casa › Formazione scolastica › Metodi per proteggere il sistema di pagamenti elettronici moneta digitale. Quali sono i principali modi per proteggere la moneta elettronica? Mezzi di protezione dei sistemi di pagamento elettronico

Metodi per proteggere il sistema di pagamenti elettronici moneta digitale. Quali sono i principali modi per proteggere la moneta elettronica? Mezzi di protezione dei sistemi di pagamento elettronico

I sistemi di pagamento elettronico sono uno dei tipi più popolari di lavoro con valuta elettronica. Ogni anno si sviluppano sempre più attivamente, occupando una quota abbastanza ampia del mercato del lavoro con la valuta. Insieme a loro, si stanno sviluppando anche le tecnologie per garantire la loro sicurezza. Da oggi nessun sistema di pagamento elettronico può esistere senza buone tecnologie e sistemi di sicurezza, che a loro volta garantiscono una transazione sicura delle transazioni monetarie. Ci sono molti sistemi di pagamento elettronico stessi, infatti, così come le tecnologie di sicurezza. Ognuno di loro ha diversi principi e tecnologie di lavoro, nonché i propri vantaggi e svantaggi. Inoltre, rimangono irrisolte una serie di questioni teoriche e pratiche, che determinano la rilevanza del tema di ricerca.

Ogni sistema di pagamento elettronico utilizza i propri metodi, algoritmi di crittografia, protocolli di trasferimento dati per eseguire transazioni sicure e trasferimento dati. Alcuni sistemi utilizzano l'algoritmo di crittografia RSA e il protocollo di trasferimento HTTPs, altri utilizzano l'algoritmo DES e il protocollo SSL per trasferire i dati crittografati. L'idea di scrivere un articolo si basa sullo studio e l'analisi di una serie di sistemi di pagamento popolari, vale a dire le tecnologie di sicurezza utilizzate in essi, e sulla scoperta di quale sia il più avanzato.

Nel corso della stesura dell'articolo sono stati effettuati studi sui sistemi di pagamento, un'analisi della sicurezza dei sistemi di pagamento esistenti. Quattro sistemi di pagamento (Webmoney, Yandex.Money, PauPa1 e E-Port) sono stati analizzati secondo gli stessi criteri. I sistemi sono stati valutati utilizzando un sistema multilivello che include parametri nidificati. Naturalmente, tutti questi criteri si applicano alla sfera informazioni di sicurezza. I criteri principali sono due: supporto tecnico per la sicurezza informatica dei pagamenti e supporto organizzativo e legale. Ciascuno di questi due parametri è stato valutato su un sistema a tre punti. La scala di valutazione è esattamente questa, poiché l'attuale sviluppo dei sistemi di pagamento elettronico nel nostro Paese è a un livello tale che la maggior parte dei loro parametri può essere descritta solo con le parole "sì o no". Di conseguenza, se il sistema di pagamento elettronico corrisponde al massimo a qualsiasi parametro, riceve il punteggio più alto (3), se non risponde affatto, il punteggio minimo (0). Se il sistema non ha questo criterio nella sua forma esplicita, ma se ci sono servizi o capacità associati a quello mancante, assegniamo un punteggio intermedio - uno o due.

Quando si valutano i sistemi di pagamento elettronico, va ricordato che in condizioni diverse il valore dello stesso parametro non è lo stesso. Ad esempio, diversi servizi che aumentano notevolmente il livello di protezione possono essere implementati solo dall'utente volontariamente, inoltre, la presenza stessa di questi servizi nel sistema è preziosa. Nessuno ha cancellato il fattore umano e non lo cancellerà mai, pertanto si tiene conto che il servizio può essere sia implementato che non realizzato.

Sicurezza tecnica delle transazioni

Questo è il primo dei criteri: un insieme di parametri che fornisce, come suggerisce il nome, l'aspetto tecnico della protezione delle informazioni. Fino a questa impostazione, abilitato: metodi crittografici di crittografia, autenticazione e accesso tramite uno speciale hardware(nel caso più primitivo - utilizzando chiavi USB).

Non è un segreto che il criterio principale per proteggere le informazioni in termini tecnici sia, ovviamente, la crittografia dei dati e, più specificamente, gli algoritmi crittografici con cui vengono implementati. È anche noto che maggiore è la lunghezza della chiave, più difficile è decrittografarla e, di conseguenza, ottenere l'accesso a informazioni riservate. Tre dei sistemi testati utilizzano il noto e ampiamente rispettato algoritmo RSA: Webmoney, Yandex.Money, PayPal. E-Port utilizza la crittografia SSL versione 3.0, infatti la crittografia viene implementata utilizzando chiavi SSL, che sono univoche, vengono generate durante la sessione e sono chiamate chiave di sessione. La lunghezza della chiave SSL nel sistema E-Port varia da 40 a 128 bit, il che è abbastanza per un livello accettabile di sicurezza delle transazioni.

Il parametro successivo nel supporto tecnico della sicurezza delle informazioni delle transazioni è l'autenticazione, ad es. un insieme di soluzioni di cui un utente ha bisogno per accedere alle proprie informazioni personali. Tutto è semplice qui. I sistemi Webmoney e Yandex.Money utilizzano due criteri di accesso, mentre PayPal ed E-Port ne utilizzano solo uno. In Webmoney, per accedere al sistema ed effettuare pagamenti, è necessario inserire una password e chiave speciale... Yandex.Money funziona in modo simile: sono richiesti una password e uno speciale programma di portafoglio. In tutti gli altri sistemi l'accesso avviene tramite password. Tuttavia, nel sistema E-Port, per poter funzionare utilizzando il protocollo SSL, il web server di un potenziale cliente (e qualsiasi altro membro del sistema) deve disporre di un apposito certificato digitale ricevuto da una delle società autorizzate. Questo certificato viene utilizzato per autenticare il server Web del client. Il meccanismo di protezione del certificato utilizzato da E-Port è certificato da RSA Security. Il terzo e ultimo parametro in questo criterio di studio è l'accesso al sistema tramite hardware speciale, come le chiavi USB.

Metodi di crittografia crittografica

Webmoney e Yandex.Money utilizzano una chiave di 1024 bit (una cifra molto alta, è quasi impossibile decifrare tale chiave con una semplice enumerazione) e PayPal utilizza una chiave due volte più corta: 512 bit. due sistemi, secondo questo criterio, otteniamo il punto massimo - 3. PayPal, poiché utilizza una chiave di crittografia più piccola, ottiene due punti. Resta solo da valutare E-Port in base a questo parametro: nonostante l'uso del protocollo SSL in esso contenuto e persino la lunghezza della chiave fino a 128 bit, esiste una potenziale vulnerabilità in E-Port: molte versioni precedenti dei browser supportano la crittografia con chiavi di lunghezza minore, quindi è possibile hackerare i dati ricevuti; di conseguenza, per coloro che utilizzano il browser come client per sistema di pagamento, è necessario lavorarci ultima versione(ovviamente, questo non è sempre conveniente e possibile). Tuttavia, nella colonna "crittografia", è possibile impostare 1,7 punti per l'E-Port: il sistema ha meritato questo punteggio per l'utilizzo del protocollo progressivo PGP per la crittografia dei messaggi di posta elettronica.

Autenticazione

I sistemi Webmoney e Yandex.Money utilizzano due criteri di accesso, mentre PayPal ed E-Port ne utilizzano solo uno. In Webmoney, per accedere al sistema ed effettuare pagamenti, è necessario inserire una password e una chiave speciale. Yandex.Money funziona in modo simile: sono richieste una password e uno speciale programma di portafoglio, in tutti gli altri sistemi l'accesso avviene tramite password. Tuttavia, nel sistema E-Port lavorare sul protocollo SSL, il server web di un potenziale cliente.

Secondo Webmoney e Yandex.Money, ottengono tre punti ciascuno, PayPal - 0 punti, E-Port - uno.

Questo è ancora più facile che con le opzioni precedenti. Di tutti i sistemi, solo Webmoney PayPal ha tale opzione aggiuntiva, quest'ultima non offre tale opportunità. Pertanto, tenendo conto del fattore di ponderazione, Webmoney e PayPal hanno ricevuto 1,5 punti per questo parametro, tutto il resto - zero.

Dopo aver valutato i due criteri, i risultati possono essere riassunti. Secondo la somma dei parametri considerati, Webmoney si è rivelato sicuro. Infatti, se l'utente utilizza tutti i servizi di sicurezza forniti, potrebbe rimanere praticamente invulnerabile ai truffatori. Il secondo posto è stato preso dal sistema Yandex.Money, il terzo posto da PayPal (questo sistema è ideale per le persone giuridiche per una significativa trasparenza legale dei pagamenti) e l'ultimo posto è stato assegnato al sistema E-Port.

Inoltre, riassumendo l'analisi dei sistemi di pagamento, possiamo affermare che la scelta di un sistema di pagamento elettronico non viene effettuata secondo un parametro di sicurezza, anche se è uno dei più importanti. I sistemi di pagamento elettronico differiscono anche per la disponibilità dei servizi, la facilità d'uso: ci sono molti altri fattori.

conclusioni

I pagamenti elettronici sono una fase naturale nello sviluppo delle telecomunicazioni.La domanda è elevata in quelle nicchie in cui esiste un prodotto a tutti gli effetti - un prodotto digitale, le cui proprietà sono ben "sovrapposte" alle proprietà del pagamento online: pagamento istantaneo, consegna istantanea , semplicità e sicurezza.

Sistema di pagamento su Internetè un sistema per condurre accordi tra organizzazioni finanziarie, imprenditoriali e utenti di Internet nel processo di acquisto / vendita di beni e servizi tramite Internet. È il sistema di pagamento che consente di trasformare un servizio di elaborazione degli ordini o una vetrina elettronica in un vero e proprio negozio con tutti gli attributi standard: selezionando un prodotto o un servizio sul sito Web del venditore, l'acquirente può effettuare un pagamento senza uscire dal computer.

Nel sistema di e-commerce, i pagamenti sono soggetti a una serie di condizioni:

1. Rispetto della riservatezza. Quando effettua pagamenti su Internet, l'acquirente desidera che i suoi dati (ad esempio, il numero di carta di credito) siano noti solo alle organizzazioni che hanno il diritto legale di farlo.

2. Mantenere l'integrità delle informazioni. Le informazioni di acquisto non possono essere modificate da nessuno.

3. Autenticazione. Acquirenti e venditori devono essere sicuri che tutte le parti coinvolte nella transazione siano chi dicono di essere.

4. Mezzi di pagamento. Possibilità di pagamento con qualsiasi mezzo di pagamento a disposizione dell'acquirente.

6. Garanzie contro i rischi del venditore. Quando si fa trading su Internet, il venditore è esposto a molti rischi associati al rifiuto della merce e alla malafede dell'acquirente. L'entità dei rischi deve essere concordata con il fornitore del sistema di pagamento e le altre organizzazioni incluse nelle filiere commerciali attraverso accordi speciali.

7. Ridurre al minimo le spese di transazione. La commissione di elaborazione delle transazioni per l'ordinazione e il pagamento delle merci è naturalmente inclusa nel loro costo, quindi l'abbassamento del prezzo della transazione aumenta la competitività. È importante notare che la transazione deve essere pagata in ogni caso, anche se l'acquirente rifiuta la merce.

Tutte queste condizioni devono essere implementate nel sistema di pagamento Internet, che, in sostanza, sono versioni elettroniche dei sistemi di pagamento tradizionali.

Pertanto, tutti i sistemi di pagamento sono suddivisi in:

Addebito (funzionamento con assegni elettronici e contante digitale);

Credito (funzionamento con carte di credito).

Sistemi di addebito

Gli schemi di pagamento di debito sono costruiti in modo simile ai loro prototipi offline: assegno e contanti regolari. Ci sono due parti indipendenti coinvolte nello schema: gli emittenti e gli utenti. Per emittente si intende il soggetto che gestisce il sistema di pagamento. Emette alcune unità elettroniche che rappresentano i pagamenti (ad esempio, denaro nei conti bancari). Gli utenti del sistema svolgono due funzioni principali. Effettuano e accettano pagamenti su Internet utilizzando articoli elettronici emessi.

Gli assegni elettronici sono analoghi ai normali assegni cartacei. Queste sono le istruzioni del pagatore alla sua banca per trasferire denaro dal suo conto al conto del beneficiario. L'operazione avviene quando il beneficiario presenta un assegno in banca. Ci sono due differenze principali qui. Innanzitutto, quando scrive un assegno cartaceo, il pagatore appone la sua vera firma e, nella versione online, una firma elettronica. In secondo luogo, gli assegni stessi vengono emessi elettronicamente.

I pagamenti vengono effettuati in più fasi:

1. Il pagatore emette un assegno elettronico, lo firma con firma elettronica e lo invia al destinatario. Per garantire maggiore affidabilità e sicurezza, il numero di conto corrente può essere codificato con la chiave pubblica della banca.

2. L'assegno viene presentato per il pagamento al sistema di pagamento. Inoltre, (o qui o nella banca che serve il destinatario), ha luogo un assegno firma elettronica.

3. Se la sua autenticità è confermata, viene consegnato un prodotto o viene fornito un servizio. Il denaro viene trasferito dal conto del pagatore al conto del destinatario.

La semplicità dello schema di pagamento (Fig. 43), purtroppo, è compensata dalle difficoltà della sua attuazione dovute al fatto che gli schemi di controllo non si sono ancora diffusi e non esistono centri di certificazione per l'implementazione delle firme elettroniche.

Una firma digitale elettronica (EDS) utilizza un sistema di crittografia a chiave pubblica. Questo crea una chiave privata per la firma e una chiave pubblica per la verifica. La chiave privata è conservata dall'utente, mentre la chiave pubblica è accessibile a tutti. Il modo più conveniente per distribuire le chiavi pubbliche è utilizzare i centri di certificazione. Memorizza i certificati digitali contenenti la chiave pubblica e le informazioni sul proprietario. Ciò solleva l'utente dall'obbligo di distribuire personalmente la propria chiave pubblica. Inoltre, le autorità di certificazione forniscono l'autenticazione per garantire che nessuno possa generare chiavi per conto di un'altra persona.

La moneta elettronica simula completamente il denaro reale. Allo stesso tempo, l'organizzazione emittente - l'emittente - emette le proprie controparti elettroniche, chiamate in modo diverso nei diversi sistemi (ad esempio coupon). Inoltre, vengono acquistati dagli utenti che li utilizzano per pagare gli acquisti, quindi il venditore li riscatta dall'emittente. Al momento dell'emissione, ogni unità monetaria è certificata da un sigillo elettronico, che viene controllato dalla struttura di emissione prima del rimborso.

Una delle caratteristiche del denaro fisico è il suo anonimato, cioè non indica chi lo ha utilizzato e quando. Alcuni sistemi, per analogia, consentono al cliente di ricevere contante elettronico in modo tale che non sia possibile determinare il rapporto tra lui e il denaro. Questo viene fatto utilizzando uno schema di firma cieca.

Va anche notato che durante l'utilizzo moneta elettronica non è necessaria l'autenticazione, poiché il sistema si basa sull'emissione di denaro in circolazione prima del suo utilizzo.

La Figura 44 mostra lo schema di pagamento con moneta elettronica.

Il meccanismo di pagamento è il seguente:

1. L'acquirente scambia in anticipo denaro reale con denaro elettronico. Il deposito di contanti presso il cliente può essere effettuato in due modi, che è determinato dal sistema utilizzato:

Sul disco rigido del computer;

sulle smart card.

Diversi sistemi offrono diversi schemi di scambio. Alcuni aprono conti speciali a cui vengono trasferiti fondi dal conto dell'acquirente in cambio di banconote elettroniche. Alcune banche possono emettere denaro elettronico da sole. Allo stesso tempo, viene emesso solo su richiesta del cliente, con il suo successivo trasferimento sul computer o sulla carta di questo cliente e il prelievo dell'equivalente in contanti dal suo conto. Quando implementa una firma cieca, l'acquirente stesso crea banconote elettroniche, le invia alla banca, dove, al ricevimento di denaro reale sul conto, vengono certificate con un sigillo e rispedite al cliente.

Insieme alla comodità di tale archiviazione, presenta anche degli svantaggi. Il danneggiamento di un disco o di una smart card comporta una perdita irrecuperabile di moneta elettronica.

2. L'acquirente trasferisce la moneta elettronica per l'acquisto al server del venditore.

3. Il denaro viene presentato all'emittente, che ne verifica l'autenticità.

4. Se le banconote elettroniche sono autentiche, il conto del venditore viene aumentato dell'importo dell'acquisto e la merce viene spedita all'acquirente o viene fornito il servizio.

Una delle importanti caratteristiche distintive della moneta elettronica è la possibilità di effettuare micropagamenti. Ciò è dovuto al fatto che la denominazione delle banconote potrebbe non corrispondere a monete reali (ad esempio, 37 copechi).

Sia le banche che le organizzazioni non bancarie possono emettere contante elettronico. Tuttavia, non è stato ancora sviluppato un sistema convertire diversi tipi di moneta elettronica. Pertanto, solo gli stessi emittenti possono riscattare la moneta elettronica da loro emessa. Inoltre, l'utilizzo di tale denaro proveniente da strutture non finanziarie non è garantito dallo Stato. Tuttavia, il basso costo della transazione rende l'e-cash uno strumento interessante per i pagamenti su Internet.

Sistemi di credito

I sistemi di credito Internet sono analoghi ai sistemi convenzionali che funzionano con le carte di credito. La differenza sta nella conduzione di tutte le transazioni tramite Internet e, di conseguenza, nella necessità di ulteriore sicurezza e autenticazione.

Sono coinvolti nell'effettuare pagamenti via Internet utilizzando carte di credito:

1. Acquirente. Un client che dispone di un computer con browser Web e accesso a Internet.

2. Banca emittente. Ecco il conto dell'acquirente. La banca emittente emette carte ed è garante dell'adempimento degli obblighi finanziari del cliente.

3. Venditori. I venditori sono server di e-commerce che gestiscono cataloghi di beni e servizi e accettano gli ordini di acquisto dei clienti.

4. Acquisizione di banche. Banche al servizio dei commercianti. Ogni venditore ha un'unica banca presso la quale tiene il proprio conto corrente.

5. Sistema di pagamento via Internet. Componenti elettronici che sono intermediari tra altri partecipanti.

6. Sistema di pagamento tradizionale. Un insieme di mezzi finanziari e tecnologici per la manutenzione di carte di questo tipo. Tra i compiti principali risolti dal sistema di pagamento vi sono la garanzia dell'uso delle carte come mezzo di pagamento per beni e servizi, l'uso dei servizi bancari, i pagamenti reciproci, ecc. I partecipanti al sistema di pagamento sono persone fisiche e giuridiche unite da rapporti per l'utilizzo di carte di credito.

7. Centro di elaborazione del sistema di pagamento. Un'organizzazione che fornisce informazioni e interazione tecnologica tra i partecipanti a un sistema di pagamento tradizionale.

8. Banca di regolamento del sistema dei pagamenti. Un istituto di credito che effettua transazioni reciproche tra partecipanti al sistema di pagamento per conto del centro di elaborazione.

Lo schema generale dei pagamenti in un tale sistema è mostrato nella Figura 45.

1. L'acquirente nel negozio elettronico forma un paniere di merci e seleziona il metodo di pagamento "carta di credito".

Attraverso il negozio, ovvero i parametri della carta vengono inseriti direttamente sul sito web del negozio, dopodiché vengono trasferiti al sistema di pagamento Internet (2a);

Sul server del sistema di pagamento (2b).

I vantaggi del secondo modo sono evidenti. In questo caso, le informazioni sulle carte non rimangono nel negozio e, di conseguenza, si riduce il rischio di riceverle da terzi o di frode da parte del venditore. In entrambi i casi, durante il trasferimento dei dati della carta di credito, esiste ancora la possibilità che vengano intercettati da malintenzionati in rete. Per evitare ciò, i dati vengono crittografati durante la trasmissione.

La crittografia, ovviamente, riduce la possibilità di intercettazione dei dati in rete, pertanto le comunicazioni acquirente/venditore, venditore/sistema di pagamento Internet, acquirente/sistema di pagamento Internet sono preferibilmente effettuate utilizzando protocolli sicuri. Il più comune di questi oggi è il protocollo SSL (Secure Sockets Layer), nonché lo standard di transazione elettronica sicura SET (Secure Electronic Transaction), progettato per sostituire eventualmente SSL nell'elaborazione delle transazioni relative ai pagamenti per gli acquisti con carta di credito su Internet.

3. Il sistema di pagamento Internet invia la richiesta di autorizzazione al sistema di pagamento tradizionale.

4. Il passaggio successivo dipende dal fatto che la banca emittente mantenga un database online (DB) di conti. Se il database è disponibile, il centro di elaborazione invia alla banca emittente una richiesta di autorizzazione carta (vedi introduzione o dizionario) (4a) e successivamente (4b) ne riceve l'esito. Se non esiste tale base, il centro di elaborazione stesso memorizza le informazioni sullo stato dei conti dei titolari di carta, gli elenchi di stop e soddisfa le richieste di autorizzazione. Queste informazioni vengono regolarmente aggiornate dalle banche emittenti.

Il negozio fornisce un servizio o spedisce un prodotto (8a);

Il centro di elaborazione invia al regolante (8b) le informazioni sull'avvenuta transazione. Il denaro dal conto dell'acquirente presso la banca emittente viene trasferito tramite la banca di regolamento al conto del negozio presso la banca acquirente.

Per effettuare tali pagamenti, nella maggior parte dei casi, uno speciale Software. Può essere consegnato all'acquirente (chiamato portafoglio elettronico), al venditore e alla sua banca di servizio.

introduzione

1. Sistemi di pagamento elettronico e loro classificazione

1.1 Concetti di base

1.2 Classificazione dei sistemi di pagamento elettronico

1.3 Analisi dei principali sistemi di pagamento elettronico utilizzati in Russia

2. Mezzi di protezione dei sistemi di pagamento elettronico

2.1 Minacce associate all'utilizzo di sistemi di pagamento elettronici

2.2 Tecnologie di sicurezza per i sistemi di pagamento elettronico

2.3 Analisi delle tecnologie per la compliance requisiti di base ai sistemi di pagamento elettronico

Conclusione

Elenco bibliografico

INTRODUZIONE

Un argomento altamente specializzato di pagamenti elettronici e moneta elettronica che era di scarso interesse 10 anni fa è recentemente diventato rilevante non solo per gli uomini d'affari, ma anche per gli utenti finali. Le parole alla moda "e-business", "e-commerce" sono probabilmente conosciute da una persona su due che legge almeno occasionalmente il computer o la stampa popolare. Il compito del pagamento a distanza (trasferimento di denaro su lunghe distanze) è passato dalla categoria di quelli speciali a quelli di tutti i giorni. Tuttavia, l'abbondanza di informazioni su questo tema non contribuisce affatto alla chiarezza nella mente dei cittadini. Sia per la complessità e il sottosviluppo concettuale del problema dei pagamenti elettronici, sia per il fatto che molti divulgatori spesso lavorano sul principio di un telefono danneggiato, a livello domestico, ovviamente, tutto è chiaro a tutti. Ma questo fino a quando non arriva il turno dello sviluppo pratico dei pagamenti elettronici. È qui che si rivela l'equivoco su quanto sia appropriato l'uso dei pagamenti elettronici in determinati casi.

Nel frattempo, il compito di accettare pagamenti elettronici sta diventando sempre più importante per coloro che faranno affari utilizzando Internet, così come per coloro che effettueranno acquisti sul Web. Questo articolo è per entrambi.

Il problema principale quando si considerano i sistemi di pagamento elettronico per un principiante è la diversità del loro design e principi di funzionamento e il fatto che, nonostante la somiglianza esteriore dell'implementazione, nelle loro profondità possono essere nascosti meccanismi tecnologici e finanziari abbastanza diversi.

Il rapido sviluppo della popolarità di Internet globale ha portato a un forte impulso per lo sviluppo di nuovi approcci e soluzioni in varie aree dell'economia mondiale. Anche sistemi conservatori come i sistemi di pagamento elettronico nelle banche hanno ceduto alle nuove tendenze. Ciò si è riflesso nell'emergere e nello sviluppo di nuovi sistemi di pagamento: sistemi di pagamento elettronici via Internet, il cui principale vantaggio è che i clienti possono effettuare pagamenti (transazioni finanziarie) aggirando la fase estenuante e talvolta tecnicamente difficile del trasporto fisico di un ordine di pagamento alla banca. Anche le banche e gli istituti bancari sono interessati all'implementazione di questi sistemi, in quanto consentono di aumentare la velocità del servizio clienti e di ridurre i costi generali per l'effettuazione dei pagamenti.

I sistemi di pagamento elettronico diffondono informazioni, incluse informazioni riservate, che richiedono protezione dalla visualizzazione, modifica e imposizione di informazioni false. Lo sviluppo di adeguate tecnologie di sicurezza orientate a Internet è attualmente una sfida importante. La ragione di ciò è che l'architettura, le risorse e le tecnologie di base Reti internet incentrato sull'organizzazione dell'accesso o della raccolta informazioni aperte. Tuttavia, recentemente ci sono stati approcci e soluzioni che indicano la possibilità di utilizzare tecnologie Internet standard nella costruzione di sistemi per la trasmissione sicura di informazioni su Internet.

Lo scopo del RGR è analizzare i sistemi di pagamento elettronico e sviluppare raccomandazioni per l'uso di ciascuno di essi. Sulla base dell'obiettivo, vengono formulate le seguenti fasi dell'attuazione della RGR:

1. Determinare i compiti principali dei sistemi di pagamento elettronico e i principi del loro funzionamento, le loro caratteristiche.

2. Analizzare i principali sistemi di pagamento elettronico.

3. Analizzare le minacce associate all'uso della moneta elettronica.

4. Analizzare i mezzi di protezione quando si utilizzano sistemi di pagamento elettronici.

1. SISTEMI DI PAGAMENTO ELETTRONICI E LORO CLASSIFICAZIONE

1.1 Concetti di base

Pagamenti elettronici. Partiamo dal fatto che è legittimo parlare dell'emergere dei pagamenti elettronici come tipologia di pagamenti senza contanti nella seconda metà del XX secolo. In altre parole, la trasmissione di informazioni sui pagamenti tramite filo esiste da molto tempo, ma ha acquisito una qualità fondamentalmente nuova quando i computer sono apparsi ad entrambe le estremità dei fili. Le informazioni venivano trasmesse utilizzando telex, telescrivente, reti di computer apparse in quel momento. Un salto qualitativamente nuovo è stato espresso dal fatto che la velocità di esecuzione dei pagamenti è aumentata in modo significativo ed è diventato possibile elaborarli automaticamente.

Successivamente sono comparsi anche equivalenti elettronici di altri tipi di pagamenti: pagamenti in contanti e altri mezzi di pagamento (ad esempio assegni).

Sistemi di pagamento elettronico (EPS). Chiamiamo un sistema di pagamento elettronico qualsiasi complesso di hardware specifico e strumenti software consentire pagamenti elettronici.

Esistere vari modi e canali di comunicazione per l'accesso all'EPS. Oggi, il più diffuso di questi canali è Internet. La diffusione dell'EPS è in aumento, il cui accesso viene effettuato con l'aiuto di cellulare(tramite SMS, WAP e altri protocolli). Altre modalità sono meno diffuse: via modem, via telefono a toni, via telefono tramite operatore.

Moneta elettronica. Un termine vago. Se si considera attentamente cosa c'è dietro, è facile capire che la moneta elettronica è un nome errato per "contante elettronico", così come i sistemi di pagamento elettronico in quanto tali.

Questo fraintendimento terminologico è dovuto alla libertà di tradurre termini dall'inglese. Poiché i pagamenti elettronici in Russia si sono sviluppati molto più lentamente che in Europa e in America, siamo stati costretti a utilizzare termini ben radicati. Naturalmente, nomi di contante elettronico come "contante digitale" (e-cash), "moneta digitale" (moneta digitale), "contante elettronico" (contante digitale)2 hanno diritto alla vita.

In generale, il termine "moneta elettronica" non significa nulla di specifico, quindi in futuro cercheremo di evitarne l'uso.

Contante elettronico:

Questa è una tecnologia apparsa negli anni '90 del secolo scorso che consente di effettuare pagamenti elettronici che non sono direttamente legati al trasferimento di denaro da un conto a un conto presso una banca o altra organizzazione finanziaria, ovvero direttamente tra persone - i partecipanti finali al pagamento. Un'altra proprietà importante della moneta elettronica è l'anonimato dei pagamenti che fornisce. Il centro di autorizzazione che certifica il pagamento non ha informazioni su chi esattamente ea chi ha trasferito denaro.

Il contante elettronico è uno dei tipi di pagamenti elettronici. Un'unità di moneta elettronica non è altro che un'obbligazione finanziaria dell'emittente (banca o altro istituto finanziario), sostanzialmente assimilabile ad una normale cambiale. I pagamenti che utilizzano contanti elettronici compaiono dove diventa scomodo utilizzare altri sistemi di pagamento. Un buon esempio è la riluttanza dell'acquirente a fornire informazioni sulla sua carta di credito durante il pagamento di merci su Internet.

Dopo aver deciso la terminologia, possiamo passare alla fase successiva della nostra conversazione: parliamo della classificazione dell'EPS. Poiché l'EPS media i calcoli elettronici, la divisione dell'EPS si basa su vari tipi di questi calcoli.

Inoltre, la tecnologia software e/o hardware su cui si basa il meccanismo EPS gioca un ruolo molto importante in questa materia.

1.2 Classificazione dei sistemi di pagamento elettronico

I sistemi di pagamento elettronico possono essere classificati sia in base alle specificità dei pagamenti elettronici, sia in base alla specifica tecnologia alla base dell'EPS.

Classificazione EPS in base al tipo di pagamenti elettronici:

1. Secondo la composizione dei partecipanti al pagamento (Tabella 1).

Tabella 1

Tipo di pagamenti elettronici	Parti di pagamento	Analogo nel sistema tradizionale dei regolamenti monetari	Esempio EPS
Pagamenti da banca a banca	Istituzioni finanziarie	nessun analogo
Pagamenti B2B	Persone giuridiche	Pagamenti senza contanti tra organizzazioni
Pagamenti С2B	Consumatori finali di beni e servizi e persone giuridiche - venditori	Pagamenti in contanti e non da acquirenti a venditori	Pilota in prestito
Pagamenti C2C	Individui	Liquidazioni di contante dirette tra privati, bonifici postali, telegrafici

In futuro non prenderemo in considerazione quegli EPS progettati per servire i regolamenti elettronici di tipo "banca-banca". Tali sistemi sono estremamente complessi, influenzano in misura maggiore gli aspetti tecnologici del funzionamento del sistema bancario e molto probabilmente non interessano le grandi masse dei nostri lettori.

Inoltre, si segnala che esiste un'altra tipologia di pagamenti che logicamente non rientra del tutto nella Tabella 1. Per caratteristiche formali rientra completamente nell'ambito del C2B, ma non può tuttavia essere erogata mediante diffusi EPS di questo tipo . I micropagamenti sono caratterizzati da un valore dei beni estremamente ridotto (centesimi o frazioni di centesimo). Il più caratteristico di tutti articoli popolari un esempio di sistema che implementa micropagamenti è la vendita di barzellette (a un centesimo l'una). Sistemi come Eaccess e Phonepay sono adatti per i micropagamenti.

2. Per tipo di operazioni eseguite (Tabella 2).

Tavolo 2

Tipo di pagamenti elettronici	Dove vengono utilizzati	Esempio EPS
Operazioni di gestione del conto corrente bancario	Sistemi "banca cliente" con accesso via modem, Internet, cellulare, ecc.	Operazioni di gestione conto corrente bancario del Sistema "client
Operazioni di trasferimento di denaro senza aprire un conto corrente bancario	sistemi di trasferimento di denaro reti di computer simile ai trasferimenti postali e telegrafici
Operazioni con conti bancari carta	Carte di debito e di credito in plastica	Cyberplat (Cyberpos)
Operazioni con assegni elettronici e altri obblighi di pagamento non monetari	Sistemi chiusi di pagamenti interaziendali	Cyberplat (controllo informatico)
Transazioni con (quasi) contante elettronico	Calcoli con fisico individui, analoghi elettronici di gettoni e carte prepagate utilizzati come surrogati di denaro per il pagamento di merci

Va notato che i sistemi "cliente-banca" sono noti da molto tempo. Potresti accedere al tuo conto bancario utilizzando un modem. Negli ultimi dieci anni sono emerse nuove opportunità per gestire il tuo account utilizzando Internet, attraverso un'interfaccia web intuitiva. Questo servizio si chiamava "Internet banking" e non introduceva nulla di fondamentalmente nuovo nei sistemi di pagamento di tipo "banca-cliente". Inoltre, ci sono altre opzioni per accedere a un conto bancario, ad esempio utilizzando un telefono cellulare (WAP-banking, SMS-banking). A questo proposito, in questo articolo non ci soffermeremo specificamente su questo tipo di EPS, noteremo solo che ora in Russia circa 100 banche commerciali forniscono servizi di Internet banking utilizzando più di 10 diversi EPS.

Classificazione EPS in base alla tecnologia utilizzata:

Una delle qualità più importanti dell'EPS è la resistenza all'effrazione. Forse questa è la caratteristica più discussa di tali sistemi. Come si può vedere dalla Tabella 3, quando si risolve il problema della sicurezza del sistema, la maggior parte degli approcci alla costruzione di un EPS si basa sulla segretezza di un determinato database centrale contenente informazioni critiche. Allo stesso tempo, alcuni di loro si aggiungono a questo base segreta livelli aggiuntivi di protezione basati sulla durabilità dell'hardware.

In linea di principio, esistono altre tecnologie sulla base delle quali è possibile costruire l'EPS. Ad esempio, non molto tempo fa c'era un messaggio sui media sullo sviluppo di un EPS basato su dischi CDR incorporati in una scheda di plastica. Tuttavia sistemi simili non sono ampiamente utilizzati nella pratica mondiale e quindi non ci concentreremo su di essi.

Tabella 3

Tecnologia	Su cosa si basa la stabilità del sistema?	Esempio EPS
Sistemi con banca cliente server centrale, trasferimento fondi	Sicurezza delle chiavi di accesso	Telebank (Guta-banca), "Banca di servizi Internet" (Autobank)
Smart card	Resistenza hardware di una smart card all'hacking	Mondox, ACCORD
Carte magnetiche e carte di credito virtuali		Assist, élite
gratta e vinci	Segretezza del database con numeri e codici di gratta e vinci	E-port, Creditpilot, Webmoney, Paycash, Rapira
File/portafoglio come programma sul computer dell'utente	Forza crittografica del protocollo di scambio di informazioni
Telefonata a pagamento	Segretezza del database centrale con codici pin e stabilità hardware della rete telefonica intelligente	Accesso, Phonepay

1.3 Analisi dei principali sistemi di pagamento elettronico utilizzati in Russia

Attualmente, su Internet russo vengono utilizzati molti sistemi di pagamento elettronico, sebbene non tutti siano ampiamente utilizzati. Tipicamente, quasi tutti i sistemi di pagamento occidentali utilizzati in Runet sono legati alle carte di credito. Alcuni di loro, come PayPal, si rifiutano ufficialmente di lavorare con clienti russi. I seguenti sistemi sono i più ampiamente utilizzati oggi:

CyberPlat si riferisce a sistemi di tipo misto (in termini di una qualsiasi delle suddette classificazioni). Possiamo infatti affermare che all'interno di questo sistema ne sono raccolti tre distinti sotto un unico tetto: il classico sistema “cliente-banca”, che consente ai clienti di gestire i conti aperti nelle banche aderenti al sistema (11 banche russe e 1 lettone ); il sistema CyberCheck, che consente di effettuare pagamenti sicuri tra persone giuridiche collegate al sistema; e il sistema di acquisizione Internet, ovvero l'elaborazione dei pagamenti accettati dalle carte di credito - CyberPos. Tra tutti i sistemi di acquisizione Internet disponibili sul mercato russo, CyberPlat fornisce l'elaborazione del maggior numero di tipi di carte di credito, vale a dire: Visa, Mastercard/Eurocard, American Express7, Diners Club, JCB, Union Card, una connessione imminente alla STB- sistema di carte è stato annunciato e ACCORD-card/Bashkard. Ufficiosamente, i dipendenti dell'azienda hanno affermato che stavano lavorando alla possibilità di attraccare con altri sistemi di carte russi. In aggiunta a quanto sopra, CyberPlat fornisce l'elaborazione delle scratch card del sistema di pagamento E-port e ha annunciato l'imminente messa in servizio di un gateway con il sistema Paycash.

Attualmente, per aumentare il livello di protezione contro i pagamenti con carte di credito rubate, l'azienda sta sviluppando una tecnologia specializzata PalPay, che consiste nel fatto che al venditore viene data la possibilità di verificare se l'acquirente ha realmente accesso al conto bancario associato la carta di credito, o ne conosce solo i dettagli. Ufficialmente, l'introduzione di questa tecnologia in funzione non è stata ancora annunciata.

Il sistema CyberCheck è di grande interesse per l'organizzazione del lavoro con i partner aziendali. La sua caratteristica principale (rispetto all'accettazione di pagamenti con carte di credito) è l'impossibilità del rifiuto del pagatore di effettuare un pagamento a posteriori. In altre parole, ricevere la conferma del pagamento da CyberCheck è altrettanto affidabile quanto ricevere tale conferma dalla banca in cui si trova il conto del venditore. Tutte queste caratteristiche rendono CyberPlat forse il più avanzato e interessante per i venditori di EPS su Internet russo.

Il sistema Assist in termini di elaborazione dei pagamenti da carte di credito è per molti aspetti un analogo funzionale di CyberPlat. A Mosca, i suoi interessi sono rappresentati da Alfa-Bank. In totale, 5 banche sono collegate al sistema. Il sottosistema di acquisizione Internet consente di accettare pagamenti da Visa, Mastercard/Eurocard, STB-card. A partire da settembre l'accettazione dei pagamenti da altri sistemi di carte dichiarati sul server del sistema Assist non era realmente prevista. Tuttavia, secondo informazioni non ufficiali, nel prossimo futuro sarà possibile accettare carte Diners Club, carte di debito Cirrus Maestro e Visa Electron. È interessante notare che questo tipo di carta di solito non è accettato dalle società di acquisizione, tuttavia, a causa della loro economicità, queste carte sono molto comuni. Di solito il rifiuto di accettare carte di debito è motivato da considerazioni di sicurezza. Forse ASSIST sarà in grado di aggirare questo problema utilizzando il protocollo SET, il cui supporto è stato annunciato dalla società proprio l'altro giorno. A differenza del tradizionale metodo di pagamento con carte plastificate su Internet, che consente al titolare della carta di rifiutare un pagamento da essa effettuato (charge-back), il protocollo SET garantisce l'autenticità della transazione, riducendo sensibilmente il rischio per l'esercente.

Il metodo di pagamento annunciato sul sito Assist utilizzando certificati elettronici acquistati da un provider Internet è piuttosto interessante in quanto apre nuove linee di business per i provider, tuttavia, secondo le informazioni disponibili, a causa di difficoltà legali, nessuno lo ha effettivamente utilizzato fino a poco tempo fa . Tuttavia, ancora una volta, secondo informazioni non ufficiali, questo stato di cose cambierà presto: nell'autunno del 2001 potremmo assistere alla prima implementazione pratica di questo metodo di calcolo.

Oltre ai sistemi di carte CyberPlat e Assist menzionati nelle descrizioni, ce ne sono altri che hanno ricevuto una certa distribuzione sul mercato. Discover/NOVUS è ampiamente distribuito in Nord America e potrebbe interessare quei negozi di elettronica che lavorano per un pubblico occidentale. Non siamo a conoscenza di società di acquisizione nazionali che elaborerebbero le carte di questo sistema, tuttavia, ci sono una serie di offerte da parte di intermediari che rappresentano gli interessi degli acquirenti occidentali. Tra i sistemi di carte russi, dopo STB e Union Card, i più evidenti sul mercato sono Zolotaya Korona, Sbercard (Sberbank), Universal Card e ICB-card (Promstroybank), nonché la già menzionata carta ACCORD / Bashcard . La "ICB-card" è gestita da un paio di piccole società di acquisizione, l'accettazione dei pagamenti via Internet dalle carte "Golden Crown" e "Sbercard" sarebbe fornita direttamente dagli emittenti e / o società ad esse associate, e nel caso della Universal Card, sembra non essere fornita da nessuno.

Paycash e Webmoney sono posizionati dai loro sviluppatori come sistemi di cassa elettronica, ma a un esame più attento, solo Paycash può legittimamente rivendicare tale status.

Lo sviluppo di Paycash è stato avviato dalla Tauride Bank, ma altre banche sono attualmente collegate al sistema, ad esempio Guta-Bank.

Da un punto di vista tecnologico, Paycash fornisce un'imitazione quasi completa dei pagamenti in contanti. Da un portafoglio elettronico (un programma specializzato installato dal cliente sul suo computer), il denaro può essere trasferito a un altro, garantendo l'anonimato del pagamento nei confronti della banca. Il sistema è diventato abbastanza diffuso in Russia e attualmente sta tentando di entrare nel mercato mondiale.

Il collo di bottiglia di Paycash è la procedura per trasferire denaro a un portafoglio elettronico. Fino a poco tempo fa l'unico modo Per fare questo era andare in una filiale bancaria e trasferire denaro sul conto del sistema. È vero, c'erano delle alternative: per gli utenti del sistema Guta-bank Telebank, era possibile trasferire denaro da un conto in Guta-bank senza uscire di casa, ma in alcuni casi, a quanto pare, è più facile trasferirli direttamente sul conto del venditore - negozio elettronico senza utilizzare Paycash come intermediario. Era anche possibile trasferire denaro tramite Western Union o bonifico postale/telegrafico, ma l'attrattiva di questa rotta era limitata dall'alto livello di commissione. Per i residenti di San Pietroburgo, c'è un'opportunità molto esotica: chiamare un corriere per soldi a casa. Fantastico, ma, ahimè, non tutti viviamo nella capitale del nord.

Manca ancora la possibilità di trasferire denaro a Paycash dalle carte di credito. Ciò è dovuto al fatto che le aziende che supportano il funzionamento dei sistemi di carte offrono ai propri clienti la possibilità del cosiddetto "charge back" - rifiuto di effettuare un pagamento "retrodatato". "Charge back" è un meccanismo che protegge il titolare di una carta di credito dai truffatori che possono utilizzarne i dettagli. In caso di tale rifiuto, l'onere di provare che la merce è stata effettivamente consegnata al vero titolare della carta e che il pagamento dovrebbe essere effettuato ricade sul venditore. Ma nel caso di Paycash, questo tipo di prova è sostanzialmente impossibile, per ovvie ragioni. Anche il gateway con CyberPlat sopra menzionato, che è in fase di sviluppo, è progettato per risolvere questo problema.

Per ora, per ricamarlo collo di bottiglia nel sistema, PayCash ha preso due mosse abbastanza sensate: emettere gratta e vinci prepagate e garantire l'accettazione dei pagamenti tramite il sistema di trasferimento dei contatti, le cui tariffe sono notevolmente inferiori a quelle postali (2,2% contro 8%).

Il sistema Webmoney è uno dei "pionieri" nel mercato dei pagamenti elettronici in Russia. Attualmente è internazionale. Secondo alcuni rapporti, Webmoney ha rappresentanti non solo nei paesi - repubbliche dell'ex Unione Sovietica, ma anche in paesi stranieri. L'operatore del sistema è l'organizzazione autonoma non commerciale "VM-center".

La modalità di funzionamento di Webmoney è molto simile al funzionamento con contante elettronico, solo un'analisi attenta e capziosa ci consente di assicurarci che in realtà Webmoney non fornisca il completo anonimato dei pagamenti, ovvero non siano chiusi dagli stessi proprietari del sistema . Tuttavia, la pratica di Webmoney ha dimostrato che questa proprietà è piuttosto vantaggiosa, consentendo in alcuni casi di affrontare le frodi. Inoltre, come servizio a pagamento separato, "VM-Center" offre la certificazione di una persona giuridica e di un individuo, privandolo naturalmente dell'anonimato rispetto agli altri partecipanti al sistema. Questa opportunità è necessaria, prima di tutto, per chi vuole organizzare un negozio di elettronica onesto e intende convincere i potenziali acquirenti della propria affidabilità. Webmoney ti consente di aprire conti e trasferire fondi in due valute: rubli e dollari.

Per accedere al sistema viene utilizzato il programma "portafoglio elettronico". Funzionalità aggiuntive del sistema sono il trasferimento di brevi messaggi da portafoglio a portafoglio, nonché transazioni di credito tra proprietari di portafogli. Tuttavia, a nostro avviso, poche persone accetteranno di prestare a persone anonime via Internet, non potendo riscuotere forzatamente un prestito in caso di mancato rimborso.

A differenza di Paycash, Webmoney inizialmente forniva la possibilità sia di trasferire denaro ordinario su un portafoglio sia di incassare il contenuto dei portafogli senza noiose procedure di compilazione degli ordini di pagamento in banca, ma in un modo piuttosto strano dal punto di vista legale. In generale, il supporto legale di Webmoney in termini di lavoro con le organizzazioni ha suscitato a lungo molte critiche.

Questo era il motivo per cui mentre gli utenti finali installavano attivamente "portafogli" per se stessi, molti e-shop si rifiutavano di utilizzare questo EPS. È vero, al momento questa situazione è in qualche modo migliorata e la posizione di marketing attivo dei proprietari di Webmoney porta al fatto che l'immagine del sistema è in costante miglioramento. Uno di caratteristiche interessanti Questa strategia di marketing prevedeva che quasi immediatamente dopo il suo ingresso nel mercato, a tutti fosse data l'opportunità di guadagnare denaro in questo sistema (alcune persone potrebbero ricordare il progetto Nails e il suo successivo sviluppo - visiting.ru). Proprio come Paycash, Webmoney emette gratta e vinci prepagate progettate per depositare denaro nel sistema.

Due sistemi basati su scratch card: E-port (Autocard-holding) e CreditPilot (Creditpilot.com) sono come fratelli gemelli. Entrambi presuppongono che l'acquirente acquisterà prima una gratta e vinci con un codice segreto da qualche parte in un'ampia rete di distribuzione o ordinando un corriere a casa sua, dopodiché inizierà a pagare su Internet utilizzando questo codice con negozi che accettano pagamenti di questi sistemi. E-port offre inoltre la possibilità di creare gratta e vinci "virtuali" trasferendo denaro sul conto dell'azienda tramite una banca o tramite il sistema "Webmoney".

Il sistema Rapida, entrato in funzione nel settembre 2001, proprio come i due precedenti, offre il deposito di denaro sul conto dell'utente tramite gratta e vinci o il pagamento presso una banca membro del sistema. Inoltre, è stata annunciata la possibilità di lavorare in modalità "Cliente-Banca" e trasferire denaro su conti di persone giuridiche che non partecipano al sistema, nonché persone fisiche senza aprire un conto bancario. L'accesso al sistema è fornito non solo via Internet, ma anche per telefono, utilizzando la composizione a toni. In generale, il sistema sembra tecnologicamente avanzato e molto interessante, ma finora non è passato abbastanza tempo da quando è stato messo in funzione per poter parlare delle prospettive.

Gli EPS, che consentono il pagamento nello stesso modo in cui si pagano le chiamate interurbane (dopo il fatto, sulla base della bolletta della compagnia telefonica), sono apparsi per la prima volta negli Stati Uniti e avevano lo scopo di pagare per l'accesso alle risorse pornografiche . Tuttavia, a causa delle sistematiche azioni fraudolente di molti proprietari di tali sistemi, non hanno guadagnato popolarità tra gli acquirenti e i venditori non ne sono stati particolarmente contenti, perché questi sistemi si sono sforzati di ritardare in modo significativo i pagamenti.

Due implementazioni nazionali di questo concetto - Phonepay ed Eaccess - sono proprio all'inizio del loro viaggio. Entrambi i sistemi presuppongono che il cliente, per effettuare un pagamento, debba effettuare una chiamata a un certo numero interurbano nel codice 8-809 (fornito, a quanto pare, dalla società MTU-inform), dopodiché verranno fornite alcune informazioni chiave essere dettato dal robot. nel caso di Eaccess, si tratta di un codice pin utilizzato per accedere a una risorsa informativa a pagamento e, nel caso di Phonepay, è una "moneta digitale" universale composta da 12 cifre di una delle cinque denominazioni codificate nel sistema.-l'accesso si sta ancora sviluppando gradualmente, aumentando il numero di negozi collegati al sistema e Phonepay non ha collegato al proprio sistema un solo negozio che non appartenga agli sviluppatori.

A mio parere, tali sistemi in Russia hanno prospettive abbastanza definite relative alla facilità di accesso ad essi da parte dell'utente finale, tuttavia il loro scopo sarà limitato alla vendita risorse di informazione. Un lungo ritardo nella ricezione dei pagamenti (il sistema li trasferirà al negozio non prima che l'acquirente paghi la bolletta del telefono) rende il commercio di beni materiali utilizzando questi EPS piuttosto non redditizio.

Infine, va menzionato un altro tipo di EPS: sistemi di trasferimento specializzati tra individui che competono con i tradizionali trasferimenti postali e telegrafici. Questa nicchia è stata inizialmente occupata da sistemi stranieri come Western Union e Money Gram. Rispetto ai bonifici tradizionali, forniscono pagamenti più rapidi e sicuri. Allo stesso tempo, presentano una serie di inconvenienti significativi, il principale dei quali è l'elevato costo dei loro servizi, che raggiunge fino al 10% dell'importo del trasferimento. Un altro fastidio è che questi sistemi non possono essere legalmente utilizzati per accettare sistematicamente pagamenti per merci. Tuttavia, per coloro che vogliono solo inviare denaro a parenti e amici, ha senso prestare attenzione a questi sistemi, così come alle loro controparti domestiche (Anelik e Contact). Finora, né Paycash né Webmoney sono in grado di competere con loro, dal momento che non è possibile ottenere contanti estraendoli da un portafoglio elettronico da qualche parte in Australia o in Germania. EPS Rapida dichiara una tale possibilità, ma finora non ci sono dettagli sul sito e la geografia degli uffici del sistema non è paragonabile ai sistemi già sul mercato.

I proprietari di negozi di elettronica, a quanto pare, dovrebbero pensare prima di tutto ad accettare denaro da carte di credito e sistemi di cassa elettronici: Webmoney e Paycash. In termini di combinazione delle caratteristiche del consumatore, a nostro avviso, nessuno dei sistemi per accettare pagamenti con carte di credito sul mercato russo può competere con CyberPlat. Tutti gli altri sistemi sono soggetti a utilizzo facoltativo, soprattutto se si ricorda che la stessa E-port non deve essere installata separatamente, poiché le sue carte sono servite da CyberPlat.

2. MEZZI DI PROTEZIONE DEI SISTEMI DI PAGAMENTO ELETTRONICI

2.1 Minacce associate all'utilizzo di sistemi di pagamento elettronici

Prendere in considerazione possibili minacce azioni distruttive di un utente malintenzionato in relazione a questo sistema. Per fare ciò, considera i principali oggetti di attacco da parte di un attaccante. L'oggetto principale dell'attacco dell'attaccante sono le risorse finanziarie, o meglio i loro sostituti elettronici (surrogati): gli ordini di pagamento che circolano nel sistema di pagamento. In relazione a questi strumenti, un utente malintenzionato può perseguire i seguenti obiettivi:

1. Furto di fondi.

2. Introduzione di fondi contraffatti (violazione dell'equilibrio finanziario del sistema).

3. Violazione delle prestazioni del sistema ( minaccia tecnica).

Gli oggetti e gli obiettivi specificati dell'attacco sono di natura astratta e non consentono l'analisi e lo sviluppo delle misure necessarie per proteggere le informazioni, pertanto la Tabella 4 fornisce una specifica degli oggetti e degli obiettivi degli effetti distruttivi dell'attaccante.

Tabella 4 Modello delle possibili azioni distruttive di un attaccante

Oggetto di influenza	Lo scopo dell'impatto	Possibili meccanismi di attuazione dell'impatto.
Pagine HTML sul server web della banca	Sostituzione al fine di ottenere informazioni inserite nell'ordine di pagamento dal cliente.	Attacco al server e sostituzione delle pagine sul server. Sostituzione delle pagine nel traffico. Attacco al computer del cliente e sostituzione di pagine sul client
Pagine di informazioni sul client sul server	Ottenere informazioni sui pagamenti del/i cliente/i	Attacco al server. Attacco al traffico. Attacco al computer del cliente.
Dati dell'ordine di pagamento inseriti dal cliente nel form	Ottenere le informazioni inserite nell'ordine di pagamento dal cliente.	Attacco al computer del cliente (virus, ecc.). Attacca queste istruzioni quando vengono inviate attraverso il traffico. Attacco al server.
Informazioni private del cliente situate sul computer del cliente e non correlate al sistema di pagamento elettronico	Ottenere informazioni riservate del cliente. Modifica delle informazioni del cliente. Disabilitare il computer del cliente.	Intero complesso attacchi noti a un computer connesso a Internet. Ulteriori attacchi che appaiono come risultato dell'uso dei meccanismi del sistema di pagamento.
Informazioni sul centro di elaborazione della banca.	Divulgazione e modifica delle informazioni del centro di elaborazione e rete locale vaso.	Attacco a una rete locale connessa a Internet.

Da questa tabella seguono i requisiti fondamentali che qualsiasi sistema di pagamenti elettronici su Internet deve soddisfare:

In primo luogo, il sistema deve garantire la protezione dei dati dell'ordine di pagamento da cambiamenti e modifiche non autorizzati.

In secondo luogo, il sistema non dovrebbe aumentare la capacità dell'attaccante di organizzare attacchi al computer del cliente.

In terzo luogo, il sistema deve garantire la protezione dei dati che si trovano sul server da letture e modifiche non autorizzate.

In quarto luogo, il sistema deve fornire o supportare un sistema per proteggere la rete locale della banca dall'esposizione della rete globale.

Durante lo sviluppo di sistemi specifici per la protezione delle informazioni sui pagamenti elettronici, questo modello e i requisiti devono essere soggetti a ulteriori dettagli. Tuttavia, per la presente presentazione, tale dettaglio non è richiesto.

2.2 Tecnologie di sicurezza per i sistemi di pagamento elettronico

Per qualche tempo lo sviluppo del WWW è stato frenato dal fatto che le pagine html, che sono la base del WWW, sono testo statico, cioè con il loro aiuto è difficile organizzare uno scambio interattivo di informazioni tra l'utente e il server. Gli sviluppatori hanno proposto molti modi per estendere le capacità dell'HTML in questa direzione, molti dei quali non sono stati ampiamente adottati. Una delle soluzioni più potenti, che ha rappresentato una nuova tappa nello sviluppo di Internet, è stata la proposta di Sun di utilizzare gli applet Java come componenti interattivi collegati alle pagine HTML.

Un'applet Java è un programma scritto nel linguaggio di programmazione Java e compilato in bytecode speciali, che sono i codici di un computer virtuale - una macchina Java - e sono diversi dai codici dei processori Intel. Le applet sono ospitate su un server sul Web e scaricate sul computer dell'utente ogni volta che si accede a una pagina HTML che contiene una chiamata a quell'applet.

Per eseguire i codici applet, il browser standard include un'implementazione della macchina Java che interpreta i bytecode in istruzioni macchina della famiglia di processori Intel (o altro). Le capacità inerenti alla tecnologia delle applet Java, da un lato, consentono di sviluppare potenti interfacce utente, organizzare l'accesso a qualsiasi risorsa di rete tramite URL, è facile utilizzare i protocolli TCP / IP, FTP, ecc. e, d'altra parte, rendere impossibile l'accesso diretto alle risorse del computer. Ad esempio, le applet non hanno accesso a sistema di file computer e dispositivi collegati.

Una soluzione simile per espandere le capacità WWW è la tecnologia Microsoft Active X. La differenza più significativa tra questa tecnologia e Java è che i componenti (analoghi delle applet) sono programmi in codici Processore Intel e che questi componenti abbiano accesso a tutte le risorse del computer, nonché alle interfacce e ai servizi di Windows.

Un altro approccio meno comune al miglioramento del WWW è il plug-in di Netscape per la tecnologia Netscape Navigator. È questa tecnologia che sembra essere la base ottimale per la creazione di sistemi di sicurezza delle informazioni per i pagamenti elettronici via Internet. Per un'ulteriore presentazione, consideriamo come questa tecnologia risolva il problema della protezione delle informazioni del server web.

Supponiamo che ci sia un server web e l'amministratore questo serverè necessario limitare l'accesso ad alcune parti dell'array di informazioni del server, ad es. organizzare in modo che alcuni utenti abbiano accesso ad alcune informazioni, mentre altri no.

Attualmente vengono proposti numerosi approcci per risolvere questo problema, in particolare molti Sistema operativo, sotto il cui controllo operano i server Internet, richiedono una password per l'accesso ad alcune loro aree, i.e. richiedere l'autenticazione. Questo approccio presenta due svantaggi significativi: in primo luogo, i dati vengono archiviati sul server stesso in forma aperta e, in secondo luogo, i dati vengono trasmessi anche sulla rete in forma aperta. Pertanto, un utente malintenzionato ha l'opportunità di organizzare due attacchi: al server stesso (indovinando una password, aggirando una password, ecc.) E attaccando il traffico. I fatti dell'implementazione di tali attacchi sono ampiamente noti alla comunità di Internet.

Un altro approccio ben noto per risolvere il problema della sicurezza delle informazioni è un approccio basato sulla tecnologia SSL (Secure Sockets Layer). Quando si utilizza SSL, viene stabilito un canale di comunicazione sicuro tra il client e il server, attraverso il quale vengono trasmessi i dati, ad es. il problema della trasmissione di dati in chiaro su una rete può essere considerato relativamente risolto. Il problema principale con SSL risiede nella costruzione di un sistema chiave e nel controllo su di esso. Per quanto riguarda il problema della memorizzazione dei dati sul server in forma aperta, rimane irrisolto.

Un altro importante svantaggio degli approcci sopra descritti è la necessità del loro supporto dal lato software sia del server che del client di rete, cosa non sempre possibile e conveniente. Soprattutto nei sistemi focalizzati sul cliente di massa e disorganizzato.

L'approccio proposto dall'autore si basa sulla protezione diretta delle pagine html, che sono il principale vettore di informazioni su Internet. L'essenza della protezione risiede nel fatto che i file contenenti pagine HTML sono archiviati sul server in forma crittografata. Allo stesso tempo, la chiave su cui sono crittografati è nota solo alla persona che l'ha crittografata (l'amministratore) e ai clienti (in generale, il problema della creazione di un sistema di chiavi viene risolto allo stesso modo del caso di trasparente crittografia dei file).

I clienti accedono a informazioni sicure tramite la tecnologia Plug-in per Netscape di Netscape. Questi moduli sono programmi, più precisamente componenti software, che sono associati a determinati tipi di file nello standard MIME. MIME è uno standard internazionale che definisce i formati di file su Internet. Ad esempio, esistono i seguenti tipi di file: testo/html, testo/piano, immagine/jpg, immagine/bmp, ecc. Inoltre, lo standard definisce il meccanismo per l'impostazione tipi personalizzati file che possono essere definiti e utilizzati da sviluppatori indipendenti.

Pertanto, vengono utilizzati plug-in associati a determinati tipi di file MIME. La connessione sta nel fatto che quando l'utente accede ai file del tipo corrispondente, il browser avvia il plug-in ad esso associato e questo modulo esegue tutte le azioni per visualizzare i dati del file ed elaborare le azioni dell'utente con questi file.

I moduli plug-in più famosi sono moduli che riproducono videoclip in formato avi. La visualizzazione di questi file non è inclusa nelle normali funzionalità dei browser, ma installando il plug-in appropriato, è possibile visualizzare facilmente questi file nel browser.

Inoltre, tutti i file crittografati in conformità con l'ordine standard internazionale stabilito sono definiti come file di tipo MIME. "applicazione/x-shp". Quindi, in base alla tecnologia e ai protocolli di Netscape, viene sviluppato un plug-in che si associa a questo tipo di file. Questo modulo fa due cose: in primo luogo, richiede una password e un ID utente e, in secondo luogo, svolge il compito di decrittografare e visualizzare il file nella finestra del browser. Questo modulo viene installato, secondo l'ordine regolare, stabilito da Netscape, sui browser di tutti i computer client.

In questa fase preparatoria del lavoro, il sistema è pronto per il funzionamento. Durante il funzionamento, i client accedono alle pagine html crittografate al loro indirizzo standard (URL). Il browser determina il tipo di queste pagine e avvia automaticamente il modulo che abbiamo sviluppato, passandogli il contenuto del file crittografato. Il modulo autentica il client e, una volta completato con successo, decrittografa e visualizza il contenuto della pagina.

Quando si esegue l'intera procedura, il cliente ha la sensazione di una crittografia della pagina "trasparente", poiché tutte le operazioni di sistema sopra descritte sono nascoste ai suoi occhi. Allo stesso tempo, vengono preservate tutte le funzionalità standard incorporate nelle pagine html, come l'uso di immagini, applet Java, script CGI.

È facile vedere che questo approccio risolve molti problemi di sicurezza delle informazioni, da allora in forma aperta, è solo sui computer dei clienti; i dati vengono trasmessi sulla rete in forma crittografata. Un utente malintenzionato, perseguendo l'obiettivo di ottenere informazioni, può effettuare un attacco solo a un utente specifico e nessun sistema di protezione delle informazioni del server può proteggere da questo attacco.

Attualmente, l'autore ha sviluppato due sistemi di sicurezza delle informazioni basati sull'approccio proposto per i browser Netscape Navigator (3.x) e Netscape Communicator 4.x. Durante pre-test si è riscontrato che i sistemi sviluppati possono funzionare normalmente sotto il controllo di MExplorer, ma non in tutti i casi.

È importante notare che queste versioni dei sistemi non crittografano gli oggetti associati alla pagina HTML: immagini, applet di script, ecc.

Il sistema 1 offre protezione (crittografia) delle pagine html effettive come una singola entità. Crei una pagina, poi la crittografi e la copi sul server. Quando si accede a una pagina crittografata, questa viene automaticamente decrittografata e visualizzata in una finestra speciale. Non è richiesto il supporto del sistema di sicurezza da parte del software del server. Tutto il lavoro sulla crittografia e decrittografia viene eseguito sulla workstation del cliente. Questo sistemaè universale, cioè non dipende dalla struttura e dallo scopo della pagina.

Il sistema 2 offre un approccio diverso alla protezione. Questo sistema fornisce la visualizzazione di informazioni protette in alcune aree della tua pagina. Le informazioni si trovano in un file crittografato (non necessariamente in formato html) sul server. Quando accedi alla tua pagina, il sistema di protezione accede automaticamente a questo file, legge i dati da esso e li visualizza in una determinata area della pagina. Questo approccio consente di ottenere la massima efficienza e bellezza estetica, con la minima versatilità. Quelli. il sistema risulta focalizzato su uno scopo specifico.

Questo approccio può essere applicato anche nella costruzione di sistemi di pagamento elettronico via Internet. In questo caso, accedendo ad una determinata pagina del Web server, viene lanciato il modulo Plug-in, che mostra all'utente il modulo d'ordine di pagamento. Dopo che il client lo ha compilato, il modulo crittografa i dati di pagamento e li invia al server. Allo stesso tempo, può richiedere una firma elettronica all'utente. Inoltre, le chiavi di crittografia e le firme possono essere lette da qualsiasi supporto: floppy disk, tablet elettronici, smart card, ecc.

2.3 Analisi delle tecnologie per la conformità ai requisiti di base per i sistemi di pagamento elettronico

Sopra, abbiamo descritto tre tecnologie che possono essere utilizzate nella costruzione di sistemi di pagamento su Internet: si tratta di una tecnologia basata su applet Java, componenti Active-X e plug-in. Chiamiamole tecnologie J, AX e P, rispettivamente.

Si consideri il requisito che la capacità dell'attaccante di attaccare un computer non aumenti. Per fare ciò, analizziamo uno dei possibili tipi di attacco: la sostituzione da parte di un utente malintenzionato dei corrispondenti moduli di protezione del client. Nel caso della tecnologia J si tratta di applet, nel caso di AX componenti sommergibili, nel caso di P si tratta di plug-in. È ovvio che un utente malintenzionato ha la possibilità di sostituire i moduli di protezione direttamente sul computer del client. I meccanismi per l'implementazione di questo attacco esulano dall'ambito di questa analisi, tuttavia, va notato che l'implementazione di questo attacco non dipende dalla tecnologia di protezione in esame. E il livello di sicurezza di ciascuna tecnologia è lo stesso, ad es. sono tutti ugualmente vulnerabili a questo attacco.

Il punto più vulnerabile delle tecnologie J e AX, dal punto di vista della sostituzione, è il loro download da Internet. È a questo punto che un attaccante può effettuare una sostituzione. Inoltre, se un utente malintenzionato riesce a sostituire questi moduli sul server della banca, ottiene l'accesso a tutte le informazioni del sistema di pagamento che circolano su Internet.

Nel caso della tecnologia P, non vi è alcun pericolo di sostituzione, poiché il modulo non viene caricato dalla rete, ma viene memorizzato in modo permanente sul computer del cliente.

Le conseguenze dello spoofing sono diverse: nel caso della tecnologia J, l'attaccante può solo rubare le informazioni inserite dal client (che è una seria minaccia), e nel caso di Active-X e Plug-in, l'attaccante può ottenere tutte le informazioni a cui ha accesso il client in esecuzione sul computer.

Attualmente, l'autore non è a conoscenza di modi specifici per implementare gli attacchi di spoofing dell'applet Java. Apparentemente, questi attacchi si stanno sviluppando male, poiché le conseguenti opportunità di rubare informazioni sono praticamente assenti. Ma gli attacchi ai componenti Active-X sono diffusi e ben noti.

Si consideri l'obbligo di proteggere le informazioni che circolano nel sistema di pagamento elettronico via Internet. Ovviamente, in questo caso, la tecnologia J è inferiore sia a P che ad AX in un aspetto molto significativo. Tutti i meccanismi di protezione delle informazioni si basano sulla crittografia o sulla firma elettronica e tutti gli algoritmi pertinenti si basano su trasformazioni crittografiche che richiedono l'introduzione di elementi chiave. Attualmente, la lunghezza degli elementi chiave è di circa 32-128 byte, quindi è quasi impossibile richiedere all'utente di inserirli dalla tastiera. La domanda sorge come inserirli? Poiché le tecnologie P e AX hanno accesso alle risorse del computer, la soluzione a questo problema è ovvia e ben nota: le chiavi vengono lette da file locali, floppy disk, tablet o smart card. Ma nel caso della tecnologia J, tale input è impossibile, il che significa che devi richiedere al client di inserire una lunga sequenza di informazioni prive di significato o, riducendo la lunghezza degli elementi chiave, ridurre la forza delle trasformazioni crittografiche e , di conseguenza, riducono l'affidabilità dei meccanismi di protezione. Inoltre, questa diminuzione è molto significativa.

Si consideri il requisito secondo cui il sistema di pagamento elettronico deve organizzare la protezione dei dati che si trovano sul server da letture e modifiche non autorizzate. Tale requisito deriva dal fatto che il sistema prevede la collocazione sul server di informazioni riservate destinate all'utente. Ad esempio, un elenco di ordini di pagamento da lui inviati con una nota sui risultati dell'elaborazione.

Nel caso della tecnologia P, i dati vengono presentati sotto forma di pagine html, che vengono crittografate e posizionate sul server. Tutte le azioni vengono eseguite in conformità con l'algoritmo sopra descritto (crittografia delle pagine html).

Nel caso delle tecnologie J e AX, queste informazioni possono essere inserite in una forma strutturata in un file sul server e i componenti o gli applet devono eseguire operazioni di lettura e visualizzazione dei dati. Tutto ciò in generale porta ad un aumento della dimensione totale di applet e componenti e, di conseguenza, ad una diminuzione della velocità di download delle pagine corrispondenti.

Dal punto di vista di questo requisito, la tecnologia P vince grazie alla sua maggiore producibilità, ovvero meno spese generali per lo sviluppo e maggiore resistenza alla sostituzione dei componenti mentre passano attraverso la rete.

Per quanto riguarda l'ultimo requisito di protezione della rete locale bancaria, esso viene soddisfatto attraverso la costruzione competente di un sistema di firewall (firewall) e non dipende dalle tecnologie in esame.

Pertanto, quanto sopra era un preliminare analisi comparativa tecnologie J, AX e P, da cui ne consegue che la tecnologia J dovrebbe essere utilizzata se il mantenimento del grado di sicurezza del computer del cliente è molto più importante della forza delle trasformazioni crittografiche utilizzate nei sistemi di pagamento elettronico.

La tecnologia P sembra essere la soluzione tecnologica più ottimale alla base dei sistemi di sicurezza delle informazioni di pagamento, in quanto combina il potere applicazione standard Win32 e protezione dagli attacchi via Internet. L'implementazione pratica e commerciale di progetti che utilizzano questa tecnologia viene effettuata, ad esempio, dalla società russa di comunicazioni finanziarie.

Per quanto riguarda la tecnologia AX, il suo utilizzo sembra essere inefficiente e instabile agli attacchi malevoli.

CONCLUSIONE

La moneta elettronica sta diventando sempre più la nostra realtà quotidiana, con la quale, almeno, bisogna fare i conti. Certo, nessuno nei prossimi cinquant'anni (probabilmente) cancellerà il denaro ordinario. Ma non essere in grado di gestire la moneta elettronica e perdere le opportunità che essa porta con sé significa erigere volontariamente attorno a sé una “cortina di ferro”, che con tanta fatica è stata smantellata negli ultimi quindici anni. Molte grandi aziende offrono il pagamento per i propri servizi e beni tramite pagamenti elettronici. Per il consumatore, questo fa risparmiare molto tempo.

Il software gratuito per aprire il tuo portafoglio elettronico e per tutto il lavoro con denaro è adattato al massimo per i computer di massa e, dopo un po 'di pratica, non causa alcun problema all'utente medio. Il nostro tempo è il tempo dei computer, di Internet e dell'e-commerce. Le persone che hanno conoscenza in queste aree e i mezzi appropriati ottengono un enorme successo. La moneta elettronica è una moneta che si sta diffondendo ogni giorno di più, aprendo sempre più opportunità a chi ha accesso alla Rete.

Lo scopo del calcolo e del lavoro grafico è stato raggiunto e risolto i seguenti compiti:

1. Vengono determinati i compiti principali dei sistemi di pagamento elettronico e i principi del loro funzionamento, le loro caratteristiche.

2. Vengono analizzati i principali sistemi di pagamento elettronico.

3. Analizzato le minacce associate all'uso della moneta elettronica.

4. Analizzato i mezzi di protezione nell'utilizzo dei sistemi di pagamento elettronico.

RIFERIMENTI

1. Antonov N.G., Pessel M.A. Circolazione monetaria, credito e banche. -M.: Finstatinform, 2005, pp. 179-185.

2. Portafoglio bancario - 3. - M.: Somintek, 2005, pp. 288-328.

3. Mikhailov D.M. Pagamenti e garanzie internazionali. Mosca: FBK-PRESS, 2008, pp. 20-66.

4. Polyakov V.P., Moskovkina L.A. Struttura e funzioni delle banche centrali. Esperienze all'estero: Libro di testo. - M.: INFRA-M, 2006.

5. Gaikovich Yu.V., Pershin A.S. Sicurezza dei sistemi bancari elettronici. - M: Europa Unita, 2004

6. Demin V.S. ecc. Sistemi bancari automatizzati. - M: Menatep-Inform, 2007

7. Krysin VA Sicurezza aziendale. - M: Finanza e statistica, 2006

8. Linkov I.I. et al.. Suddivisioni informative nelle strutture commerciali: come sopravvivere e avere successo. - M: NIT, 2008

9. Titorenko G.A. e altro Informatizzazione bancaria. - M: Finstatinform, 2007

10. Tushnolobov I.B., Urusov D.P., Yartsev V.I. Reti distribuite. - San Pietroburgo: Pietro, 2008

12. Aglitsky I. Stato e prospettive di supporto informativo delle banche russe. - Tecnologie bancarie, 2007 n. 1.

Tutoraggio

Hai bisogno di aiuto per imparare un argomento?

I nostri esperti ti consiglieranno o forniranno servizi di tutoraggio su argomenti di tuo interesse.
Presentare una domanda indicando subito l'argomento per conoscere la possibilità di ottenere una consulenza.

3. Tutela dei pagamenti elettronici

La questione della sicurezza bancaria è particolarmente acuta, come le informazioni bancarie, in primo luogo, rappresenta denaro reale e, in secondo luogo, influisce sugli interessi riservati di un gran numero di clienti bancari.

La dimensione del mercato dell'e-commerce nel 2000

Volume e caratteristiche del mercato	Stima, USD
Il costo totale di tutti gli acquisti di prodotti Internet	4,5-6 miliardi
Valore totale di tutti gli acquisti per cliente medio	600-800
Costo medio di acquisizione per transazione Internet	25-35
Il volume totale delle transazioni-acquisizioni su Internet	130-200 milioni
Quota di acquisti di prodotti on-line	60-70%
Quota degli acquisti di merce consegnata	30-40%

Schema generale di funzionamento dei sistemi di pagamento elettronico

Una banca che ha stipulato un accordo con il sistema e ottenuto una licenza appropriata può agire in due capacità: come emittente di mezzi di pagamento di questo sistema accettati per il pagamento da tutte le altre banche partecipanti e come società di servizi bancari acquirente che accettano pagamenti mezzi di questo sistema di pagamento, emessi da altri emittenti, e accettare tali mezzi di pagamento per incassare nelle proprie filiali.
Il processo di pagamento è abbastanza semplice. Prima di tutto, il cassiere dell'impresa deve verificare l'autenticità della carta secondo i relativi segni.
Al momento del pagamento, l'azienda deve trasferire i dettagli della carta del cliente su un assegno speciale utilizzando una fotocopiatrice - imprinter, inserire nell'assegno l'importo per il quale è stato effettuato l'acquisto o sono stati forniti i servizi e ricevere la firma del cliente.
Un assegno redatto in questo modo è chiamato ricevuta. Per effettuare transazioni in sicurezza, il sistema di pagamento raccomanda limiti inferiori per gli importi per varie regioni e tipi di attività che possono essere utilizzati per i pagamenti senza autorizzazione. In caso di superamento dell'importo limite o in caso di dubbi sull'identità del cliente, la società è tenuta a svolgere un processo di autorizzazione.
Senza soffermarci sugli aspetti tecnici della procedura, segnaliamo che in fase di autorizzazione l'impresa ha effettivamente accesso alle informazioni sullo stato del conto del cliente e quindi ha la possibilità di stabilire la titolarità della carta da parte del cliente e la sua capacità di pagamento nell'importo dell'importo della transazione. Una copia della distinta rimane in azienda, la seconda viene trasferita al cliente, la terza viene consegnata alla banca acquirente e funge da base per il rimborso dell'importo del pagamento alla società dal conto del cliente.
Negli ultimi anni, i terminali POS hanno guadagnato una grande popolarità, quando si utilizzano i quali non è necessario compilare i tagliandi. I dati della carta vengono letti dalla banda magnetica del lettore integrato nel terminale POS, l'importo della transazione viene inserito dalla tastiera e il terminale, tramite il modem integrato, richiede l'autorizzazione al sistema di pagamento corrispondente. In questo caso vengono utilizzate le capacità tecniche del centro di elaborazione, i cui servizi sono forniti al commerciante dalla banca. In questo caso, l'azienda presenta alla banca una copia del nastro di cassa con un campione della firma del cliente e dei file batch che il terminale genera alla fine della giornata lavorativa.
Negli ultimi anni è stata attirata sempre più attenzione sistemi bancari che utilizzano carte a microprocessore. Esternamente, questi supporti per informazioni non differiscono dalle normali carte, ad eccezione di un chip di memoria o microprocessore saldato all'interno della carta e delle piastre di contatto poste sulla sua superficie.
La differenza fondamentale tra queste carte e tutto quanto sopra è che portano direttamente informazioni sullo stato del conto del cliente, poiché esse stesse sono un conto di transito. È chiaro che ogni punto di accettazione di tali carte deve essere dotato di uno speciale terminale POS (con lettore di chip).
Per poter utilizzare la carta, il cliente deve scaricarla dal proprio conto presso il terminale della banca. Tutte le transazioni vengono effettuate in modalità OFF-LINE durante il dialogo carta - terminale o carta cliente - carta esercente.
Tale sistema è quasi completamente sicuro grazie all'elevato grado di sicurezza del chip e allo schema di regolamento completo degli addebiti. Inoltre, sebbene la carta stessa sia notevolmente più costosa della solita, il sistema in fase di funzionamento risulta essere ancora più economico per il fatto che il carico sulle telecomunicazioni non viene utilizzato in modalità OFF-LINE.
Pagamenti elettronici tramite carte bancarie in plastica vari tipi rappresentano un meccanismo di regolamento sufficientemente flessibile e universale nella catena “Banca 1 - Cliente - Impresa - Banca 2” e regolamenti interbancari del tipo “Banca 1 - ... - Banca N”. Tuttavia, è la versatilità di questi strumenti di pagamento che li rende bersagli particolarmente allettanti per le frodi. La voce di perdita annua per abuso è una cifra impressionante, anche se relativamente piccola rispetto al fatturato totale.

Il sistema di sicurezza e il suo sviluppo non possono essere considerati separatamente dai metodi delle operazioni illegali con carte di plastica, che possono essere suddivise in 5 tipi principali di crimini.

1. Operazioni con carte false.
Questo tipo di frode rappresenta la quota maggiore delle perdite del sistema di pagamento. A causa dell'elevata sicurezza tecnica e tecnologica delle carte reali, le carte autocostruite sono utilizzate raramente di recente e possono essere identificate utilizzando la diagnostica più semplice.
Di norma, per la contraffazione vengono utilizzati spazi vuoti di carte rubate, su cui vengono applicati i dettagli della banca e del cliente. Essendo tecnicamente altamente attrezzati, i criminali possono persino inserire informazioni sulla banda magnetica della carta o copiarla, in una parola, eseguire falsi ad alto livello.
Gli autori di tali azioni sono, di norma, gruppi criminali organizzati, a volte cospirando con i dipendenti delle banche emittenti che hanno accesso alle informazioni sui conti dei clienti e sulla procedura per lo svolgimento delle transazioni. Rendendo omaggio alla comunità criminale internazionale, va notato che le carte false sono apparse in Russia quasi contemporaneamente all'inizio dello sviluppo di questo settore del mercato bancario.

2. Operazioni con carte rubate/smarrite.
È possibile infliggere gravi danni a una carta rubata solo se il truffatore conosce il codice PIN del cliente. Quindi diventa possibile prelevare un importo elevato dal conto del cliente tramite una rete di cassieri elettronici - bancomat prima che la banca emittente della carta rubata abbia il tempo di inserirla nell'elenco degli stop elettronici (elenco delle carte non valide).

3. Pagamento multiplo per servizi e beni per importi non eccedenti il “limite floor” e non soggetti ad autorizzazione. Per effettuare pagamenti, il criminale deve solo falsificare la firma del cliente. Tuttavia, con questo schema, l'oggetto di abuso più attraente diventa inaccessibile: contanti. Rientrano in questa categoria i reati con carte rubate durante il loro trasferimento dalla banca emittente ai propri clienti per posta.

4. Frodi con ordini postali/telefonici.
Questo tipo di reato è apparso in relazione allo sviluppo di un servizio per la consegna di beni e servizi per posta o ordine telefonico di un cliente. Conoscendo il numero di carta di credito della sua vittima, il criminale può indicarlo nel modulo d'ordine e, ricevuta un'ordinanza per un indirizzo di residenza temporanea, scomparire.

5. Prelievi multipli dal conto.
Questi reati sono solitamente commessi dai lavoratori entità legale, accettando il pagamento dal cliente di beni e servizi tramite carta di credito, e viene effettuato mediante l'emissione di più ricevute di pagamento per un fatto di pagamento. Sulla base degli assegni presentati, sul conto della società viene accreditato più denaro del costo dei beni venduti o dei servizi resi. Tuttavia, dopo una serie di transazioni, il criminale è costretto a chiudere o lasciare l'impresa.

Per evitare tali azioni, si consiglia ai possessori di carte di prestare maggiore attenzione ai documenti firmati quando si effettuano transazioni (anche per piccoli importi).

I metodi utilizzati dai dipartimenti di sicurezza possono essere suddivisi in due categorie principali. Il primo e, forse, il più importante livello è legato alla sicurezza tecnica della carta plastificata stessa. Ora possiamo affermare con sicurezza che dal punto di vista della tecnologia la carta è protetta meglio delle banconote, ed è quasi impossibile realizzarla da soli senza l'utilizzo di sofisticate tecnologie.
Le carte di qualsiasi sistema di pagamento soddisfano standard rigorosamente stabiliti. La carta ha una forma standard. Il numero di identificazione della banca nel sistema (codice BIN) e il numero di conto bancario del cliente, il suo nome e cognome, il periodo di validità della carta sono in rilievo e collocati in posizioni rigorosamente specificate sul lato anteriore della carta. C'è anche un simbolo del sistema di pagamento, realizzato in modo olografico. Le ultime quattro cifre del numero della carta sono in rilievo (in rilievo) direttamente sul simbolo olografico, il che rende impossibile copiare l'ologramma o ristampare il codice senza distruggere il simbolo.
Sul retro della carta è presente una banda magnetica e un'area con un campione della firma del proprietario. Sulla banda magnetica in posizioni rigorosamente definite e utilizzando algoritmi crittografici, vengono registrati i dettagli del sistema di pagamento stesso, i marchi di sicurezza, i simboli che impediscono la copia delle informazioni e vengono duplicate le informazioni stampate sul lato anteriore della carta. L'area del campione della firma del proprietario ha un rivestimento speciale. Al minimo tentativo di cancellare o inoltrare la firma, il rivestimento viene distrutto e appare un supporto di colore diverso con i simboli di sicurezza del sistema di pagamento.
Il resto della superficie della carta è messo interamente a disposizione della banca emittente ed è arbitrariamente redatto con i simboli della banca, la sua pubblicità e le informazioni necessarie per i clienti. La carta stessa è protetta da segni visibili solo alla luce ultravioletta.
Le misure di protezione tecnica includono anche la protezione delle comunicazioni bancarie, delle reti bancarie da intrusioni illegali, guasti e altre influenze esterne che portano a perdite o addirittura alla distruzione di informazioni. La protezione viene effettuata da software e hardware ed è certificata da organizzazioni autorizzate del sistema di pagamento.
La seconda categoria di misure di protezione comprende misure per prevenire la fuga di informazioni dai dipartimenti bancari che trattano carte di plastica. Il principio fondamentale è una chiara delimitazione dei doveri dei dipendenti e, in conformità con ciò, la restrizione dell'accesso alle informazioni classificate per un importo non superiore al minimo necessario per il lavoro.
Queste misure riducono il rischio e la possibilità di collusione tra criminali e dipendenti. Si tengono seminari tematici di alta formazione con i dipendenti. I sistemi di pagamento distribuiscono regolarmente bollettini di sicurezza in cui pubblicano materiale ufficiale e statistiche sui reati con le carte, segnalano segni di malintenzionati e segni di carte false entrate in circolazione illegale. Attraverso i bollettini si forma il personale e si organizzano eventi preventivi e speciali per ridurre la criminalità.
Particolare attenzione è rivolta alla selezione del personale dei dipendenti del dipartimento. Tutte le questioni relative alla sicurezza sono di competenza di un responsabile della sicurezza dedicato. Tra le misure preventive, il posto più importante è occupato dal lavoro con i clienti volto ad elevare il livello culturale della gestione del “denaro di plastica”. Una gestione attenta e attenta della carta riduce significativamente la probabilità di diventare vittima di un crimine.

Analisi delle violazioni nel sistema di liquidazioni e pagamenti elettronici

È ben noto nei circoli specialistici che la rapida caduta della Norvegia durante la seconda guerra mondiale fu dovuta in gran parte al fatto che i cifrari della Royal Navy britannica furono decifrati da crittografi tedeschi che usarono esattamente gli stessi metodi utilizzati dall'unità Room 40 della Royal Navy. contro la Germania nella guerra precedente.
Dalla seconda guerra mondiale, un velo di segretezza è calato sull'uso della crittografia da parte del governo. Ciò non sorprende, e non solo a causa della Guerra Fredda, ma anche a causa della riluttanza dei burocrati (in qualsiasi organizzazione) ad ammettere i propri errori.
Diamo un'occhiata ad alcuni dei modi in cui le truffe bancomat sono state effettivamente commesse. L'obiettivo è analizzare le idee dei designer finalizzate all'invulnerabilità teorica del loro prodotto e trarre insegnamenti da quanto accaduto.
Partiamo da alcuni semplici esempi che mostrano diversi tipi di truffe realizzabili senza grandi accorgimenti tecnici, così come le procedure bancarie che le hanno consentite.
È risaputo che la banda magnetica sulla carta di un cliente dovrebbe contenere solo il suo numero di conto e il suo numero di identificazione personale (PIN) si ottiene crittografando il numero di conto e ricavando quattro cifre dal risultato. Pertanto, l'ATM deve essere in grado di eseguire la procedura di crittografia o altrimenti eseguire la verifica del PIN (ad esempio, tramite query interattiva).
Recentemente, la Crown Court di Winchester in Inghilterra ha condannato due criminali che hanno utilizzato uno schema semplice ma efficace. Si sono messi in fila agli sportelli automatici, hanno sbirciato i codici PIN dei clienti, hanno ritirato le carte rifiutate dall'ATM e hanno copiato i numeri di conto su carte vuote che sono state utilizzate per rapinare i conti dei clienti.
Questo trucco è stato usato (e denunciato) qualche anno fa in una banca di New York. Il colpevole era un tecnico ATM licenziato che è riuscito a rubare $ 80.000 prima che la banca, dopo aver riempito l'area di personale di sicurezza, lo cogliesse sul fatto.
Questi attacchi hanno avuto successo perché le banche hanno stampato il numero di conto del cliente per intero sulla carta bancaria e, inoltre, non c'era ridondanza crittografica sulla banda magnetica. Si potrebbe pensare che la lezione della New York Bank sarebbe stata appresa, ma no.
Un altro tipo di attacco tecnico si basa sul fatto che in molte reti ATM i messaggi non sono crittografati e le procedure di autenticazione non vengono eseguite quando una transazione è autorizzata. Ciò significa che un utente malintenzionato può registrare una risposta dalla banca all'ATM "Consento il pagamento" e quindi scorrere nuovamente il record finché l'ATM non è vuoto. Questa tecnica, nota come eviscerazione, non viene utilizzata solo da aggressori esterni. È noto un caso in cui gli operatori bancari hanno utilizzato un dispositivo di controllo della rete per "sventrare" gli sportelli automatici insieme ai complici.

Le transazioni di prova sono un'altra fonte di problemi

Per un tipo di bancomat, è stata utilizzata una sequenza di tasti di quattordici cifre per testare l'erogazione di dieci banconote. Una banca ha stampato questa sequenza in un manuale per l'utilizzo di bancomat remoti. Tre anni dopo, iniziò improvvisamente la scomparsa del denaro. Hanno continuato fino a quando tutte le banche che utilizzano questo tipo di bancomat hanno incluso patch software che vietavano la transazione di prova.
La crescita più rapida è rappresentata dalle frodi che utilizzano terminali falsi per raccogliere account cliente e codici PIN. Attacchi di questo tipo sono stati descritti per la prima volta negli Stati Uniti nel 1988. I truffatori hanno costruito una macchina che accetta qualsiasi carta ed eroga un pacchetto di sigarette. Questa invenzione è stata collocata in un negozio e i codici PIN ei dati delle carte magnetiche sono stati trasmessi tramite un modem. Il trucco si è diffuso in tutto il mondo.
I tecnici rubano anche denaro ai clienti, sapendo che è probabile che i loro reclami vengano ignorati. In una banca in Scozia, un tecnico dell'help desk ha collegato un computer a un bancomat e ha registrato i numeri di conto e i PIN dei clienti. Poi ha falsificato le carte e rubato i soldi dai conti. E ancora, i clienti si sono lamentati dei muri vuoti. Per questa pratica, la banca è stata criticata pubblicamente da uno dei più alti funzionari legali in Scozia.
Lo scopo dell'utilizzo di un PIN di quattro cifre è che se qualcuno trova o ruba la carta di credito di un'altra persona, c'è una possibilità su diecimila di indovinare il codice per sbaglio. Se sono consentiti solo tre tentativi di PIN, la possibilità di prelevare denaro da una carta rubata è inferiore a una su tremila. Tuttavia, alcune banche sono riuscite a ridurre la varietà data da quattro cifre.
Alcune banche non seguono lo schema per ottenere un codice PIN convertendo crittograficamente il numero di conto, ma utilizzando un codice PIN selezionato casualmente (o consentendo ai clienti di scegliere) e quindi convertendolo crittograficamente per ricordarlo. Oltre a consentire al cliente di scegliere un PIN facile da indovinare, questo approccio comporta alcune insidie tecniche.
Alcune banche mantengono un valore PIN crittografato in archivio. Ciò significa che il programmatore può ottenere il valore crittografato del proprio PIN e cercare nel database tutti gli altri account con lo stesso PIN.
Una grande banca del Regno Unito ha persino registrato il valore crittografato del PIN sulla banda magnetica della carta. Ci sono voluti quindici anni perché la comunità criminale si rendesse conto che era possibile sostituire il numero di conto sulla banda magnetica della propria carta e poi usarlo con il proprio PIN per rubare da qualche conto.
Per questo motivo, nel sistema VISA si consiglia alle banche di combinare il numero di conto del cliente con il suo PIN prima della crittografia. Tuttavia, non tutte le banche lo fanno.
Gli attacchi più sofisticati finora sono stati dovuti a semplici errori di implementazione e procedure operative. I ricercatori di sicurezza professionisti tendevano a considerare questi errori come poco interessanti e quindi si concentravano su attacchi basati sullo sviluppo di difetti tecnici più sottili. Il settore bancario presenta anche una serie di vulnerabilità di sicurezza.
Sebbene gli attacchi ai sistemi bancari basati su tecnologie avanzate siano rari, sono interessanti dal punto di vista pubblico, poiché le iniziative governative, come i criteri di valutazione della tecnologia della sicurezza delle informazioni dell'UE (ITSEC), mirano a sviluppare una serie di prodotti certificati per essere privo di errori tecnici noti. Le proposte alla base di questo programma sono che l'implementazione e le procedure tecnologiche dei rispettivi prodotti saranno essenzialmente prive di errori e che un attacco richiede una formazione tecnica paragonabile a quella delle agenzie di sicurezza governative. Apparentemente, questo approccio è più appropriato per i sistemi militari che per quelli civili.
Per capire come vengono eseguiti gli attacchi più sofisticati, è necessario esaminare più in dettaglio il sistema di sicurezza bancario.

Problemi relativi ai moduli di sicurezza

Non tutti i prodotti di sicurezza sono della stessa alta qualità e poche banche dispongono di esperti qualificati per distinguere i prodotti buoni da quelli mediocri.
Nella pratica reale, ci sono alcuni problemi con i prodotti di crittografia, in particolare il vecchio modulo oi moduli di sicurezza IBM 3848 attualmente consigliati per le organizzazioni bancarie.
Se la banca non dispone di moduli di sicurezza basati su hardware, la funzione di crittografia del codice PIN verrà implementata nel software con le corrispondenti conseguenze indesiderate. Il software del modulo di sicurezza può avere punti di interruzione per il debug dei prodotti software da parte degli ingegneri del produttore. È stata richiamata l'attenzione su questo fatto quando in una delle banche è stata presa la decisione di includerlo nella rete e l'ingegnere di sistema del produttore non ha potuto garantire il funzionamento del gateway richiesto. Per portare a termine il lavoro, ha utilizzato uno di questi trucchi per estrarre i PIN dal sistema. L'esistenza di tali breakpoint rende impossibile creare procedure affidabili per la gestione dei moduli di sicurezza.
Alcuni produttori di moduli di sicurezza facilitano essi stessi tali attacchi. Ad esempio, viene utilizzato un metodo per generare chiavi funzionanti in base all'ora del giorno e, di conseguenza, vengono effettivamente utilizzati solo 20 bit di chiave, invece dei 56 previsti. Pertanto, secondo la teoria della probabilità, per ogni 1000 chiavi generate, due corrisponderanno.
Ciò consente un sottile abuso in cui l'attaccante manipola le comunicazioni della banca in modo che le transazioni di un terminale vengano sostituite con le transazioni di un altro.
I programmatori di una banca non si sono nemmeno preoccupati dei problemi associati all'introduzione delle chiavi dei clienti nei programmi di crittografia. Semplicemente impostano i puntatori ai valori chiave in un'area di memoria che è sempre impostata su zero all'avvio del sistema. risultato questa decisione era che i sistemi reali e di prova utilizzavano le stesse aree di archiviazione chiave. I tecnici della banca hanno capito che potevano ottenere i PIN dei clienti sull'apparecchiatura di prova. Molti di loro hanno contattato i criminali locali per selezionare i codici PIN per le carte bancarie rubate. Quando il responsabile della sicurezza della banca ha rivelato cosa stava accadendo, è morto in un incidente stradale (e la polizia locale ha "perso" tutto il materiale rilevante). La banca non si è preoccupata di inviare nuove carte ai suoi clienti.
Uno degli scopi principali dei moduli di sicurezza è impedire ai programmatori e al personale con accesso ai computer di ottenere informazioni bancarie chiave. Tuttavia, la segretezza fornita dai componenti elettronici dei moduli di sicurezza spesso non riesce a resistere ai tentativi di penetrazione crittografica.
I moduli di sicurezza hanno le proprie chiavi master per uso interno e queste chiavi devono essere mantenute in una posizione specifica. Una copia di backup della chiave viene spesso conservata in una forma facilmente leggibile, come la memoria PROM, e la chiave può essere letta di tanto in tanto, ad esempio quando si trasferisce il controllo su un set di chiavi di zona e terminali da un modulo di sicurezza ad un altro. In tali casi, la banca è completamente in balia degli esperti nel processo di esecuzione di questa operazione.

Problemi legati alle tecnologie di progettazione

Parliamo brevemente della tecnologia di progettazione degli sportelli automatici. Nei modelli precedenti, il codice per i programmi di crittografia veniva inserito nel posto sbagliato: nel dispositivo di controllo e non nel modulo stesso. Il dispositivo di controllo doveva essere posizionato nelle immediate vicinanze del modulo in una determinata area. Ma un gran numero di bancomat attualmente non si trova nelle immediate vicinanze dell'edificio della banca. In un'università del Regno Unito, un bancomat era situato nel campus e inviava numeri di conto e PIN non crittografati linea telefonica nell'unità di controllo della filiale, che si trovava a diversi chilometri di distanza dalla città. Chiunque non fosse troppo pigro per usare un dispositivo di intercettazione della linea telefonica poteva contraffare carte a migliaia.
Anche nei casi in cui viene acquistato uno dei migliori prodotti, sono numerosi i casi in cui un'implementazione errata o procedure tecnologiche mal concepite portano problemi alla banca. La maggior parte dei moduli di sicurezza restituisce un intervallo di codici di ritorno per ogni transazione. Alcuni di essi, come "key parity error", avvisano che il programmatore sta sperimentando con il modulo effettivamente utilizzato. Tuttavia, poche banche si sono prese la briga di scrivere il driver del dispositivo necessario per rilevare questi avvisi e agire di conseguenza.
È noto che le banche subappaltano in tutto o in parte il sistema di fornitura di sportelli bancomat a società che "forniscono servizi correlati" e trasferiscono i codici PIN a tali società.
Ci sono stati anche precedenti in cui i codici PIN sono stati condivisi tra due o più banche. Anche se tutto il personale della banca è considerato affidabile, le aziende esterne potrebbero non mantenere le politiche di sicurezza specifiche delle banche. Il personale di queste aziende non è sempre adeguatamente controllato, è probabile che sia sottopagato, curioso e sconsiderato, il che può portare alla progettazione e all'esecuzione di frodi.
Al centro di molti degli errori gestionali descritti c'è la mancanza di sviluppo della parte psicologica del progetto. Le filiali ei centri di calcolo di una banca devono seguire procedure standard quando completano la loro giornata di lavoro, ma è probabile che solo quelle procedure di controllo il cui scopo è ovvio vengano applicate rigorosamente. Ad esempio, la condivisione delle chiavi di una cassaforte di filiale tra un manager e un contabile è ben nota: protegge entrambi dall'essere presi in ostaggio dalle loro famiglie. Le chiavi crittografiche non sono spesso impacchettate in una forma facile da usare e quindi è improbabile che vengano utilizzate correttamente. Una risposta parziale potrebbe essere dispositivi che in realtà assomigliano a chiavi (nell'immagine delle chiavi crittografiche delle micce delle armi nucleari).
Si potrebbe scrivere molto sul miglioramento delle procedure operative, ma se l'obiettivo è evitare che una qualsiasi chiave crittografica cada nelle mani di qualcuno con la capacità tecnica di abusarne, allora un obiettivo preciso va posto nei manuali e nei corsi di formazione. Il principio della "sicurezza attraverso l'oscurità" spesso fa più male che bene.

Distribuzione delle chiavi

La distribuzione delle chiavi presenta un problema particolare per le filiali bancarie. Come sai, la teoria richiede che ciascuno dei due banchieri inserisca un componente chiave diverso, in modo che la loro combinazione fornisca la chiave master del terminale. Il codice PIN crittografato sulla chiave master del terminale viene inviato all'ATM durante la prima transazione dopo la manutenzione.
Se il tecnico ATM ottiene entrambi i componenti della chiave, può decrittografare il PIN e contraffare le carte. In pratica, i gestori di filiale che custodiscono le chiavi sono quasi felici di consegnarle all'ingegnere, perché non vogliono stare accanto al bancomat durante la manutenzione. Inoltre, inserire il tasto del terminale significa usare la tastiera, che i manager più anziani considerano al di sotto della loro dignità.
È pratica comune gestire male le chiavi. C'è un caso noto in cui entrambi i microcircuiti con chiavi master sono stati consegnati a un ingegnere dal personale di servizio. Sebbene in teoria esistessero procedure di doppio controllo, il personale di sicurezza ha consegnato i chip poiché erano state utilizzate le ultime chiavi e nessuno sapeva cosa fare. Un ingegnere non poteva solo falsificare le carte. Avrebbe potuto andarsene con le chiavi e interrompere tutte le operazioni bancarie.
Non senza interesse è il fatto che le chiavi sono più spesso memorizzate in file aperti che in quelli protetti. Questo vale non solo per le chiavi ATM, ma anche per le chiavi per i sistemi di regolamento interbancario, come SWIFT, in cui vengono effettuate transazioni per miliardi. Sarebbe saggio usare le chiavi di inizializzazione, come le chiavi di terminale e le chiavi di zona, solo una volta, e poi distruggerle.

Minacce crittoanalitiche

I crittoanalisti sono probabilmente l'ultima delle minacce per i sistemi bancari, ma non possono essere completamente scontati. Alcune banche (comprese quelle grandi e famose) utilizzano ancora algoritmi crittografici nostrani degli anni prima del DES. In una rete di dati, i blocchi di dati venivano semplicemente "criptati" aggiungendo una costante. Questo metodo non è stato criticato per cinque anni, nonostante il fatto che la rete fosse utilizzata da più di 40 banche. Inoltre, tutti gli esperti di assicurazione, audit e sicurezza di queste banche, a quanto pare, leggono le specifiche del sistema.
Anche se viene utilizzato un algoritmo "rispettabile", potrebbe essere implementato con parametri inappropriati. Ad esempio, alcune banche hanno implementato l'algoritmo RSA con una lunghezza della chiave da 100 a 400 bit, nonostante la lunghezza della chiave debba essere di almeno 500 bit per fornire il livello di sicurezza richiesto.
Puoi anche trovare la chiave usando la forza bruta, provando tutte le possibili chiavi di crittografia finché non trovi una chiave che utilizza una particolare banca.
I protocolli utilizzati nelle reti internazionali per crittografare le chiavi operative con le chiavi di zona rendono facile attaccare la chiave di zona in questo modo. Se la chiave di zona è stata aperta una volta, tutti i codici PlN inviati o ricevuti dalla banca attraverso la rete possono essere decifrati. Un recente studio della Canadian Bank ha dimostrato che questo tipo di attacco al DES costerebbe circa £ 30.000 per chiave di zona. Di conseguenza, per un tale crimine, le risorse della criminalità organizzata sono del tutto sufficienti e un tale crimine potrebbe essere commesso da un individuo sufficientemente ricco.
Probabilmente, i computer specializzati necessari per trovare le chiavi sono stati creati nei servizi speciali di alcuni paesi, compresi quelli in paesi che ora sono in uno stato di caos. Pertanto, esiste un certo rischio che i detentori di questa apparecchiatura possano utilizzarla per guadagno personale.

Tutti i sistemi, piccoli e grandi, contengono bug e sono soggetti a errori da parte dell'operatore. I sistemi bancari non fanno eccezione, e tutti coloro che hanno lavorato nella produzione industriale lo sanno. I sistemi di regolamento delle filiali tendono a diventare più grandi e più complessi, con molti moduli interagenti che si evolvono nel corso dei decenni. Alcune transazioni saranno inevitabilmente eseguite in modo errato: l'addebito potrebbe essere duplicato o il conto modificato in modo errato.
Questa situazione non è nuova per i controllori finanziari delle grandi aziende, che mantengono uno staff speciale per riconciliare i conti bancari. Quando si verifica un addebito errato, questi funzionari richiedono i documenti pertinenti per l'analisi e, se mancano documenti, ricevono un rimborso del pagamento errato dalla banca.
Tuttavia, i clienti ATM non hanno questa possibilità di riscattare i pagamenti contestati. La maggior parte dei banchieri al di fuori degli Stati Uniti afferma semplicemente che non ci sono errori nei loro sistemi.
Tale politica comporta alcuni rischi legali e amministrativi. In primo luogo, crea la possibilità di abuso, poiché la frode è cospiratoria. In secondo luogo, porta a prove troppo complesse per il cliente, che è stata la ragione della semplificazione della procedura nei tribunali statunitensi. In terzo luogo, è il danno morale associato all'incoraggiamento indiretto dei dipendenti di banca a rubare, sulla base della consapevolezza che è improbabile che vengano scoperti. In quarto luogo, si tratta di un difetto ideologico, poiché a causa della mancanza di un registro centralizzato dei reclami dei clienti, non è possibile un controllo adeguatamente organizzato sui casi di frode.
L'impatto sull'attività commerciale associato alle perdite agli sportelli automatici è piuttosto difficile da stimare con precisione. Nel Regno Unito, il Segretario economico del Tesoro (il ministro responsabile della regolamentazione bancaria) ha dichiarato nel giugno 1992 che tali errori interessano almeno due dei tre milioni di transazioni giornaliere. Tuttavia, sotto la pressione del recente contenzioso, questa cifra è stata rivista prima a 1 transazione errata su 250.000, poi 1 su 100.000 e infine 1 su 34.000.
Poiché i clienti che presentano reclami vengono generalmente respinti dai dipendenti della banca e la maggior parte delle persone semplicemente non è in grado di notare un prelievo una tantum da un conto, l'ipotesi più realistica è che ci sia circa 1 transazione errata ogni 10.000. un bancomat una volta alla settimana per 50 anni, possiamo aspettarci che un cliente su quattro abbia problemi a utilizzare un bancomat nel corso della sua vita.

I progettisti di sistemi crittografici sono in svantaggio a causa della mancanza di informazioni su come si verificano in pratica i guasti del sistema, piuttosto che su come potrebbero verificarsi in teoria. Questo svantaggio feedback porta all'uso del modello di minaccia sbagliato. I progettisti si concentrano su ciò che in un sistema può portare a rotture, invece di concentrarsi su ciò che normalmente porterebbe a errori. Molti prodotti sono così complessi e intricati che raramente vengono utilizzati correttamente. La conseguenza è il fatto che la maggior parte degli errori sono legati all'implementazione e alla manutenzione del sistema. Il risultato specifico è stata un'ondata di frodi bancomat che non solo ha portato a perdite finanziarie, ma anche a errori giudiziari e ha ridotto la fiducia nel sistema bancario.
Un esempio dell'implementazione di metodi crittografici è il sistema di protezione delle informazioni crittografiche che utilizza la firma digitale EXCELLENCE.
Il sistema crittografico del software EXCELLENCE è progettato per proteggere le informazioni elaborate, archiviate e trasmesse tra personal computer compatibili con IBM utilizzando la crittografia crittografica, la firma digitale e le funzioni di autenticazione.
Il sistema implementa algoritmi crittografici che soddisfano gli standard statali: crittografia - GOST 28147-89. La firma digitale si basa sull'algoritmo RSA.
Il sistema di chiavi con autenticazione forte e certificazione delle chiavi si basa su ampiamente utilizzato nella pratica internazionale: il protocollo X.509 e il principio della distribuzione pubblica delle chiavi RSA.
Il sistema contiene funzioni crittografiche per l'elaborazione delle informazioni a livello di file:

e funzioni crittografiche per lavorare con le chiavi:

Ogni abbonato alla rete ha la propria chiave segreta e pubblica. La chiave segreta di ogni utente viene registrata su floppy disk o scheda elettronica individuale della sua chiave. La segretezza della chiave dell'abbonato garantisce la protezione delle informazioni crittografate per lui e l'impossibilità di falsificare la sua firma digitale.

Il sistema supporta due tipi di supporti chiave:

Ogni abbonato alla rete ha un file-catalogo delle chiavi pubbliche di tutti gli abbonati del sistema, protetto da modifiche non autorizzate, insieme ai loro nomi. Ogni abbonato è obbligato a mantenere segreta la propria chiave segreta.
Dal punto di vista funzionale, il sistema EXCELLENCE è implementato come modulo di programma excell_s.exe e funziona sotto MS DOS 3.30 e versioni successive. I parametri per l'esecuzione delle funzioni vengono passati nel modulo riga di comando DOS. Inoltre, viene fornita una shell grafica di interfaccia. Il programma riconosce e supporta automaticamente le operazioni a 32 bit del processore Intel386/486/Pentium.
Per l'incorporamento in altri sistemi softwareè stata implementata una variante del sistema EXCELLENCE, contenente le principali funzioni crittografiche per lavorare con i dati in RAM nelle seguenti modalità: memoria - memoria; memoria - file; il file è la memoria.

Previsione per l'inizio del XXI secolo

La quota del management bancario, che adotterà misure efficaci per risolvere il problema della sicurezza delle informazioni, dovrebbe aumentare al 40-80%. Il problema principale sarà il personale addetto alla manutenzione (incluso l'ex) (dal 40% al 95% dei casi), e i principali tipi di minacce saranno l'accesso non autorizzato (UAS) e i virus (fino al 100% delle banche saranno soggette ad attacchi di virus ).
Le misure più importanti per garantire la sicurezza delle informazioni saranno la massima professionalità dei servizi di sicurezza delle informazioni. Per questo le banche dovranno spendere fino al 30% dei loro profitti per la sicurezza delle informazioni.
Nonostante tutte le misure sopra elencate, una soluzione assoluta al problema della sicurezza delle informazioni è impossibile. Allo stesso tempo, l'efficacia del sistema di sicurezza delle informazioni della banca è completamente determinata dall'ammontare dei fondi investiti in esso e dalla professionalità del servizio di sicurezza delle informazioni, e la possibilità di violare il sistema di sicurezza delle informazioni della banca è interamente determinata dal costo di superamento del sistema di protezione e delle qualifiche dei truffatori. (Nella pratica straniera, si ritiene che abbia senso "crackare" il sistema di protezione se il costo per superarlo non supera il 25% del costo delle informazioni protette).

Il capitolo 4 ha considerato le caratteristiche dell'approccio alla protezione dei sistemi bancari elettronici. Una caratteristica specifica di questi sistemi è una forma speciale di scambio elettronico di dati: i pagamenti elettronici, senza i quali non può esistere alcuna banca moderna.

Electronic Data Interchange (EDI) è uno scambio da computer a computer di documenti elettronici aziendali, commerciali e finanziari. Ad esempio, ordini, istruzioni di pagamento, offerte contrattuali, fatture, ricevute, ecc.

OED fornisce l'interazione operativa dei partner commerciali (clienti, fornitori, rivenditori, ecc.) in tutte le fasi della preparazione di una transazione commerciale, della conclusione di un contratto e dell'esecuzione di una consegna. Nella fase di pagamento del contratto e trasferimento di fondi, l'EOS può portare allo scambio elettronico di documenti finanziari. Ciò crea un ambiente efficace per le transazioni commerciali e di pagamento:

* È possibile familiarizzare i partner commerciali con offerte di beni e servizi, selezionare il prodotto / servizio necessario, chiarire le condizioni commerciali (costo e tempi di consegna, sconti commerciali, garanzia e obblighi di servizio) in tempo reale;

* Ordinare beni/servizi o richiedere un'offerta contrattuale in tempo reale;

* Controllo operativo della consegna della merce, ricezione dei documenti accompagnatori via e-mail (fatture, fatture, estratti conto, ecc.);

* Conferma del completamento della fornitura di beni/servizi, emissione e pagamento delle fatture;

* Esecuzione di operazioni bancarie di credito e di pagamento. I vantaggi dell'OED includono:

* Riduzione del costo delle transazioni grazie al passaggio alla tecnologia paperless. Gli esperti stimano il costo dell'elaborazione e della conservazione dei registri cartacei al 3-8% del costo totale delle operazioni commerciali e della consegna delle merci. Il guadagno derivante dall'uso di EOS è stimato, ad esempio, nell'industria automobilistica statunitense in oltre $ 200 per auto prodotta;

* Aumentare la velocità di calcolo e rotazione del denaro;

* Migliorare la comodità dei calcoli.

Esistono due strategie chiave per lo sviluppo del SEE:

1. L'OED viene utilizzato come vantaggio competitivo, consentendo una più stretta interazione con i partner. Questa strategia è adottata nelle grandi organizzazioni ed è chiamata Extended Enterprise Approach.

2. OED è utilizzato in alcuni progetti industriali specifici o in iniziative di associazioni di organizzazioni commerciali e di altro tipo per aumentare l'efficienza della loro interazione.

Le banche negli Stati Uniti e nell'Europa occidentale hanno già realizzato il loro ruolo chiave nella diffusione della VIA e si sono rese conto dei vantaggi significativi che derivano da una più stretta interazione con partner aziendali e personali. OED aiuta le banche a fornire servizi ai clienti, soprattutto quelli piccoli, quelli che prima non potevano permettersi di usufruirne a causa del loro costo elevato.

L'ostacolo principale all'ampia diffusione di EOS è la varietà di rappresentazioni dei documenti durante lo scambio attraverso i canali di comunicazione. Per superare questo ostacolo, varie organizzazioni hanno sviluppato standard per la presentazione di documenti nei sistemi EOS per vari settori:

QDTI - General Trade Interchange (Europa, commercio internazionale);

MDSND - National Automated Clearing House Association (USA, National Association of Automated Clearing Houses);

TDCC - Comitato di coordinamento dei dati sui trasporti;

VICS - Voluntary Interindustry Communication Standard (Stati Uniti, Voluntary Interindustry Communication Standard);

WINS - Standard di rete di informazioni di magazzino rete informativa magazzini).

Nell'ottobre 1993, il gruppo internazionale UN/ECE ha pubblicato la prima versione dello standard EDIFACT. L'insieme sviluppato di regole di sintassi e di elementi di dati commerciali è stato formalizzato sotto forma di due standard ISO:

ISO 7372 - Trade Data Element Directory (Directory di elementi di dati commerciali);

ISO 9735 - EDIFACT - Regole di sintassi a livello di applicazione.

Un caso speciale di EOD sono i pagamenti elettronici: lo scambio di documenti finanziari tra clienti e banche, tra banche e altre organizzazioni finanziarie e commerciali.

L'essenza del concetto di pagamento elettronico risiede nel fatto che i messaggi inviati sulle linee di comunicazione, debitamente eseguiti e trasmessi, sono la base per l'esecuzione di una o più operazioni bancarie. In linea di principio, per eseguire queste operazioni non sono richiesti documenti cartacei (sebbene possano essere rilasciati). In altre parole, il messaggio inviato sulle linee di comunicazione porta l'informazione che il mittente ha effettuato alcune operazioni sul proprio conto, in particolare sul conto di corrispondenza della banca ricevente (che può essere il centro di compensazione), e che il destinatario deve effettuare il operazioni specificate nel messaggio. Sulla base di tale messaggio, puoi inviare o ricevere denaro, aprire un prestito, pagare un acquisto o un servizio ed eseguire qualsiasi altro operazione bancaria. Tali messaggi sono chiamati moneta elettronica e l'esecuzione di operazioni bancarie sulla base dell'invio o della ricezione di tali messaggi è chiamata pagamenti elettronici. Naturalmente, l'intero processo di esecuzione dei pagamenti elettronici richiede protezione affidabile. In caso contrario, la banca ei suoi clienti dovranno affrontare seri problemi.

I pagamenti elettronici sono utilizzati per transazioni interbancarie, commerciali e personali.

Gli accordi interbancari e commerciali vengono effettuati tra organizzazioni (persone giuridiche), quindi a volte vengono chiamati corporate. Gli insediamenti che coinvolgono singoli clienti sono chiamati personali.

La maggior parte dei principali furti nei sistemi bancari sono direttamente o indirettamente collegati ai sistemi di pagamento elettronico.

Sulla strada per la creazione di sistemi di pagamento elettronico, in particolare quelli globali, che coprono un gran numero di istituzioni finanziarie e dei loro clienti in diversi paesi, ci sono molti ostacoli. I principali sono:

1. Mancanza di standard uniformi per operazioni e servizi, che complica notevolmente la creazione di sistemi bancari unificati. Ogni grande banca cerca di creare la propria rete di ETO, il che aumenta i costi di funzionamento e manutenzione. I sistemi duplicati ne rendono difficile l'utilizzo, creando interferenze reciproche e limitando la capacità dei clienti.

2. La crescente mobilità della massa monetaria, che porta ad un aumento della possibilità di speculazione finanziaria, espande il flusso del "capitale errante". Questo denaro è in grado di cambiare in breve tempo la situazione del mercato, destabilizzandolo.

3. Guasti e guasti di errori hardware e software nell'attuazione dei regolamenti finanziari, che possono portare a gravi complicazioni per ulteriori regolamenti e perdita di fiducia nella banca da parte dei clienti, soprattutto a causa dello stretto intreccio di legami bancari (a tipo di "propagazione degli errori"). Allo stesso tempo, il ruolo e la responsabilità degli operatori e dell'amministrazione del sistema, che controllano direttamente il trattamento delle informazioni, aumentano in modo significativo.

Qualsiasi organizzazione che desideri diventare cliente di qualsiasi sistema di pagamento elettronico o organizzare il proprio sistema deve esserne consapevole.

Per funzionare in modo affidabile, un sistema di pagamento elettronico deve essere ben protetto.

Gli accordi commerciali vengono stipulati tra varie organizzazioni commerciali. Le banche partecipano a questi calcoli come intermediari quando trasferiscono denaro dal conto dell'organizzazione pagante al conto dell'organizzazione ricevente.

Il regolamento commerciale è fondamentale per il successo complessivo di un programma di pagamento elettronico. Il volume delle transazioni finanziarie di varie società costituisce solitamente una parte significativa del volume totale delle operazioni bancarie.

I tipi di transazioni commerciali variano notevolmente per le diverse organizzazioni, ma durante la loro implementazione vengono sempre elaborati due tipi di informazioni: messaggi di pagamento e informazioni ausiliarie (statistiche, riepiloghi, notifiche). Per gli istituti finanziari, ovviamente, le informazioni sui messaggi di pagamento sono di grande interesse: numeri di conto, importi, saldo, ecc. Per le organizzazioni di categoria, entrambi i tipi di informazioni sono ugualmente importanti: la prima fornisce un indizio sulla condizione finanziaria, la seconda aiuta nel processo decisionale e nello sviluppo delle politiche.

Gli insediamenti commerciali più comunemente usati sono dei seguenti due tipi:

* Deposito diretto.

Il significato di questo tipo di pagamento è che l'organizzazione incarica la banca di effettuare automaticamente determinati tipi di pagamenti per i propri dipendenti o clienti, utilizzando supporti magnetici pre-preparati o messaggi speciali. Le condizioni per l'esecuzione di tali calcoli sono concordate in anticipo (fonte di finanziamento, importo, ecc.). Sono utilizzati principalmente per pagamenti regolari (pagamenti di vari tipi di assicurazioni, rimborso di prestiti, stipendi, ecc.). In termini organizzativi, un deposito diretto è più conveniente rispetto, ad esempio, ai pagamenti tramite assegni.

Dal 1989, il numero di dipendenti che utilizza il deposito diretto è raddoppiato al 25% del totale. Più di 7 milioni di americani oggi ricevono salari sotto forma di deposito diretto. Per le banche, il deposito diretto offre i seguenti vantaggi:

Ridurre il volume delle attività associate all'elaborazione dei documenti cartacei e, di conseguenza, risparmiare importi significativi;

Aumento del numero di depositi, poiché il 100% del volume dei pagamenti deve essere effettuato in deposito.

Oltre alle banche, ne beneficiano anche i proprietari e i dipendenti; aumentare la convenienza e ridurre i costi.

* Calcoli utilizzando EOS.

I dati qui sono fatture, fatture, estratti conto dei componenti, ecc.

L'attuazione del SEE richiede l'attuazione della seguente serie di servizi di base:

posta elettronica X.400;

Trasferimento di file;

Comunicazione punto a punto;

Accesso alle banche dati in modalità on-line;

Cassetta postale;

Trasformazione degli standard di presentazione delle informazioni.

Esempi di sistemi attualmente esistenti di accordi commerciali che utilizzano EOS sono:

National Bank e Royal Bank (Canada) si mettono in contatto con i propri clienti e partner attraverso l'IBM Information Network;

Il servizio di pagamento automatizzato transcontinentale della Bank of Scotland (TAPS), fondato nel 1986, collega la Bank of Scotland con clienti e partner in 15 paesi attraverso banche corrispondenti e stanze di compensazione automatizzate.

I regolamenti interbancari elettronici sono principalmente di due tipi:

* Compensazione dei regolamenti utilizzando un potente sistema informatico di una banca intermediaria (banca di compensazione) e conti di corrispondenza delle banche che partecipano ai regolamenti con questa banca. Il sistema si basa sulla compensazione dei crediti e degli obblighi monetari reciproci delle persone giuridiche con il successivo trasferimento del saldo. La compensazione è ampiamente utilizzata anche nelle borse valori e nelle borse merci, dove la compensazione dei crediti reciproci dei partecipanti alle transazioni viene effettuata tramite una stanza di compensazione o uno speciale sistema di compensazione elettronica.

Gli accordi di compensazione interbancaria vengono effettuati tramite apposite stanze di compensazione, banche commerciali, tra filiali e filiali di una banca - attraverso la sede centrale. In un certo numero di paesi, le funzioni di camere di compensazione sono svolte dalle banche centrali. Le stanze di compensazione automatizzate (ACP) forniscono servizi per lo scambio di fondi tra istituzioni finanziarie. Le operazioni di pagamento sono sostanzialmente addebiti o accrediti. I membri del sistema ACP sono istituzioni finanziarie che sono membri dell'associazione ACP. L'Associazione è costituita al fine di sviluppare regole, procedure e standard per l'esecuzione di pagamenti elettronici all'interno di una regione geografica. Va notato che l'AKP non è altro che un meccanismo per il movimento di fondi e le informazioni di accompagnamento. Di per sé, non svolgono servizi di pagamento. Gli ACP sono stati creati per integrare i sistemi di trattamento dei documenti finanziari cartacei. Il primo ACP è apparso in California nel 1972, attualmente ci sono 48 ACP negli Stati Uniti. Nel 1978 è stata creata la National Automated Clearing House Association (NACHA), che unisce tutte le 48 reti ACP su base cooperativa.

Il volume e la natura delle operazioni sono in continua espansione. Gli ACP iniziano a eseguire accordi commerciali e operazioni di scambio elettronico di dati. Dopo tre anni di sforzi da parte di diverse banche e aziende, è stato creato il sistema CTP (Corporate Trade Payment), progettato per elaborare automaticamente crediti e addebiti. Secondo gli esperti, nel prossimo futuro continuerà la tendenza all'espansione delle funzioni dell'AKP.

* Liquidazioni dirette, in cui due banche comunicano direttamente tra loro attraverso i loro conti, eventualmente con la partecipazione di un terzo in un ruolo organizzativo o di supporto. Naturalmente, il volume delle transazioni reciproche dovrebbe essere abbastanza grande da giustificare i costi di organizzazione di un tale sistema di regolamento. Tipicamente, un tale sistema combina diverse banche, mentre ogni coppia può comunicare direttamente tra loro, aggirando gli intermediari. Tuttavia, in questo caso, si avverte la necessità di un centro di controllo che si occupi della protezione delle banche interagenti (distribuzione delle chiavi, gestione, controllo del funzionamento e registrazione degli eventi).

Esistono molti di questi sistemi nel mondo: da quelli piccoli, che collegano diverse banche o filiali, a quelli internazionali giganti, che collegano migliaia di partecipanti. Il sistema più noto di questa classe è SWIFT.

Di recente è apparso un terzo tipo di pagamento elettronico: l'elaborazione di assegni elettronici (troncamento di assegni elettronici), la cui essenza è interrompere il percorso di invio di un assegno cartaceo all'istituto finanziario in cui è stato presentato. Se necessario, la sua controparte elettronica "viaggia" ulteriormente sotto forma di un messaggio speciale. L'inoltro e il rimborso di un assegno elettronico viene effettuato utilizzando l'ACP.

Nel 1990, NACHA ha annunciato la prima fase di test di un programma sperimentale nazionale chiamato "Electronic Check Truncation". Il suo obiettivo è ridurre i costi di elaborazione dell'enorme quantità di assegni cartacei.

L'invio di denaro utilizzando un sistema di pagamento elettronico prevede i seguenti passaggi (a seconda delle condizioni specifiche e del sistema stesso, la procedura può variare):

1. Un determinato conto nel sistema della prima banca viene ridotto dell'importo richiesto.

2. Il conto di corrispondenza della seconda banca presso la prima è aumentato di pari importo.

3. Un messaggio viene inviato dalla prima banca alla seconda contenente informazioni sulle azioni eseguite (identificativi del conto, importo, data, condizioni, ecc.); allo stesso tempo, il messaggio inoltrato deve essere adeguatamente protetto da contraffazioni: cifrato, firmato digitalmente e con campi di controllo, ecc.

4. L'importo richiesto viene addebitato sul conto di corrispondenza della prima banca nella seconda.

5. Un determinato conto nella seconda banca viene aumentato dell'importo richiesto.

6. La seconda banca comunica alla prima banca le rettifiche di conto effettuate; anche questo messaggio deve essere protetto dalla contraffazione in modo analogo a quello di un messaggio di pagamento.

7. Il protocollo di scambio è fisso per entrambi gli abbonati e, possibilmente, per una terza parte (nel centro di controllo della rete) per evitare conflitti.

Potrebbero esserci intermediari sulla via del trasferimento dei messaggi: centri di compensazione, banche intermediarie nel trasferimento di informazioni, ecc. La principale difficoltà di tali calcoli è la fiducia nel proprio partner, ovvero ciascuno degli abbonati deve essere sicuro che il suo corrispondente eseguirà tutte le azioni necessarie.

Per espandere l'uso dei pagamenti elettronici, è in corso la standardizzazione della presentazione elettronica dei documenti finanziari. È stato avviato negli anni '70 come parte di due organizzazioni:

1) ANSI (American National Standard Institute) ha pubblicato ANSI X9.2-1080, (Interchange Message Specification for Debit and Credit Card Message Exchange Among Financial Institute). Nel 1988, uno standard simile è stato adottato dall'ISO e denominato ISO 8583 (Bank Card Originated Messages Interchange Message Specifications - Content for Financial Transactions);

2) SWIFT (Society for Worldwide Interbank Financial Telecommunications) ha sviluppato una serie di standard per i messaggi interbancari.

In conformità allo standard ISO 8583, un documento finanziario contiene una serie di elementi di dati (requisiti) situati in determinati campi di un messaggio o di un documento elettronico (una carta di credito elettronica, un messaggio X.400 o un documento in sintassi EDIFACT) . Ad ogni elemento di dati (ED) viene assegnato un proprio numero univoco. Il dato può essere sia obbligatorio (ovvero inserito in ogni messaggio di questo tipo) che facoltativo (può essere assente in alcuni messaggi).

La scala di bit determina la composizione del messaggio (quegli ED che sono presenti in esso). Se qualche cifra della scala di bit è impostata a uno, significa che nel messaggio è presente l'ED corrispondente. Grazie a questo metodo di codifica dei messaggi, la lunghezza totale del messaggio è ridotta, si ottiene flessibilità nella presentazione di messaggi con molti ED, ed è possibile includere nuovi ED e tipi di messaggio in un documento elettronico di struttura standard.

Esistono diversi modi di pagamenti interbancari elettronici. Considerane due: pagamento tramite assegno (pagamento dopo il servizio) e pagamento tramite lettera di credito (pagamento per il servizio previsto). Altre modalità, come il pagamento mediante ordini di pagamento o mandati di pagamento, hanno un'organizzazione simile.

Il pagamento tramite assegno si basa su un documento cartaceo o altro contenente l'identità del pagatore. Questo documento è la base per il trasferimento dell'importo specificato nell'assegno dal conto del proprietario al conto del mittente. Il pagamento tramite assegno prevede le seguenti fasi:

Ricezione di un assegno;

Presentazione di un assegno alla banca;

Richiesta di trasferimento dal conto dell'intestatario dell'assegno al conto dell'emittente;

Trasferimento di denaro;

Avviso di pagamento.

I principali svantaggi di tali pagamenti sono la necessità di un documento ausiliario (assegno), facile da falsificare, nonché il tempo significativo impiegato per effettuare un pagamento (fino a diversi giorni).

Pertanto, negli ultimi anni, è diventato più comune un tipo di pagamento come il pagamento tramite lettera di credito. Include i seguenti passaggi:

Notifica della banca da parte del cliente in merito alla fornitura di un prestito;

Notifica della banca del beneficiario in merito alla fornitura di un prestito e al trasferimento di denaro;

Notifica del destinatario circa la ricezione del prestito.

Questo sistema permette di effettuare pagamenti in tempi molto brevi. La notifica del prestito può essere inviata tramite posta (e-mail), dischetti, nastri magnetici.

Ciascuno dei suddetti tipi di pagamenti ha i suoi vantaggi e svantaggi. Gli assegni sono più convenienti per pagare piccoli importi, così come per pagamenti occasionali. In questi casi il ritardo nel pagamento è poco significativo e l'utilizzo del credito è inappropriato. Gli accordi con lettera di credito vengono solitamente utilizzati per pagamenti regolari e per importi significativi. In questi casi, l'assenza di un ritardo di compensazione consente di risparmiare molto tempo e denaro riducendo il periodo di rotazione. Uno svantaggio comune di questi due metodi è la necessità del costo di organizzare un sistema affidabile di pagamenti elettronici.

Popolare nella categoria: