l'acquirente paghi la bolletta telefonica) rende la negoziazione di beni materiali utilizzando questi EPS un'attività piuttosto non redditizia.

Infine, va menzionato un altro tipo di sistema di trasferimento elettronico: i sistemi specializzati di trasferimento tra individui, in concorrenza con i tradizionali trasferimenti postali e telegrafici. I primi ad occupare questa nicchia furono sistemi stranieri come Western Union e Money Gram. Rispetto ai bonifici tradizionali garantiscono maggiore velocità e affidabilità di pagamento. Allo stesso tempo, presentano una serie di svantaggi significativi, il principale dei quali è l'alto costo dei loro servizi, che arriva fino al 10% dell'importo del trasferimento. Un altro problema è che questi sistemi non possono essere utilizzati legalmente per accettare sistematicamente pagamenti per beni. Tuttavia, per coloro che desiderano semplicemente inviare denaro a familiari e amici, ha senso rivolgere la propria attenzione a questi sistemi, così come ai loro analoghi domestici(Anelik e Contatto). Finora né Paycash né Webmoney sono in grado di competere con loro, poiché non è possibile ricevere contanti estraendoli da un portafoglio elettronico da qualche parte in Australia o Germania. La Rapida EPS rivendica questa possibilità, ma finora non ci sono dettagli sul sito web e la geografia degli uffici del sistema non può essere paragonata ai sistemi già disponibili sul mercato.

I proprietari di negozi elettronici, a quanto pare, dovrebbero pensare prima di tutto ad accettare denaro da carte di credito e sistemi di cassa elettronici: Webmoney e Paycash. Sulla base della totalità delle caratteristiche del consumatore, a nostro avviso, nessuno dei sistemi disponibili sul mercato russo per accettare pagamenti con carte di credito può competere con CyberPlat. Tutti gli altri sistemi sono soggetti ad utilizzo facoltativo, soprattutto se si ricorda che la stessa E-port non deve essere installata separatamente, poiché le sue carte sono assistite da CyberPlat.

2. MEZZI DI PROTEZIONE DEI SISTEMI DI PAGAMENTO ELETTRONICO

2.1 Minacce legate all'uso dei sistemi di pagamento elettronici

Consideriamo possibili minacce azioni distruttive di un aggressore in relazione a questo sistema. Per fare ciò, diamo un'occhiata agli obiettivi principali dell'attacco di un attaccante. L'obiettivo principale di un aggressore sono gli asset finanziari, o meglio i loro sostituti elettronici (surrogati), ovvero gli ordini di pagamento che circolano nel sistema di pagamento. In relazione a questi strumenti, un utente malintenzionato può perseguire i seguenti obiettivi:

1. Furto di beni finanziari.

2. Introduzione di attività finanziarie contraffatte (violazione dell'equilibrio finanziario del sistema).

3. Malfunzionamento del sistema ( minaccia tecnica).

Gli oggetti e gli obiettivi specificati dell’attacco sono di natura astratta e non consentono l’analisi e lo sviluppo delle misure necessarie per proteggere le informazioni, pertanto la Tabella 4 fornisce una specifica degli oggetti e degli obiettivi degli effetti distruttivi dell’attaccante.

Tabella 4 Modello delle possibili azioni distruttive di un aggressore

Oggetto di influenza	Scopo dell'influenza	Possibili meccanismi per implementare l'impatto.
Pagine HTML sul server web della banca	Sostituzione allo scopo di ottenere informazioni inserite in un ordine di pagamento dal cliente.	Attacco al server e sostituzione delle pagine sul server. Sostituzione delle pagine nel traffico. Attacco al computer del cliente e sostituzione delle pagine del cliente
Pagine di informazioni sul client sul server	Ottenere informazioni sui pagamenti dei clienti	Attacco al server. Attacco al traffico. Attacco al computer del cliente.
Dati dell'ordine di pagamento inseriti dal cliente nel modulo	Ricezione delle informazioni inserite nell'ordine di pagamento dal cliente.	Attacco al computer del cliente (virus, ecc.). Un attacco a queste istruzioni quando vengono inviate nel traffico. Attacco al server.
Informazioni private del cliente situate sul computer del cliente e non correlate al sistema di pagamento elettronico	Ottenere informazioni riservate sui clienti. Modifica delle informazioni sul cliente. Disabilitare il computer del cliente.	L'intero complesso attacchi conosciuti a un computer connesso a Internet. Ulteriori attacchi che derivano dall'utilizzo dei meccanismi dei sistemi di pagamento.
Informazioni dal centro di elaborazione della banca.	Divulgazione e modifica delle informazioni del centro di elaborazione e rete locale vaso.	Attacco a una rete locale connessa a Internet.

In questa tabella sono riportati i requisiti fondamentali che qualsiasi sistema di pagamento elettronico via Internet deve soddisfare:

In primo luogo, il sistema deve garantire la protezione dei dati degli ordini di pagamento da cambiamenti e modifiche non autorizzate.

In secondo luogo, il sistema non dovrebbe aumentare la capacità dell’aggressore di organizzare attacchi al computer del cliente.

In terzo luogo, il sistema deve proteggere i dati presenti sul server da letture e modifiche non autorizzate.

In quarto luogo, il sistema deve fornire o supportare un sistema per proteggere la rete locale della banca dall’influenza della rete globale.

Durante lo sviluppo di specifici sistemi di protezione delle informazioni sui pagamenti elettronici, questo modello e i requisiti devono essere soggetti a ulteriori dettagli. Tuttavia, tale dettaglio non è richiesto per la presentazione attuale.

2.2 Tecnologie per la protezione dei sistemi di pagamento elettronico

Per qualche tempo lo sviluppo del WWW è stato ostacolato dal fatto che le pagine html, che costituiscono la base del WWW, sono testo statico, cioè testo statico. con il loro aiuto è difficile organizzare uno scambio interattivo di informazioni tra l'utente e il server. Gli sviluppatori hanno proposto molti modi per estendere le capacità dell'HTML in questa direzione, molti dei quali non sono mai stati ampiamente adottati. Una delle soluzioni più potenti che rappresentò una nuova tappa nello sviluppo di Internet fu la proposta di Sun di utilizzare applet Java come componenti interattivi collegati a pagine HTML.

Un'applet Java è un programma scritto nel linguaggio di programmazione Java e compilato in bytecode speciali, che sono i codici di alcuni computer virtuali - una macchina Java - e sono diversi dai codici dei processori della famiglia Intel. Le applet sono ospitate su un server in Internet e scaricate sul computer dell'utente ogni volta che si accede a una pagina HTML che contiene una chiamata a questa applet.

Per eseguire il codice dell'applet, un browser standard include un'implementazione di un motore Java che interpreta i bytecode in istruzioni macchina su una famiglia di processori Intel (o un'altra famiglia di processori). Le funzionalità inerenti alla tecnologia dell'applet Java, da un lato, consentono di sviluppare potenti interfacce utente, organizzano l'accesso a qualsiasi risorsa di rete tramite URL, utilizzano facilmente i protocolli TCP/IP, FTP, ecc., ma, d'altro canto, rendono impossibile l'accesso diretto alle risorse del computer. Ad esempio, le applet non hanno accesso a file system computer e dispositivi collegati.

Una soluzione simile per espandere le capacità del WWW è la tecnologia Microsoft: Active X. La differenza più significativa tra questa tecnologia e Java è che i componenti (analoghi delle applet) sono programmi in codice Processore Intel e il fatto che questi componenti hanno accesso a tutte le risorse del computer, nonché alle interfacce e ai servizi di Windows.

Un altro approccio meno comune per estendere le capacità del WWW è quello del plug-in di Netscape per la tecnologia Netscape Navigator. È questa tecnologia che sembra essere la base più ottimale per costruire sistemi di sicurezza informatica per i pagamenti elettronici via Internet. Per ulteriori approfondimenti, esaminiamo come questa tecnologia risolve il problema della protezione delle informazioni del server Web.

Supponiamo che ci siano alcuni server Web e l'amministratore di questo serverè necessario limitare l'accesso ad alcune parti dell'array di informazioni del server, ad es. organizzarsi in modo che alcuni utenti abbiano accesso ad alcune informazioni, ma altri no.

Attualmente vengono proposti numerosi approcci per risolvere questo problema, in particolare molti sistema operativo, con cui operano i server Internet, richiedono una password per accedere ad alcune delle loro aree, ad es. richiedere l'autenticazione. Questo approccio presenta due svantaggi significativi: in primo luogo, i dati vengono archiviati sul server stesso in testo non crittografato e, in secondo luogo, i dati vengono trasmessi sulla rete anch'essi in testo non crittografato. Pertanto, l'aggressore ha la possibilità di organizzare due attacchi: al server stesso (indovinare la password, bypassare la password, ecc.) e un attacco al traffico. I fatti relativi a tali attacchi sono ampiamente noti alla comunità Internet.

Un altro approccio ben noto per risolvere il problema della sicurezza delle informazioni è l'approccio basato sulla tecnologia SSL (Secure Sockets Layer). Quando si utilizza SSL, viene stabilito un canale di comunicazione sicuro tra il client e il server attraverso il quale vengono trasmessi i dati, ad es. Il problema della trasmissione dei dati in chiaro sulla rete può essere considerato relativamente risolto. Il problema principale con SSL è la costruzione del sistema di chiavi e il controllo su di esso. Per quanto riguarda il problema della memorizzazione dei dati sul server in forma chiara, rimane irrisolto.

Un altro importante svantaggio degli approcci sopra descritti è la necessità del loro supporto sia da parte del server che del software client di rete, il che non è sempre possibile o conveniente. Soprattutto nei sistemi rivolti a clienti di massa e non organizzati.

L'approccio proposto dall'autore si basa sulla protezione delle stesse pagine html, che sono il principale vettore di informazioni su Internet. L'essenza della protezione è che i file contenenti pagine HTML vengono archiviati sul server in forma crittografata. In questo caso, la chiave con cui vengono crittografati è nota solo alla persona che l'ha crittografata (l'amministratore) e ai clienti (in generale, il problema della costruzione di un sistema di chiavi viene risolto allo stesso modo del caso dei file trasparenti crittografia).

I clienti accedono a informazioni protette utilizzando la tecnologia Plug-in per Netscape di Netscape. Questi moduli sono programmi, più precisamente componenti software, associati a determinati tipi di file nello standard MIME. MIME è uno standard internazionale che definisce i formati di file su Internet. Ad esempio, esistono i seguenti tipi di file: testo/html, testo/piano, immagine/jpg, immagine/bmp, ecc. Inoltre, la norma definisce un meccanismo di impostazione tipi personalizzati file che possono essere definiti e utilizzati da sviluppatori indipendenti.

Pertanto, vengono utilizzati plug-in associati a tipi di file MIME specifici. La connessione è che quando l'utente accede ai file del tipo corrispondente, il browser avvia il plug-in ad esso associato e questo modulo esegue tutte le azioni per visualizzare i dati del file ed elaborare le azioni dell'utente con questi file.

I moduli plug-in più conosciuti includono moduli che riproducono video in formato avi. La visualizzazione di questi file non è inclusa nelle funzionalità standard dei browser, ma installando il plug-in appropriato è possibile visualizzare facilmente questi file nel browser.

Inoltre, tutti i file crittografati sono definiti come file di tipo MIME in conformità con lo standard internazionale stabilito. "applicazione/x-shp". Viene quindi sviluppato un plug-in utilizzando la tecnologia e i protocolli Netscape da associare al tipo di file. Questo modulo esegue due funzioni: in primo luogo, richiede una password e un ID utente e, in secondo luogo, esegue il lavoro di decrittografia e di output del file nella finestra del browser. Questo modulo viene installato secondo l'ordine standard stabilito da Netscape sui browser di tutti i computer client.

A questo punto, la fase preparatoria del lavoro è completata e il sistema è pronto per l'uso. Durante il funzionamento i client accedono alle pagine HTML crittografate tramite il loro indirizzo standard (URL). Il browser determina il tipo di queste pagine e avvia automaticamente il modulo da noi sviluppato, trasferendovi il contenuto del file crittografato. Il modulo autentica il client e, una volta completato con successo, decrittografa e visualizza il contenuto della pagina.

Durante l'esecuzione dell'intera procedura, il cliente ha la sensazione di una crittografia “trasparente” delle pagine, poiché tutto il lavoro del sistema sopra descritto è nascosto ai suoi occhi. Allo stesso tempo vengono preservate tutte le caratteristiche standard inerenti alle pagine HTML, come l'uso di immagini, applet Java, script CGI.

È facile vedere che questo approccio risolve molti problemi di sicurezza delle informazioni, perché in forma aperta si trova solo sui computer dei clienti; i dati vengono trasmessi in rete in forma crittografata. Un utente malintenzionato, perseguendo l'obiettivo di ottenere informazioni, può sferrare un attacco solo a un utente specifico e nessun sistema di sicurezza delle informazioni del server può proteggersi da questo attacco.

Attualmente, l'autore ha sviluppato due sistemi di sicurezza informatica basati sull'approccio proposto per il browser Netscape Navigator (3.x) e Netscape Communicator 4.x. Durante pre testÈ stato riscontrato che i sistemi sviluppati possono funzionare normalmente sotto il controllo di MExplorer, ma non in tutti i casi.

È importante notare che queste versioni di sistemi non crittografano gli oggetti associati a una pagina HTML: immagini, applet di script, ecc.

Il sistema 1 offre protezione (crittografia) delle pagine html effettive come un singolo oggetto. Crei una pagina, quindi la crittografi e la copi sul server. Quando si accede a una pagina crittografata, questa viene automaticamente decrittografata e visualizzata in una finestra speciale. Il supporto del sistema di sicurezza non è richiesto dal software del server. Tutto il lavoro di crittografia e decrittografia viene eseguito sulla workstation del client. Questo sistemaè universale, cioè non dipende dalla struttura e dallo scopo della pagina.

Il sistema 2 offre un approccio diverso alla protezione. Questo sistema garantisce che le informazioni protette vengano visualizzate in alcune aree della tua pagina. Le informazioni si trovano in un file crittografato (non necessariamente in formato html) sul server. Quando accedi alla tua pagina, il sistema di sicurezza accede automaticamente a questo file, legge i dati da esso e li visualizza in una determinata area della pagina. Questo approccio consente di ottenere la massima efficienza e bellezza estetica, con la minima versatilità. Quelli. il sistema risulta essere orientato verso uno scopo specifico.

Questo approccio può essere applicato anche quando si costruiscono sistemi di pagamento elettronici via Internet. In questo caso, quando si accede ad una determinata pagina del Web server, viene lanciato il modulo Plug-in, che visualizza all'utente il modulo dell'ordine di pagamento. Dopo che il cliente lo ha compilato, il modulo crittografa i dati di pagamento e li invia al server. Allo stesso tempo, può richiedere una firma elettronica da parte dell'utente. Inoltre, le chiavi di crittografia e firma possono essere lette da qualsiasi supporto: floppy disk, tavolette elettroniche, smart card, ecc.

2.3 Analisi delle tecnologie per il rispetto dei requisiti di base dei sistemi di pagamento elettronico

Sopra abbiamo descritto tre tecnologie che possono essere utilizzate per costruire sistemi di pagamento su Internet: si tratta di una tecnologia basata su applet Java, componenti Active-X e moduli plug-in. Chiamiamole rispettivamente tecnologie J, AX e P.

Considerare il requisito secondo cui la capacità di un utente malintenzionato di attaccare un computer non dovrebbe essere aumentata. Per fare ciò, analizziamo uno dei possibili tipi di attacco: la sostituzione dei corrispondenti moduli di protezione del client da parte di un utente malintenzionato. Nel caso della tecnologia J si tratta di applet, nel caso di AX componenti sommergibili, nel caso P si tratta di moduli plug-in. È ovvio che un utente malintenzionato ha la possibilità di sostituire i moduli di protezione direttamente sul computer del cliente. I meccanismi per l’attuazione di questo attacco esulano dall’ambito di questa analisi; tuttavia è opportuno notare che l’attuazione di questo attacco non dipende dalla tecnologia di protezione in questione. E il livello di sicurezza di ciascuna tecnologia è lo stesso, ad es. sono tutti ugualmente instabili a questo attacco.

Il punto più vulnerabile delle tecnologie J e AX, dal punto di vista della sostituzione, è il loro download da Internet. È in questo momento che l'attaccante può effettuare la sostituzione. Inoltre, se un utente malintenzionato riesce a sostituire questi moduli sul server della banca, avrà accesso a tutta la quantità di informazioni sui sistemi di pagamento che circolano su Internet.

Nel caso della tecnologia P non c'è pericolo di sostituzione, poiché il modulo non viene scaricato dalla rete, ma viene memorizzato in modo permanente sul computer del cliente.

Le conseguenze della sostituzione sono diverse: nel caso della tecnologia J, un utente malintenzionato può solo rubare le informazioni inserite dal client (il che rappresenta una seria minaccia), mentre nel caso di Active-X e Plug-in, un utente malintenzionato può ottenere tutte le informazioni a cui ha accesso il client in esecuzione sul computer.

Attualmente, l'autore non è a conoscenza di metodi specifici per implementare attacchi di spoofing di applet Java. Apparentemente questi attacchi si stanno sviluppando poco, poiché le opportunità che ne derivano per rubare informazioni sono praticamente assenti. Ma gli attacchi ai componenti Active-X sono diffusi e ben noti.

Consideriamo l'esigenza di proteggere le informazioni che circolano nel sistema di pagamento elettronico via Internet. È ovvio che in questo caso la tecnologia J è inferiore sia a P che ad AX in un aspetto molto significativo. Tutti i meccanismi di sicurezza delle informazioni si basano sulla crittografia o sulla firma elettronica e tutti gli algoritmi corrispondenti si basano su trasformazioni crittografiche che richiedono l'introduzione di elementi chiave. Attualmente, la lunghezza degli elementi chiave è dell'ordine di 32-128 byte, quindi richiedere all'utente di inserirli dalla tastiera è quasi impossibile. La domanda sorge spontanea: come inserirli? Poiché le tecnologie P e AX hanno accesso alle risorse del computer, la soluzione a questo problema è ovvia e ben nota: le chiavi vengono lette da file locali, floppy disk, tablet o smart card. Ma nel caso della tecnologia J, tale input è impossibile, il che significa che è necessario richiedere al client di inserire una lunga sequenza di informazioni prive di significato oppure, riducendo la lunghezza degli elementi chiave, ridurre la forza delle trasformazioni crittografiche e quindi ridurre l’affidabilità dei meccanismi di sicurezza. Inoltre, questa riduzione è molto significativa.

Consideriamo l'esigenza che il sistema di pagamento elettronico debba organizzare la protezione dei dati che si trovano sul server da letture e modifiche non autorizzate. Questa esigenza deriva dal fatto che il sistema prevede l'immissione sul server di informazioni riservate destinate all'utente. Ad esempio, un elenco degli ordini di pagamento che gli sono stati inviati con una nota sui risultati dell'elaborazione.

Nella tecnologia P queste informazioni vengono presentate sotto forma di pagine HTML, che vengono crittografate e depositate sul server. Tutte le azioni vengono eseguite secondo l'algoritmo sopra descritto (crittografia delle pagine HTML).

Nel caso delle tecnologie J e AX, queste informazioni possono essere inserite in qualche forma strutturata in un file sul server, e componenti o applet devono eseguire le operazioni di lettura e visualizzazione dei dati. Tutto ciò porta generalmente ad un aumento della dimensione totale di applet e componenti e, di conseguenza, ad una diminuzione della velocità di caricamento delle pagine corrispondenti.

Dal punto di vista di questo requisito, la tecnologia P vince per la sua maggiore producibilità, cioè minori spese generali di sviluppo e maggiore resistenza alla sostituzione dei componenti mentre attraversano la rete.

Quanto all'ultimo requisito di protezione della rete locale bancaria, esso viene soddisfatto attraverso la competente costruzione di un sistema di firewall (firewall) e non dipende dalle tecnologie in questione.

Pertanto, quanto sopra è stato effettuato in via preliminare analisi comparativa tecnologie J, AX e P, da cui ne consegue che la tecnologia J dovrebbe essere utilizzata se il mantenimento del grado di sicurezza del computer del cliente è significativamente più importante della forza delle trasformazioni crittografiche utilizzate nei sistemi di pagamento elettronici.

La tecnologia P sembra essere la soluzione tecnologica più ottimale alla base dei sistemi di sicurezza delle informazioni sui pagamenti, poiché unisce la potenza applicazione standard Win32 e protezione contro gli attacchi via Internet. L'implementazione pratica e commerciale dei progetti che utilizzano questa tecnologia viene effettuata, ad esempio, dalla società russa di comunicazioni finanziarie.

Per quanto riguarda la tecnologia AX, il suo utilizzo sembra essere inefficace e instabile agli attacchi degli intrusi.

CONCLUSIONE

La moneta elettronica comincia sempre più chiaramente a diventare la nostra realtà quotidiana, di cui occorre almeno tener conto. Naturalmente nessuno abolirà la moneta ordinaria nei prossimi cinquant’anni (probabilmente). Ma non saper gestire la moneta elettronica e perdere le opportunità che essa porta con sé significa erigere volontariamente attorno a sé una “cortina di ferro”, che con tanta fatica è stata spostata negli ultimi quindici anni. Molte grandi aziende offrono il pagamento dei propri servizi e beni tramite pagamenti elettronici. Ciò fa risparmiare molto tempo al consumatore.

Il software gratuito per l'apertura del portafoglio elettronico e per tutti i lavori con il denaro è adattato al massimo per i computer di massa e, dopo un po' di pratica, non causa alcun problema all'utente medio. Il nostro tempo è il tempo dei computer, di Internet e dell’e-commerce. Le persone che hanno conoscenze in queste aree e gli strumenti adeguati ottengono un enorme successo. La moneta elettronica è un denaro che si diffonde ogni giorno di più, aprendo sempre più opportunità a chi ha accesso a Internet.

Lo scopo del calcolo e del lavoro grafico era completare e risolvere i seguenti compiti:

1. Vengono determinati i compiti principali dei sistemi di pagamento elettronici e i principi del loro funzionamento, le loro caratteristiche.

2. Vengono analizzati i principali sistemi di pagamento elettronico.

3. Vengono analizzate le minacce legate all'uso della moneta elettronica.

4. Vengono analizzati i mezzi di protezione nell'utilizzo dei sistemi di pagamento elettronici.

ELENCO BIBLIOGRAFICO

1. Antonov N.G., Pessel M.A. Circolazione monetaria, credito e banche. -M.: Finstatinform, 2005, pp. 179-185.

2. Portafoglio bancario - 3. -M.: Somintek, 2005, pp. 288-328.

3. Mikhailov D.M. Pagamenti e garanzie internazionali. M.: FBK-PRESS, 2008, pp. 20-66.

4. Polyakov V.P., Moskovkina L.A. Struttura e funzioni delle banche centrali. Esperienza all'estero: libro di testo. - M.: INFRA-M, 2006.

5. Gaikovich Yu.V., Pershin A.S. Sicurezza dei sistemi bancari elettronici. - M: Europa Unita, 2004

6. Demin V.S. e altri Sistemi bancari automatizzati. - M: Menatep-Inform, 2007

7. Krysin V.A. Sicurezza aziendale. - M: Finanza e Statistica, 2006

8. Linkov I.I. e altri Divisioni dell'informazione nelle strutture commerciali: come sopravvivere e avere successo. - M: NIT, 2008

9. Titorenko G.A. ed altri.Informatizzazione delle attività bancarie. - M: Finstatinform, 2007

10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Reti distribuite. - San Pietroburgo: Pietro, 2008

12. Aglitsky I. Stato e prospettive di supporto informativo per le banche russe. - Tecnologie bancarie, 2007 n. 1.

Tutoraggio

Hai bisogno di aiuto per studiare un argomento?

I nostri specialisti ti consiglieranno o forniranno servizi di tutoraggio su argomenti che ti interessano.
Invia la tua candidatura indicando subito l'argomento per conoscere la possibilità di ottenere una consulenza.

3. Tutela dei pagamenti elettronici

Il problema della sicurezza bancaria è particolarmente acuto, dal momento che le informazioni bancarie, in primo luogo, rappresenta denaro reale e, in secondo luogo, lede gli interessi riservati di un gran numero di clienti bancari.

Dimensioni del mercato dell’e-commerce nel 2000

Dimensioni e caratteristiche del mercato	Stima, dollari
Costo totale di tutti gli acquisti di prodotti su Internet	4,5-6 miliardi
Costo totale di tutti gli acquisti per acquirente medio	600-800
Costo di acquisto medio per transazione Internet	25-35
Volume totale delle transazioni di acquisto su Internet	130-200 milioni
Quota di acquisti di prodotti online	60-70%
Quota degli acquisti di beni consegnati	30-40%

Schema generale di funzionamento dei sistemi di pagamento elettronici

Una banca che ha stipulato un accordo con il sistema e ha ricevuto la licenza appropriata può agire in due qualità: come emittente degli strumenti di pagamento di questo sistema, accettati per il pagamento da tutte le altre banche partecipanti, e come banca acquirente, al servizio delle imprese che accettare per pagamento strumenti di pagamento di questo sistema, emessi da altri emittenti, e accettare tali mezzi di pagamento per incassarli nelle proprie filiali.
La procedura di accettazione del pagamento è abbastanza semplice. Innanzitutto il cassiere dell'impresa deve verificare l'autenticità della carta utilizzando le caratteristiche adeguate.
Al momento del pagamento, l'azienda deve trasferire i dettagli della carta del cliente su un assegno speciale utilizzando una fotocopiatrice - imprinter, inserire nell'assegno l'importo per il quale è stato effettuato l'acquisto o sono stati forniti i servizi e ottenere la firma del cliente.
Un assegno emesso in questo modo è chiamato ricevuta. Per effettuare transazioni in sicurezza, il sistema di pagamento raccomanda limiti inferiori sugli importi per varie regioni e tipi di attività per i quali i pagamenti possono essere effettuati senza autorizzazione. Se l’importo limite viene superato o se ci sono dubbi sull’identità del cliente, la società è obbligata a svolgere un processo di autorizzazione.
Senza soffermarci sugli aspetti tecnici della procedura, segnaliamo che in fase di autorizzazione l'azienda ha effettivamente accesso alle informazioni sullo stato del conto del cliente e ha così l'opportunità di stabilire la titolarità della carta da parte del cliente e la sua capacità di pagamento nell'importo della transazione. Una copia della ricevuta rimane presso l’azienda, la seconda viene trasferita al cliente, la terza viene consegnata alla banca acquirente e serve come base per il rimborso dell’importo pagato all’azienda dal conto del cliente.
Negli ultimi anni sono diventati molto popolari i terminali POS, grazie ai quali non è necessario compilare ricevute. I dettagli della carta vengono letti dalla banda magnetica sul lettore integrato nel terminale POS, l'importo della transazione viene inserito dalla tastiera e il terminale, attraverso il modem integrato, richiede l'autorizzazione al sistema di pagamento appropriato. In questo caso vengono utilizzate le capacità tecniche del centro di elaborazione, i cui servizi sono forniti dalla banca al commerciante. In questo caso l’azienda si presenta alla banca con copia del nastro del registratore di cassa con un campione della firma del cliente e dei file batch che il terminale genera alla chiusura della giornata operativa.
Negli ultimi anni è stata attirata sempre più attenzione sistemi bancari che utilizzano carte a microprocessore. Esternamente, questi supporti di memorizzazione non sono diversi dalle normali carte, ad eccezione del chip di memoria o microprocessore saldato all'interno della carta e dei petali della piastra di contatto esposti sulla sua superficie.
La differenza fondamentale tra queste carte e tutte le precedenti è che portano direttamente informazioni sullo stato del conto del cliente, poiché esse stesse sono un conto di transito. È chiaro che ogni punto di ritiro di tali carte deve essere dotato di uno speciale terminale POS (con lettore di chip).
Per poter utilizzare la carta, il cliente deve caricarla dal suo conto presso il terminale della banca. Tutte le transazioni vengono effettuate in modalità OFF-LINE durante il dialogo carta - terminale o carta cliente - carta commerciante.
Un tale sistema è quasi completamente sicuro grazie all'elevato grado di sicurezza del chip e allo schema di pagamento con addebito completo. Inoltre, sebbene la carta stessa sia molto più costosa di quella normale, il sistema durante il funzionamento risulta essere ancora più economico perché la modalità OFF-LINE non utilizza il carico delle telecomunicazioni.
Pagamenti elettronici tramite carte bancarie in plastica vari tipi rappresentano un meccanismo abbastanza flessibile e universale per i regolamenti nella catena “Banca 1 - Cliente - Impresa - Banca 2” e regolamenti interbancari del tipo “Banca 1 - ... - Banca N”. Tuttavia, è la versatilità di questi strumenti di pagamento a renderli un bersaglio particolarmente attraente per le frodi. Il costo annuale delle perdite legate agli abusi ammonta a un importo significativo, sebbene relativamente piccolo rispetto al fatturato totale.

Il sistema di sicurezza e il suo sviluppo non possono essere considerati separatamente dalle modalità di transazioni illegali con carte di plastica, che possono essere suddivise in 5 principali tipologie di reati.

1. Operazioni con carte contraffatte.
Questo tipo di frode rappresenta la quota maggiore delle perdite dei sistemi di pagamento. A causa dell'elevata sicurezza tecnica e tecnologica delle carte reali, le carte fatte in casa vengono utilizzate raramente di recente e possono essere identificate mediante una semplice diagnostica.
Di norma per la contraffazione vengono utilizzate carte grezze rubate, sulle quali vengono riportati i dati bancari e quelli del cliente. Essendo tecnicamente altamente attrezzati, i criminali possono persino scrivere informazioni sulla banda magnetica di una carta o copiarla, in una parola, eseguire contraffazioni ad alto livello.
Gli autori di tali azioni sono, di norma, gruppi criminali organizzati, talvolta in collusione con i dipendenti delle banche emittenti che hanno accesso alle informazioni sui conti dei clienti e sulle procedure di transazione. In omaggio alla comunità criminale internazionale, va notato che le carte contraffatte sono apparse in Russia quasi contemporaneamente all'inizio dello sviluppo di questo settore del mercato bancario.

2. Transazioni con carte rubate/smarrite.
È possibile causare gravi danni utilizzando una carta rubata solo se il truffatore conosce il codice PIN del cliente. Quindi diventa possibile prelevare una grande somma dal conto del cliente attraverso una rete di sportelli elettronici - bancomat prima che la banca emittente la carta rubata abbia il tempo di inserirla nella stop list elettronica (elenco delle carte non valide).

3. Pagamenti multipli per servizi e beni per importi non eccedenti il “floor limit” e non soggetti ad autorizzazione. Per effettuare i pagamenti, il criminale deve solo falsificare la firma del cliente. Tuttavia, con questo schema, l'oggetto di abuso più attraente diventa inaccessibile: contanti. Rientrano in questa categoria i reati di furto di carte durante l'invio tramite posta da parte della banca emittente ai propri clienti.

4. Frode negli ordini via posta/telefono.
Questo tipo di reato è apparso in connessione con lo sviluppo del servizio di consegna di beni e servizi tramite posta o ordine telefonico del cliente. Conoscendo il numero della carta di credito della sua vittima, il criminale può indicarlo nel modulo d'ordine e, ricevuto l'ordine nel luogo di residenza temporanea, scappare.

5. Prelievi multipli dal conto.
Questi reati vengono solitamente commessi dai dipendenti entità legale, accettando il pagamento da parte di un cliente di beni e servizi tramite carta di credito, e viene effettuato emettendo più assegni di pagamento per un unico fatto di pagamento. Sulla base degli assegni presentati, sul conto della società viene accreditato più denaro rispetto al costo dei beni venduti o dei servizi forniti. Tuttavia, dopo aver completato una serie di transazioni, il criminale è costretto a chiudere o abbandonare l'impresa.

Per evitare tali azioni, si consiglia agli utilizzatori delle carte di prestare maggiore attenzione ai documenti firmati quando si effettuano transazioni (anche per piccoli importi).

I metodi utilizzati dai dipartimenti di sicurezza possono essere suddivisi in due categorie principali. Il primo e forse il più importante livello è legato alla sicurezza tecnica della carta di plastica stessa. Ora possiamo affermare con sicurezza che da un punto di vista tecnologico la carta è meglio protetta delle banconote ed è quasi impossibile realizzarla da soli senza l'uso di tecnologie sofisticate.
Le carte di qualsiasi sistema di pagamento soddisfano standard rigorosamente stabiliti. La mappa ha un modulo standard. Il numero di identificazione della banca nel sistema (codice BIN) e il numero di conto bancario del cliente, il suo nome e cognome, la data di scadenza della carta sono impressi e collocati in posizioni rigorosamente stabilite sul lato anteriore della carta. Esiste anche un simbolo del sistema di pagamento realizzato in modo olografico. Le ultime quattro cifre del numero della carta sono impresse (pressate in rilievo) direttamente sul simbolo olografico, rendendo impossibile copiare l'ologramma o imprimere nuovamente il codice senza distruggere il simbolo.
Sul retro della carta è presente una banda magnetica e un'area con un campione della firma del titolare. I dettagli del sistema di pagamento stesso, i marchi di sicurezza, i simboli che impediscono la copia delle informazioni vengono registrati sulla banda magnetica in posizioni rigorosamente definite e utilizzando algoritmi crittografici, e le informazioni stampate sul lato anteriore della carta vengono duplicate. L'area campione firmata dal proprietario ha un rivestimento speciale. Al minimo tentativo di cancellare o inoltrare la firma, il rivestimento viene distrutto e appare un supporto di colore diverso con i simboli di sicurezza del sistema di pagamento.
La restante superficie della carta è interamente a disposizione della banca emittente ed è decorata in modo arbitrario con i simboli della banca, la sua pubblicità e le informazioni necessarie per i clienti. La carta stessa è protetta da caratteri visibili solo sotto la luce ultravioletta.
Le misure di protezione tecnica comprendono anche la protezione delle comunicazioni bancarie, delle reti bancarie da intrusioni illegali, guasti e altre influenze esterne che portano alla fuga o addirittura alla distruzione delle informazioni. La protezione viene effettuata tramite software e hardware ed è certificata da organizzazioni di sistemi di pagamento autorizzate.
La seconda categoria di misure di protezione comprende misure per prevenire la fuga di informazioni dai dipartimenti bancari quando si lavora con carte di plastica. Il principio fondamentale è una chiara definizione delle responsabilità ufficiali dei dipendenti e, in conformità con ciò, limitare l'accesso alle informazioni classificate in misura non superiore al minimo richiesto per il lavoro.
Queste misure riducono il rischio e la possibilità che i criminali collusioni con i dipendenti. Si tengono seminari tematici per consentire ai dipendenti di migliorare le proprie competenze. I sistemi di pagamento distribuiscono regolarmente bollettini di sicurezza, in cui pubblicano materiale ufficiale e statistiche sui reati che coinvolgono le carte, segnalano segnali di criminali e indizi di carte contraffatte immesse in circolazione illegale. Attraverso i bollettini si forma il personale e si organizzano attività preventive e speciali volte a ridurre la criminalità.
Particolare attenzione è posta alla selezione del personale dei dipendenti del dipartimento. Tutte le questioni relative alla sicurezza sono responsabilità di un responsabile della sicurezza dedicato. Tra le misure preventive, il posto più importante è occupato dal lavoro con i clienti volto ad aumentare il livello culturale nella gestione del “denaro di plastica”. Una gestione attenta e attenta della carta riduce significativamente la probabilità di diventare vittima di un crimine.

Analisi delle violazioni nel sistema di liquidazione e pagamento elettronico

È ben noto tra gli specialisti che la rapida caduta della Norvegia durante la seconda guerra mondiale fu in gran parte dovuta al fatto che i codici della Royal Navy britannica furono decifrati da crittografi tedeschi che usarono esattamente gli stessi metodi che gli specialisti della Sala 40 della Royal Navy usarono contro la Germania nella precedente guerra mondiale. guerra.
Dalla seconda guerra mondiale, un velo di segretezza è stato sollevato sull’uso della crittografia da parte del governo. Ciò non sorprende, e non è dovuto solo alla Guerra Fredda, ma anche alla riluttanza dei burocrati (di qualsiasi organizzazione) ad ammettere i propri errori.
Diamo un'occhiata ad alcuni dei modi in cui sono state effettivamente commesse le frodi ai bancomat. L'obiettivo è analizzare le idee dei designer mirate all'invulnerabilità teorica del loro prodotto e trarre lezioni da quanto accaduto.
Cominciamo con alcuni semplici esempi che mostrano diverse tipologie di truffe che possono essere realizzate senza troppi artifici tecnici, nonché le procedure bancarie che le consentono.
È noto che la banda magnetica della carta di un cliente deve contenere solo il numero di conto e il suo numero di identificazione personale (PIN) si ottiene crittografando il numero di conto e ricavando quattro cifre dal risultato. Pertanto, l'ATM deve essere in grado di eseguire la crittografia o altrimenti eseguire la verifica del PIN (ad esempio, query interattiva).
La Winchester Crown Court in Inghilterra ha recentemente condannato due criminali che hanno utilizzato uno schema semplice ma efficace. Stavano in coda agli sportelli bancomat, guardavano i codici PIN dei clienti, raccoglievano le carte rifiutate dal bancomat e ne copiavano i numeri di conto su carte vergini, che venivano utilizzate per derubare i conti dei clienti.
Questo trucco è stato utilizzato (e segnalato) diversi anni fa in una banca di New York. L'autore del reato era un tecnico del bancomat licenziato ed è riuscito a rubare $ 80.000 prima che la banca, che aveva una presenza di sicurezza nella zona, lo cogliesse sul fatto.
Questi attacchi hanno avuto successo perché le banche hanno stampato l'intero numero di conto del cliente sulla carta bancaria e inoltre non vi era alcuna ridondanza crittografica sulla banda magnetica. Si potrebbe pensare che la lezione della Banca di New York venga imparata, ma no.
Un altro tipo di attacco tecnico si basa sul fatto che molte reti ATM non crittografano i messaggi e non eseguono procedure di autenticazione quando si autorizza una transazione. Ciò significa che un utente malintenzionato può registrare la risposta della banca al bancomat “Autorizzo il pagamento” e poi riprodurre la registrazione fino allo svuotamento del bancomat. Questa tecnica, nota come “eviscerazione”, non viene utilizzata solo da aggressori esterni. È noto un caso in cui gli operatori bancari hanno utilizzato un dispositivo di controllo della rete per “sventrare” gli sportelli bancomat insieme ai loro complici.

Le transazioni di prova sono un’altra fonte di problemi

Per un tipo di bancomat, è stata utilizzata una sequenza di tasti di quattordici cifre per testare l'erogazione di dieci banconote. Una certa banca ha stampato questa sequenza nel suo manuale per l'utilizzo degli sportelli bancomat remoti. Tre anni dopo, il denaro cominciò improvvisamente a scomparire. Hanno continuato fino a quando tutte le banche che utilizzavano questo tipo di bancomat hanno abilitato le patch software per impedire la transazione di prova.
Le truffe in più rapida crescita sono quelle che comportano l'utilizzo di terminali falsi per raccogliere conti clienti e codici PIN. Gli attacchi di questa specie furono descritti per la prima volta negli Stati Uniti nel 1988. I truffatori hanno costruito una macchina che accetta qualsiasi carta e distribuisce un pacchetto di sigarette. Questa invenzione è stata collocata in un negozio e i codici PIN e i dati delle carte magnetiche sono stati trasmessi tramite un modem. Il trucco si diffuse in tutto il mondo.
I tecnici rubano anche denaro ai clienti, sapendo che i loro reclami verranno probabilmente ignorati. In una banca scozzese, un tecnico dell'helpdesk ha collegato un computer a un bancomat e ha registrato i numeri di conto e i PIN dei clienti. Ha poi falsificato le carte e rubato i soldi dai conti. Ancora una volta, i clienti si sono lamentati dei muri ciechi. La banca è stata pubblicamente criticata da uno dei massimi funzionari legali scozzesi per questa pratica.
Lo scopo dell'utilizzo di un PIN di quattro cifre è che se qualcuno trova o ruba la carta bancaria di un'altra persona, c'è una possibilità su diecimila di indovinare il codice a caso. Se sono consentiti solo tre tentativi per inserire il PIN, la probabilità di prelevare denaro da una carta rubata è inferiore a uno su tremila. Tuttavia, alcune banche sono riuscite a ridurre la diversità fornita da quattro cifre.
Alcune banche non seguono lo schema per ottenere un PIN convertendo crittograficamente il numero di conto, ma utilizzando un PIN selezionato casualmente (o consentendo ai clienti di scegliere) e quindi crittografandolo per ricordarlo. Oltre a consentire al cliente di scegliere un PIN facile da indovinare, questo approccio introduce alcune insidie tecniche.
Alcune banche conservano in archivio un valore PIN crittografato. Ciò significa che il programmatore può ottenere il valore crittografato del proprio PIN e cercare nel database tutti gli altri account con lo stesso PIN.
Una grande banca britannica ha persino scritto un codice PIN crittografato sulla banda magnetica della carta. Ci sono voluti quindici anni perché la comunità criminale si rendesse conto che era possibile sostituire il numero di conto sulla banda magnetica della propria carta e poi utilizzarlo con il proprio PIN per derubare un conto.
Per questo motivo il sistema VISA consiglia alle banche di abbinare il numero di conto del cliente con il suo PIN prima della crittografia. Tuttavia non tutte le banche lo fanno.
Finora gli attacchi più sofisticati sono stati collegati a semplici errori di implementazione e di procedure operative. I ricercatori professionisti della sicurezza tendono a considerare questi errori come poco interessanti e si concentrano quindi sugli attacchi che sfruttano difetti tecnici più sottili. Anche il settore bancario presenta una serie di punti deboli in termini di sicurezza.
Sebbene gli attacchi ad alta tecnologia ai sistemi bancari siano rari, essi rivestono interesse dal punto di vista pubblico, poiché iniziative governative come i criteri di valutazione delle tecnologie di sicurezza informatica dell’UE (ITSEC) mirano a sviluppare una serie di prodotti certificati rispetto a dati tecnici noti. errori. Le proposte alla base di questo programma sono che le procedure di implementazione e di processo dei prodotti interessati siano sostanzialmente prive di errori e che l'attacco richieda una formazione tecnica paragonabile a quella del personale delle agenzie di sicurezza governative. A quanto pare, questo approccio è più appropriato per i sistemi militari che per quelli civili.
Per capire come vengono sferrati gli attacchi più sofisticati è necessario guardare più nel dettaglio alla sicurezza bancaria.

Problemi relativi ai moduli di sicurezza

Non tutti i prodotti di sicurezza sono della stessa qualità e poche banche dispongono di esperti formati per distinguere i prodotti buoni da quelli mediocri.
Nella pratica reale ci sono alcuni problemi con i prodotti di crittografia, in particolare con il vecchio modulo di sicurezza IBM 3848 o con i moduli attualmente consigliati per le organizzazioni bancarie.
Se la banca non dispone di moduli di sicurezza implementati tramite hardware, la funzione di crittografia del codice PIN verrà implementata nel software con relative conseguenze indesiderate. Il software del modulo di sicurezza può presentare punti di interruzione per il debug dei prodotti software da parte degli ingegneri del produttore. Questo fatto è stato portato all'attenzione quando una delle banche ha deciso di includerlo nella rete e l'ingegnere di sistema del produttore non è stato in grado di garantire il funzionamento del gateway richiesto. Per portare a termine il lavoro, ha utilizzato uno di questi trucchi per estrarre i PIN dal sistema. L'esistenza di tali punti di interruzione rende impossibile creare procedure affidabili per la gestione dei moduli di sicurezza.
Alcuni produttori di moduli di sicurezza facilitano essi stessi tali attacchi. Ad esempio, viene utilizzato un metodo per generare chiavi funzionanti in base all'ora del giorno e, di conseguenza, vengono effettivamente utilizzati solo 20 bit di chiave, invece dei 56 previsti. Pertanto, secondo la teoria della probabilità, per ogni 1000 chiavi generate, due corrisponderanno.
Ciò rende possibili alcuni subdoli abusi in cui un utente malintenzionato manipola le comunicazioni bancarie in modo che le transazioni di un terminale vengano sostituite da transazioni di un altro.
I programmatori di una banca non si sono nemmeno preoccupati dei problemi associati all'inserimento delle chiavi dei clienti nei programmi di crittografia. Hanno semplicemente installato i puntatori ai valori chiave in un'area di memoria che viene sempre azzerata all'avvio del sistema. Il risultato questa decisione si è scoperto che il vero e sistemi di prova utilizzato le stesse aree di stoccaggio delle chiavi. I tecnici della banca si sono resi conto che potevano ottenere i codici PIN dei clienti sulle apparecchiature di prova. Molti di loro hanno contattato i criminali locali per selezionare i codici PIN per le carte bancarie rubate. Quando il responsabile della sicurezza della banca rivelò quanto stava accadendo, morì in un incidente stradale (e la polizia locale “perse” tutto il materiale relativo). La banca non si è preoccupata di inviare nuove carte ai propri clienti.
Uno degli scopi principali dei moduli di sicurezza è impedire ai programmatori e al personale che accede ai computer di ottenere informazioni bancarie chiave. Tuttavia, la segretezza garantita dai componenti elettronici dei moduli di sicurezza spesso non resiste ai tentativi di penetrazione crittografica.
I moduli di sicurezza dispongono delle proprie chiavi principali per uso interno e tali chiavi devono essere conservate in una posizione specifica. Una copia di backup della chiave viene spesso mantenuta in un formato facilmente leggibile, come una PROM, e la chiave può essere letta di tanto in tanto, ad esempio quando il controllo di un set di chiavi di zona e terminale viene trasferito da un modulo di sicurezza a un altro. In questi casi, la banca è completamente alla mercé degli esperti nel processo di esecuzione di questa operazione.

Problemi legati alle tecnologie di progettazione

Parliamo brevemente della tecnologia di progettazione ATM. Nei modelli precedenti, il codice del programma di crittografia si trovava nel posto sbagliato: nel dispositivo di controllo e non nel modulo stesso. Il dispositivo di controllo avrebbe dovuto essere posizionato in prossimità del modulo in una determinata area. Ma attualmente un gran numero di sportelli bancomat non si trovano nelle immediate vicinanze dell’edificio della banca. In un'università del Regno Unito, nel campus era situato un bancomat al quale venivano inviati numeri di conto e codici PIN non crittografati linea telefonica alla centralina della filiale, che si trovava a diversi chilometri dalla città. Chiunque si prendesse la briga di utilizzare un dispositivo per intercettare la linea telefonica potrebbe falsificare migliaia di carte.
Anche nei casi in cui viene acquistato uno dei migliori prodotti, esistono numerose opzioni in cui un'implementazione errata o procedure tecnologiche errate causano problemi alla banca. La maggior parte dei moduli di sicurezza restituiscono una serie di codici di ritorno per ciascuna transazione. Alcuni di essi, come "errore di parità chiave", avvisano che il programmatore sta sperimentando un modulo che viene effettivamente utilizzato. Tuttavia, poche banche si sono prese la briga di scrivere il driver del dispositivo necessario per intercettare questi avvisi e agire di conseguenza.
Ci sono casi in cui le banche hanno stipulato subappalti per tutto o parte del sistema ATM con aziende che “forniscono servizi correlati” e hanno trasferito i codici PIN a queste aziende.
Ci sono stati anche casi in cui i codici PIN erano condivisi tra due o più banche. Anche se tutto il personale della banca è considerato affidabile, le aziende esterne potrebbero non mantenere politiche di sicurezza specifiche della banca. Il personale di queste aziende non è sempre adeguatamente controllato, è probabile che sia sottopagato, ficcanaso e sconsiderato, il che può portare all'ideazione ed esecuzione di frodi.
Molti degli errori gestionali descritti si basano sul mancato sviluppo della parte psicologica del progetto. Le filiali bancarie e i centri informatici dovrebbero seguire procedure standard nello svolgimento del loro lavoro quotidiano, ma è probabile che vengano seguite rigorosamente solo quelle procedure di controllo il cui scopo è chiaro. Ad esempio, è ben nota la condivisione delle chiavi della cassaforte della filiale tra il direttore e il commercialista: protegge entrambi dalla presa in ostaggio dei loro familiari. Le chiavi crittografiche non sono spesso confezionate in una forma facile da usare ed è quindi improbabile che vengano utilizzate correttamente. Una risposta parziale potrebbe essere costituita da dispositivi che in realtà assomigliano a chiavi (modellate sulle chiavi crittografiche delle micce delle armi nucleari).
Si potrebbe scrivere molto sul miglioramento delle procedure operative, ma se l’obiettivo è evitare che una qualsiasi chiave crittografica cada nelle mani di qualcuno che abbia le capacità tecniche per abusarne, allora deve esserci un obiettivo esplicito nei manuali e nei corsi di formazione. Il principio della “sicurezza attraverso l’oscurità” spesso fa più male che bene.

Distribuzione delle chiavi

La distribuzione delle chiavi pone un problema particolare per le filiali bancarie. Come sapete, la teoria prevede che ciascuno dei due banchieri inserisca la propria componente chiave, in modo che la loro combinazione dia la chiave principale del terminale. Il codice PIN, crittografato sulla chiave master del terminale, viene inviato all'ATM durante la prima transazione dopo la manutenzione.
Se il tecnico ATM riceve entrambi i componenti della chiave, può decifrare il PIN e le carte contraffatte. In pratica, i direttori di filiale che detengono le chiavi sono quasi felici di consegnarle al tecnico perché non vogliono stare accanto al bancomat durante la manutenzione. Inoltre, inserire un tasto terminale significa utilizzare una tastiera, che i manager più anziani considerano al di sotto della loro dignità.
È pratica comune gestire male le chiavi. C'è un caso noto in cui a un ingegnere del personale di manutenzione sono stati forniti entrambi i microcircuiti con chiavi principali. Sebbene in teoria esistessero procedure di doppio controllo, gli agenti di sicurezza consegnarono i chip perché erano state utilizzate le ultime chiavi e nessuno sapeva cosa fare. Un ingegnere potrebbe fare molto di più che semplicemente falsificare le carte. Avrebbe potuto andarsene con le chiavi e interrompere tutte le operazioni del bancomat della banca.
Non è privo di interesse il fatto che le chiavi siano più spesso archiviate in file aperti che in file protetti. Ciò vale non solo per le chiavi ATM, ma anche per le chiavi per i sistemi di regolamento da banca a banca come SWIFT, che gestiscono transazioni per miliardi. Sarebbe saggio utilizzare le chiavi di inizializzazione, come le chiavi del terminale e le chiavi delle zone, solo una volta e poi distruggerle.

Minacce crittoanalitiche

I crittoanalisti rappresentano probabilmente la minaccia minore per i sistemi bancari, ma non possono essere del tutto ignorati. Alcune banche (comprese quelle grandi e conosciute) utilizzano ancora algoritmi crittografici interni creati negli anni precedenti al DES. In una rete di dati, i blocchi di dati venivano semplicemente “codificati” aggiungendo una costante. Questo metodo non è stato criticato per cinque anni, nonostante il fatto che la rete fosse utilizzata da più di 40 banche. Inoltre, tutti gli esperti di assicurazione, audit e sicurezza di queste banche sembrano leggere le specifiche del sistema.
Anche se viene utilizzato un algoritmo “rispettabile”, potrebbe essere implementato con parametri inappropriati. Ad esempio, alcune banche hanno implementato l'algoritmo RSA con chiavi di lunghezza compresa tra 100 e 400 bit, anche se la lunghezza della chiave deve essere almeno di 500 bit per garantire il livello di sicurezza richiesto.
Puoi anche trovare una chiave usando la forza bruta, provando tutte le possibili chiavi di crittografia finché non trovi quella utilizzata da una banca specifica.
I protocolli utilizzati nelle reti internazionali per crittografare le chiavi di lavoro utilizzando le chiavi di zona facilitano l'attacco alla chiave di zona in questo modo. Se la chiave di zona è stata aperta una volta, tutti i codici PlN inviati o ricevuti dalla banca attraverso la rete possono essere decifrati. Un recente studio condotto da esperti della Banca canadese ha rilevato che un attacco di questo tipo al DES costerebbe circa 30.000 sterline per chiave di zona. Di conseguenza, le risorse della criminalità organizzata sono più che sufficienti per un simile crimine, e tale crimine potrebbe essere commesso da un individuo sufficientemente ricco.
Probabilmente i computer specializzati necessari per trovare le chiavi sono stati creati nei servizi segreti di alcuni paesi, anche in paesi che ora versano nel caos. Di conseguenza, esiste un certo rischio che i custodi di queste apparecchiature possano utilizzarle per guadagno personale.

Tutti i sistemi, piccoli e grandi, contengono bug software e sono soggetti a errore umano. I sistemi bancari non fanno eccezione, e chiunque abbia lavorato nella produzione industriale se ne rende conto. I sistemi di regolamento delle filiali tendono a diventare più grandi e complessi, con molti moduli interagenti che si sono evoluti nel corso di decenni. Alcune transazioni verranno inevitabilmente eseguite in modo errato: gli addebiti potrebbero essere duplicati o un conto potrebbe essere modificato in modo errato.
Questa situazione non è nuova ai controllori finanziari delle grandi aziende, che mantengono uno staff speciale per riconciliare i conti bancari. Quando viene visualizzato un addebito errato, questi dipendenti richiedono la documentazione pertinente per la revisione e, se manca la documentazione, ricevono il rimborso del pagamento errato dalla banca.
I clienti ATM non hanno però questa possibilità di rimborsare i pagamenti contestati. La maggior parte dei banchieri al di fuori degli Stati Uniti afferma semplicemente che non ci sono bug nei loro sistemi.
Una tale politica comporta alcuni rischi giuridici e amministrativi. In primo luogo, crea la possibilità di abusi, poiché la frode è nascosta. In secondo luogo, ciò porta a prove troppo complesse per il cliente, motivo per cui i tribunali statunitensi hanno semplificato la procedura. In terzo luogo, esiste il rischio morale associato all’incoraggiare indirettamente i dipendenti delle banche a rubare sulla base della consapevolezza che difficilmente verranno scoperti. In quarto luogo, si tratta di un difetto ideologico, poiché a causa della mancanza di una registrazione centralizzata dei reclami dei clienti non esiste alcuna possibilità di un controllo adeguatamente organizzato sui casi di frode.
L’impatto sull’attività commerciale associato alle perdite dei bancomat è difficile da stimare con precisione. Nel Regno Unito, il ministro economico del Tesoro (il ministro responsabile della regolamentazione bancaria) ha dichiarato nel giugno 1992 che tali errori riguardano almeno due transazioni su tre milioni effettuate ogni giorno. Tuttavia, sotto la recente pressione dei contenziosi, questa cifra è stata rivista prima a 1 su 250.000 transazioni errate, poi a 1 su 100.000 e infine a 1 su 34.000.
Poiché i clienti che presentano reclami vengono solitamente respinti dai dipendenti della banca e la maggior parte delle persone semplicemente non riesce a notare un prelievo una tantum dal proprio conto, l'ipotesi migliore è che si verifichi circa 1 transazione errata su 10.000. ATM una volta alla settimana per 50 anni, possiamo aspettarci che un cliente su quattro abbia problemi nell'utilizzo degli sportelli bancomat nel corso della sua vita.

I progettisti di sistemi crittografici sono in svantaggio a causa della mancanza di informazioni su come si verificano i guasti del sistema nella pratica piuttosto che su come potrebbero verificarsi in teoria. Questo svantaggio feedback porta all’utilizzo di un modello di minaccia errato. I progettisti concentrano i propri sforzi su ciò che nel sistema può portare al fallimento, piuttosto che concentrarsi su ciò che solitamente causa errori. Molti prodotti sono così complessi e complicati che raramente vengono utilizzati correttamente. La conseguenza è il fatto che la maggior parte degli errori sono associati all’implementazione e al mantenimento del sistema. Un risultato specifico è stata un’ondata di frodi ai bancomat, che non solo ha portato a perdite finanziarie, ma anche ad errori giudiziari e ad una diminuzione della fiducia nel sistema bancario.
Un esempio di implementazione di metodi crittografici è il sistema di protezione delle informazioni crittografiche utilizzando la firma digitale EXCELLENCE.
Il sistema crittografico software EXCELLENCE è progettato per proteggere le informazioni elaborate, archiviate e trasmesse tra personal computer compatibili IBM utilizzando la crittografia crittografica, la firma digitale e le funzioni di autenticazione.
Il sistema implementa algoritmi crittografici conformi agli standard statali: crittografia - GOST 28147-89. La firma digitale si basa sull'algoritmo RSA.
Il sistema di chiavi con autenticazione rigorosa e certificazione delle chiavi si basa sul protocollo X.509 e sul principio della distribuzione delle chiavi RSA aperta, ampiamente utilizzati nella pratica internazionale.
Il sistema contiene funzioni crittografiche per l'elaborazione delle informazioni a livello di file:

e funzioni crittografiche per lavorare con le chiavi:

Ogni utente della rete ha la propria chiave privata e pubblica. La chiave segreta di ogni utente è registrata sul floppy disk della sua chiave individuale o sulla sua scheda elettronica individuale. La segretezza della chiave dell'abbonato garantisce la protezione delle informazioni crittografate per lui e l'impossibilità di falsificare la sua firma digitale.

Il sistema supporta due tipi di supporti informativi chiave:

Ogni abbonato alla rete ha una directory di file delle chiavi pubbliche di tutti gli abbonati del sistema, protetta da modifiche non autorizzate, insieme ai loro nomi. Ogni abbonato è obbligato a mantenere segreta la propria chiave privata.
Dal punto di vista funzionale, il sistema EXCELLENCE è implementato sotto forma di modulo software excell_s.exe e funziona sul sistema operativo MS DOS 3.30 e versioni successive. I parametri per l'esecuzione delle funzioni vengono passati nel modulo riga di comando DOS. Inoltre, viene fornita un'interfaccia grafica. Il programma riconosce e supporta automaticamente le operazioni a 32 bit sul processore Intel386/486/Pentium.
Per integrarsi negli altri sistemi softwareè stata implementata una variante del sistema EXCELLENCE, contenente funzioni crittografiche di base per lavorare con i dati nella RAM nelle seguenti modalità: memoria - memoria; memoria - file; file - memoria.

Previsioni per l'inizio del 21° secolo

La quota del management bancario che adotterà misure efficaci per risolvere il problema della sicurezza delle informazioni dovrebbe aumentare al 40-80%. Il problema principale sarà il personale di servizio (compresi gli ex) (dal 40% al 95% dei casi), e le principali tipologie di minacce saranno gli accessi non autorizzati (UNA) e i virus (fino al 100% delle banche sarà soggetto ad attacchi virali) ).
Le misure più importanti per garantire la sicurezza delle informazioni saranno la massima professionalità dei servizi di sicurezza delle informazioni. Per questo le banche dovranno spendere fino al 30% dei profitti per la sicurezza informatica.
Nonostante tutte le misure sopra elencate, una soluzione assoluta al problema della sicurezza delle informazioni è impossibile. Allo stesso tempo, l'efficacia del sistema di sicurezza delle informazioni di una banca è interamente determinata dall'importo dei fondi investiti in esso e dalla professionalità del servizio di sicurezza delle informazioni, e la possibilità di violare il sistema di sicurezza delle informazioni di una banca è interamente determinata dal costo di superare il sistema di sicurezza e le qualifiche dei truffatori. (Nella pratica estera, si ritiene che abbia senso "hackerare" un sistema di sicurezza se il costo per superarlo non supera il 25% del valore delle informazioni protette).

Il capitolo 4 ha esaminato le caratteristiche dell’approccio alla protezione dei sistemi bancari elettronici. Una caratteristica specifica di questi sistemi è una forma speciale di scambio elettronico di dati: i pagamenti elettronici, senza i quali non può esistere alcuna banca moderna.

Lo scambio elettronico di dati (EDE) è lo scambio da computer a computer di documenti elettronici aziendali, commerciali e finanziari. Ad esempio, ordini, istruzioni di pagamento, proposte contrattuali, fatture, ricevute, ecc.

L'EOD garantisce una rapida interazione tra i partner commerciali (clienti, fornitori, rivenditori, ecc.) in tutte le fasi della preparazione di una transazione commerciale, della conclusione di un contratto e dell'attuazione di una consegna. Nella fase di pagamento del contratto e di trasferimento di fondi, l’EDI può portare allo scambio elettronico di documenti finanziari. Ciò crea un ambiente efficace per le transazioni commerciali e di pagamento:

* È possibile familiarizzare i partner commerciali con offerte di beni e servizi, selezionare il prodotto/servizio richiesto, chiarire le condizioni commerciali (costi e tempi di consegna, sconti commerciali, garanzie e obblighi di servizio) in tempo reale;

* Ordinare beni/servizi o richiedere una proposta contrattuale in tempo reale;

* Controllo operativo della consegna della merce, ricezione dei documenti accompagnatori (fatture, fatture, elenchi componenti, ecc.) tramite e-mail;

* Conferma del completamento della consegna di beni/servizi, emissione e pagamento delle fatture;

* Esecuzione di operazioni bancarie di credito e di pagamento. I vantaggi dell’OED includono:

* Ridurre il costo delle operazioni passando alla tecnologia senza carta. Gli esperti stimano il costo dell'elaborazione e della conservazione della documentazione cartacea pari al 3-8% del costo totale delle transazioni commerciali e della consegna delle merci. Il beneficio derivante dall’uso degli EED è stimato, ad esempio, nell’industria automobilistica statunitense a più di 200 dollari per automobile prodotta;

* Aumentare la velocità di regolamento e di rotazione del denaro;

* Aumentare la comodità dei calcoli.

Esistono due strategie chiave per lo sviluppo dell’EED:

1. L'EOD viene utilizzato come vantaggio competitivo, consentendo una più stretta interazione con i partner. Questa strategia è stata adottata da grandi organizzazioni e si chiama Extended Enterprise Approach.

2. L'EDI viene utilizzato in alcuni progetti industriali specifici o in iniziative di associazioni di organizzazioni commerciali e di altro tipo per aumentare l'efficienza della loro interazione.

Le banche negli Stati Uniti e in Europa occidentale hanno già riconosciuto il loro ruolo chiave nella diffusione dell’EDI e i vantaggi significativi che derivano da una più stretta interazione con partner commerciali e personali. L'OED aiuta le banche a fornire servizi ai clienti, soprattutto quelli piccoli, che in precedenza non potevano permettersi di utilizzarli a causa dei costi elevati.

L'ostacolo principale alla diffusione capillare dell'EDI è la varietà di presentazioni dei documenti durante lo scambio attraverso i canali di comunicazione. Per superare questo ostacolo, varie organizzazioni hanno sviluppato standard per la presentazione di documenti nei sistemi EED per vari settori:

QDTI - General Trade Interchange (Europa, commercio internazionale);

MDSND - National Automated Clearing House Association (USA, Associazione Nazionale delle Automated Clearing Houses);

TDCC - Comitato di coordinamento dei dati sui trasporti;

VICS - Standard Volontario di Comunicazione Interindustriale (USA, Standard Volontario di Comunicazione Interindustriale);

WINS - Standard della rete di informazioni sul magazzino rete informativa magazzini di merci).

Nell'ottobre 1993 il gruppo internazionale UN/ECE ha pubblicato la prima versione dello standard EDIFACT. L'insieme sviluppato di regole di sintassi e di elementi di dati commerciali è stato formalizzato sotto forma di due standard ISO:

ISO 7372 - Directory degli elementi dei dati commerciali;

ISO 9735 - EDIFACT - Regole di sintassi a livello di applicazione.

Un caso speciale di EOD sono i pagamenti elettronici: lo scambio di documenti finanziari tra clienti e banche, tra banche e altre organizzazioni finanziarie e commerciali.

L'essenza del concetto di pagamento elettronico è che i messaggi inviati sulle linee di comunicazione, correttamente eseguiti e trasmessi, costituiscono la base per l'esecuzione di una o più operazioni bancarie. In linea di principio, per effettuare queste operazioni non sono necessari documenti cartacei (anche se possono essere rilasciati). In altre parole, il messaggio inviato sulle linee di comunicazione porta l'informazione che il mittente ha effettuato alcune operazioni sul suo conto, in particolare sul conto di corrispondenza della banca ricevente (che può essere un centro di compensazione), e che il destinatario deve effettuare le operazioni specificate nel messaggio. Sulla base di tale messaggio è possibile inviare o ricevere denaro, aprire un prestito, pagare un acquisto o un servizio ed eseguire qualsiasi altra operazione bancaria. Tali messaggi sono chiamati moneta elettronica e l'esecuzione di operazioni bancarie basate sull'invio o sulla ricezione di tali messaggi è chiamata pagamento elettronico. Naturalmente, l'intero processo di esecuzione dei pagamenti elettronici richiede protezione affidabile. Altrimenti la banca e i suoi clienti si troveranno ad affrontare seri problemi.

I pagamenti elettronici vengono utilizzati per i pagamenti interbancari, commerciali e personali.

Gli accordi interbancari e commerciali vengono effettuati tra organizzazioni (persone giuridiche), motivo per cui a volte vengono chiamati aziendali. Gli accordi che coinvolgono singoli clienti sono detti personali.

La maggior parte dei grandi furti nei sistemi bancari sono direttamente o indirettamente collegati ai sistemi di pagamento elettronici.

Esistono molti ostacoli alla creazione di sistemi di pagamento elettronici, soprattutto quelli globali, che coprono un gran numero di istituti finanziari e i loro clienti in diversi paesi. I principali sono:

1. Mancanza di standard uniformi per operazioni e servizi, che complica notevolmente la creazione di sistemi bancari unificati. Ogni grande banca si impegna a creare la propria rete EOD, il che aumenta i costi di funzionamento e manutenzione. I sistemi duplicati li rendono difficili da utilizzare, creando interferenze reciproche e limitando le capacità dei clienti.

2. Una maggiore mobilità dell'offerta di moneta, che porta ad un aumento della possibilità di speculazione finanziaria, espande i flussi di “capitale errante”. Questi soldi possono cambiare la situazione del mercato e destabilizzarlo in breve tempo.

3. Guasti e fallimenti degli strumenti tecnici ed errori del software durante i regolamenti finanziari, che possono portare a gravi complicazioni per ulteriori regolamenti e perdita di fiducia nella banca da parte dei clienti, soprattutto a causa dello stretto intreccio dei legami bancari (una sorta di di “propagazione degli errori”). Allo stesso tempo, aumenta notevolmente il ruolo e la responsabilità degli operatori di sistema e dell'amministrazione, che gestiscono direttamente il trattamento delle informazioni.

Qualsiasi organizzazione che voglia diventare cliente di qualsiasi sistema di pagamento elettronico o organizzare il proprio sistema deve esserne consapevole.

Per funzionare in modo affidabile, un sistema di pagamento elettronico deve essere ben protetto.

Gli accordi commerciali vengono stipulati tra varie organizzazioni commerciali. Le banche partecipano a questi accordi come intermediari quando trasferiscono denaro dal conto dell'organizzazione pagatrice al conto dell'organizzazione ricevente.

La liquidazione del commerciante è estremamente importante per il successo complessivo di un programma di pagamenti elettronici. Il volume delle transazioni finanziarie di varie società costituisce solitamente una parte significativa del volume totale delle transazioni bancarie.

Le tipologie di transazioni commerciali variano notevolmente a seconda delle diverse organizzazioni, ma quando vengono eseguite vengono sempre elaborati due tipi di informazioni: messaggi di pagamento e ausiliari (statistiche, report, notifiche). Per le organizzazioni finanziarie, l'interesse maggiore sono, ovviamente, le informazioni contenute nei messaggi di pagamento: numeri di conto, importi, saldo, ecc. Per le organizzazioni commerciali, entrambi i tipi di informazioni sono ugualmente importanti: il primo fornisce un indizio sulla situazione finanziaria, il secondo aiuta nel processo decisionale e nello sviluppo delle politiche.

I tipi più comuni di accordi commerciali sono:

* Deposito diretto.

Il significato di questo tipo di regolamento è che l'organizzazione incarica la banca di effettuare automaticamente determinati tipi di pagamenti ai propri dipendenti o clienti, utilizzando supporti magnetici pre-preparati o messaggi speciali. Le condizioni per effettuare tali pagamenti vengono concordate in anticipo (fonte di finanziamento, importo, ecc.). Vengono utilizzati principalmente per pagamenti regolari (pagamenti di vari tipi di assicurazioni, rimborsi di prestiti, stipendi, ecc.). A livello istituzionale, il deposito diretto è più conveniente rispetto, ad esempio, ai pagamenti tramite assegni.

Dal 1989, il numero dei dipendenti che utilizzano il deposito diretto è raddoppiato raggiungendo il 25% del totale. Più di 7 milioni di americani oggi ricevono lo stipendio tramite deposito diretto. Per le banche il deposito diretto offre i seguenti vantaggi:

Ridurre il volume delle attività associate all'elaborazione dei documenti cartacei e, di conseguenza, risparmiare importi significativi;

Aumento del numero dei depositi, poiché deve essere depositato il 100% del volume dei pagamenti.

Oltre alle banche, ne beneficiano sia i proprietari che i lavoratori; la comodità aumenta e i costi si riducono.

*Calcoli utilizzando l'OED.

I dati qui sono fatture, fatture, schede componenti, ecc.

Per implementare l’EDI è necessario il seguente insieme di servizi di base:

Posta elettronica secondo lo standard X.400;

Trasferimento di file;

Comunicazione punto a punto;

Accesso on-line a banche dati;

Cassetta postale;

Trasformazione degli standard di presentazione delle informazioni.

Esempi di sistemi di regolamento commerciale attualmente esistenti che utilizzano EDI includono:

La National Bank e la Royal Bank (Canada) sono collegate ai propri clienti e partner utilizzando l'IBM Information Network;

La Bank of Scotland Transcontinental Automated Payment Service (TAPS), fondata nel 1986, collega la Bank of Scotland con clienti e partner in 15 paesi attraverso banche corrispondenti e stanze di compensazione automatizzate.

I regolamenti interbancari elettronici sono principalmente di due tipologie:

* Compensazione degli insediamenti utilizzando il potente sistema informatico della banca intermediaria (banca di compensazione) e conti corrispondenti delle banche che partecipano agli insediamenti in questa banca. Il sistema si basa sulla compensazione dei reciproci crediti e obblighi monetari delle persone giuridiche con il successivo trasferimento del saldo. La compensazione è ampiamente utilizzata anche nelle borse valori e delle merci, dove il regolamento dei crediti reciproci dei partecipanti alla transazione viene effettuato attraverso una stanza di compensazione o uno speciale sistema di compensazione elettronica.

Gli accordi di compensazione interbancaria vengono effettuati attraverso speciali stanze di compensazione, banche commerciali, tra filiali e filiali di una banca - attraverso la sede centrale. In un certo numero di paesi, le funzioni di stanza di compensazione sono svolte dalle banche centrali. Le stanze di compensazione automatizzate (ACH) forniscono servizi per lo scambio di fondi tra istituti finanziari. Le transazioni di pagamento sono principalmente limitate a debiti o accrediti. I membri del sistema AKP sono istituti finanziari membri dell’Associazione AKP. L'associazione è costituita allo scopo di sviluppare regole, procedure e standard per l'implementazione dei pagamenti elettronici all'interno di una regione geografica. Va notato che l'ACP non è altro che un meccanismo per spostare fondi e informazioni di accompagnamento. Non eseguono direttamente servizi di pagamento. Gli ACP sono stati creati per integrare i sistemi di elaborazione dei documenti finanziari cartacei. Il primo cambio automatico è apparso in California nel 1972; attualmente negli Stati Uniti sono operativi 48 cambi automatici. Nel 1978 fu creata la National Automated Clearing House Association (NACHA), che unì tutte le 48 reti ACH su base cooperativa.

Il volume e la natura delle operazioni sono in continua espansione. Gli ACP stanno iniziando a effettuare transazioni commerciali e transazioni di scambio elettronico di dati. Dopo tre anni di sforzi da parte di diverse banche e aziende, è stato creato il sistema CTP (Corporate Trade Payment) per elaborare automaticamente accrediti e addebiti. Secondo gli esperti, la tendenza ad ampliare le funzioni del cambio automatico continuerà nel prossimo futuro.

* Liquidazioni dirette, in cui due banche comunicano direttamente tra loro utilizzando i loro conti nostri, eventualmente con la partecipazione di un terzo che svolge un ruolo organizzativo o di supporto. Naturalmente, il volume delle transazioni reciproche deve essere sufficientemente ampio da giustificare i costi di organizzazione di un simile sistema di regolamento. Di solito, un tale sistema unisce diverse banche e ciascuna coppia può comunicare direttamente tra loro, aggirando gli intermediari. In questo caso, però, è necessaria una centrale di controllo che si occupi della protezione delle banche interagenti (distribuzione delle chiavi, gestione, controllo del funzionamento e registrazione degli eventi).

Esistono molti di questi sistemi nel mondo: da quelli piccoli che collegano diverse banche o filiali, a quelli giganti internazionali che collegano migliaia di partecipanti. Il sistema più famoso di questa classe è SWIFT.

Recentemente è emerso un terzo tipo di pagamenti elettronici: il troncamento dell'assegno elettronico, la cui essenza è interrompere il percorso di invio di un assegno cartaceo all'istituto finanziario a cui è stato presentato. Se necessario, il suo analogo elettronico “viaggia” ulteriormente sotto forma di un messaggio speciale. L'inoltro e il rimborso di un assegno elettronico vengono effettuati tramite ACH.

Nel 1990, la NACHA annunciò la prima fase di test del programma pilota nazionale "Electronic Check Truncation". Il suo obiettivo è ridurre i costi di elaborazione di enormi quantità di assegni cartacei.

L'invio di denaro tramite un sistema di pagamento elettronico prevede i seguenti passaggi (a seconda delle condizioni specifiche e del sistema stesso, l'ordine può variare):

1. Un determinato conto nel sistema della prima banca viene ridotto dell'importo richiesto.

2. Il conto di corrispondenza della seconda banca presso la prima aumenta dello stesso importo.

3. Viene inviato un messaggio dalla prima banca alla seconda banca contenente le informazioni sulle azioni eseguite (identificativi del conto, importo, data, condizioni, ecc.); in questo caso il messaggio inviato dovrà essere opportunamente protetto da contraffazioni: criptato, dotato di firma digitale e di campi di controllo, ecc.

4. L'importo richiesto viene addebitato sul conto corrispondente della prima banca nella seconda.

5. Un determinato conto nella seconda banca viene aumentato dell'importo richiesto.

6. La seconda banca invia alla prima una notifica relativa alle rettifiche del conto effettuate; anche questo messaggio deve essere protetto contro la manomissione in modo analogo alla protezione di un messaggio di pagamento.

7. Il protocollo di scambio viene registrato per entrambi gli abbonati ed eventualmente per terzi (presso il centro di controllo della rete) per evitare conflitti.

Potrebbero esserci intermediari lungo il percorso di trasmissione dei messaggi: centri di compensazione, banche intermediarie nel trasferimento di informazioni, ecc. La principale difficoltà di tali calcoli è la fiducia nel proprio partner, ovvero ogni abbonato deve essere sicuro che il suo corrispondente eseguirà tutte le azioni necessarie.

Per espandere l'uso dei pagamenti elettronici, è in corso la standardizzazione della presentazione elettronica dei documenti finanziari. Nasce negli anni '70 all'interno di due organizzazioni:

1) ANSI (American National Standard Institute) ha pubblicato ANSI X9.2-1080, (Interchange MessageSpecification for Debit and Credit Card Message Exchange Among Financial Institute). Nel 1988, uno standard simile fu adottato dall'ISO e chiamato ISO 8583 (Bank Card Originated Messages Interchange Message Specifiche - Contenuto per transazioni finanziarie);

2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) ha sviluppato una serie di standard per i messaggi interbancari.

Secondo lo standard ISO 8583, un documento finanziario contiene una serie di dati (dettagli) situati in determinati campi di un messaggio o di un documento elettronico (carta di credito elettronica, messaggio in formato X.400 o documento in sintassi EDIFACT). A ciascun elemento dati (ED) viene assegnato il proprio numero univoco. Un dato può essere obbligatorio (ovvero incluso in ogni messaggio di questo tipo) o facoltativo (in alcuni messaggi potrebbe essere assente).

La scala di bit determina la composizione del messaggio (quegli ED che sono presenti in esso). Se una certa cifra della scala di bit è impostata su uno, significa che nel messaggio è presente l'ED corrispondente. Grazie a questo metodo di codifica dei messaggi, la lunghezza complessiva del messaggio viene ridotta, si ottiene flessibilità nella presentazione di messaggi con molti ED e viene fornita la possibilità di includere nuovi ED e tipi di messaggio in un documento elettronico di struttura standard.

Esistono diversi metodi per i pagamenti elettronici interbancari. Consideriamone due: pagamento tramite assegno (pagamento dopo il servizio) e pagamento tramite lettera di credito (pagamento per il servizio previsto). Altri metodi, come il pagamento tramite richieste di pagamento o ordini di pagamento, hanno un'organizzazione simile.

Il pagamento tramite assegno si basa su un documento cartaceo o altro documento contenente l'identificazione del pagatore. Questo documento costituisce la base per trasferire l'importo indicato nell'assegno dal conto del proprietario al conto del portatore. Il pagamento tramite assegno prevede i seguenti passaggi:

Ricevere un assegno;

Invio di un assegno alla banca;

Richiesta di trasferimento dal conto del titolare dell'assegno al conto del traente;

Trasferimento di denaro;

Avviso di pagamento.

I principali svantaggi di tali pagamenti sono la necessità di un documento ausiliario (assegno), che può essere facilmente falsificato, nonché il tempo significativo necessario per completare il pagamento (fino a diversi giorni).

Pertanto, recentemente questo tipo di pagamento tramite lettera di credito è diventato più comune. Comprende i seguenti passaggi:

Notifica alla banca da parte del cliente della fornitura di un prestito;

Notifica alla banca del destinatario della fornitura di un prestito e del trasferimento di denaro;

Notificare al destinatario la ricezione del prestito.

Questo sistema permette di effettuare pagamenti in tempi brevissimi. La notifica di un prestito può essere inviata tramite posta (elettronica), floppy disk, nastri magnetici.

Ciascuno dei tipi di pagamento sopra discussi presenta i suoi vantaggi e svantaggi. Gli assegni sono più convenienti per pagare piccoli importi, nonché per pagamenti irregolari. In questi casi il ritardo nel pagamento non è molto significativo e l'utilizzo del credito è inappropriato. I pagamenti tramite lettera di credito vengono solitamente utilizzati per pagamenti regolari e per importi significativi. In questi casi, l’assenza di un ritardo di liquidazione consente di risparmiare molto tempo e denaro riducendo il periodo di rotazione del denaro. Lo svantaggio comune di questi due metodi è la necessità di spendere soldi per organizzare un sistema di pagamento elettronico affidabile.

Popolare nella categoria: