Sicurezza informatica e protezione della Proprietà Intellettuale

4.2.1 Come può un’azienda garantire la sicurezza durante le transazioni internazionali?

La sicurezza è fondamentale per qualsiasi attività online, e l’e-commerce è un ambiente specifico dove viene condivisa e memorizzata un’enorme quantità di dati. Tuttavia, non si tratta solo di mettere in sicurezza i dati aziendali, ma anche di proteggere i dati sensibili dei clienti, consentendo una navigazione sicura e pagamenti sicuri, che sono solo alcuni esempi. Quando si considera l’internazionalizzazione, potrebbero essere necessarie ulteriori misure, che saranno anche collegate alle regole e alle condizioni dei mercati a cui un’azienda si rivolgerà.

Per qualsiasi business che intenda iniziare a vendere online, le misure di sicurezza sono fondamentali. Qualsiasi informazione che va online è incline al cyberattack. Anche se un’azienda può introdurre nuove misure una volta che un sistema viene attaccato, che diventeranno efficaci da quel momento in poi, i dati precedentemente memorizzati saranno comunque esposti a un rischio. Per questo motivo l’implementazione di misure di sicurezza è una necessità, che dovrebbe comportare anche misure di controllo regolari e rigorose, tra cui aggiornamenti regolari del software e dei browser per essere in grado di rilevare eventuali attacchi informatici prima che causino danni.

La sicurezza online è spesso associata ai pagamenti online, come in effetti è in molti casi. A questo proposito, la trasmissione criptata (codificata) dei dati tra il consumatore e il venditore, in particolare dei dati della carta di credito, è un requisito indispensabile. Ciò dovrebbe includere anche la possibilità di confermare sia chi è il venditore che chi è l’acquirente. Tuttavia, prima di fornire pagamenti online ai clienti, ci sono altre misure da attuare. Queste iniziano con la messa in sicurezza della(e) rete(e) aziendale(i), in particolare la messa in sicurezza del server da attacchi di terzi, sia dall’esterno (Internet) che dall’interno (LAN), e la messa in sicurezza del server da persone non autorizzate che accedono ai dati del cliente senza il loro consenso. Altre misure di sicurezza di base sono i certificati SSL e i sigilli di sicurezza.

Un certificato SSL collega il nome del dominio, il nome del server o il nome dell’host con l’identità dell’organizzazione (ad es. il nome dell’azienda) e la sua ubicazione. È il primo passo per documentare che un sito di e-commerce è protetto. Lo scopo della sua implementazione è quello di rendere sicure le connessioni da un server web a un browser, in particolare per proteggere le transazioni con carta di credito, il trasferimento dei dati, i login e la navigazione nei social media. Un sito e-commerce che dispone di un certificato SSL avrà un lucchetto o una barra verde accanto al protocollo HTTPS sulla barra degli indirizzi, precedentemente http (‘s‘ in https sta per “secure”).

I sigilli di sicurezza (noti anche come sigilli di fiducia) documentano l’adesione di un e-shop a una politica sulla privacy, quando è stata effettuata l’ultima scansione di sicurezza (cioè per malware o virus) e se il sito web è sicuro. Esistono due tipi di sigilli di sicurezza: la verifica del server e la verifica del sito. Il primo verifica il server di hosting per l’eliminazione di qualsiasi potenziale pericolo. Il secondo protegge gli utenti dall’inserimento di script indesiderati nelle pagine visualizzate (cross site scripting) e dalla manomissione dei dati degli utenti, che possono annullare le transazioni o la distruzione dei dati (SQL injection). Un sito e-commerce che ha un sigillo di fiducia avrà un badge o un messaggio “secured” / “verified” (ad esempio Norton Secured) sulla sua pagina, ma anche in molti casi sulla barra degli indirizzi, e la sua legittimità può essere verificata cliccando su questa icona per andare alla pagina che verifica l’autenticità di quel sigillo. Un’altra indicazione che il sito è protetto è il nome verde del “protector” nella barra degli indirizzi del browser.

I pagamenti online sono particolarmente vulnerabili agli attacchi informatici e alle frodi e il problema continuerà ad aumentare a causa della crescente popolarità dello shopping online e mobile. I criminali informatici rubano informazioni sensibili e le transazioni con carta non presente (CNP) sono un enorme bersaglio per loro. I consumatori preferiscono utilizzare carte di credito (o carte in generale) per le transazioni online. Secondo le stime della Banca centrale europea, le transazioni CNP rappresentano oltre il 60% delle frodi con carta. Altri esempi comuni di frode online nel commercio elettronico includono:

Merchant Identity Fraud: quando un criminale informatico apre un conto commerciale simile a quello di un’azienda legittima, seguito da addebiti su carte di credito rubate prima che il vero titolare della carta si renda conto dell’accaduto.

Furto di carta: quando un truffatore ottiene informazioni sulla carta di credito che possono essere utilizzate per effettuare un acquisto, come il numero della carta, la data di scadenza e CVV/CVC.

Furto di identità del cliente: quando un cyber-criminale ottiene i dettagli chiave delle informazioni di identificazione personale che vengono poi utilizzate per effettuare un acquisto.

Test della carta: quando un truffatore utilizza carte rubate per effettuare frequenti acquisti di basso valore.

Intercettazione del pacchetto: quando un truffatore utilizza una carta rubata per acquistare oggetti fisici e poi intercetta o reindirizza il pacchetto durante la consegna.

Phishing: quando un cyber-criminale cerca di acquisire dati sensibili, come nome utente, password, dettagli della carta di credito ecc. relativi a e-mail o siti web.

Falsa richiesta di rimborso: quando un (falso) titolare di carta di credito deposita un chargeback invece di tentare di ottenere un rimborso, quindi un cliente (falso) vuole ottenere il rimborso per un acquisto legittimo.

Reindirizzamento dannoso: quando un criminale informatico reindirizza verso un sito infetto.

Pagejacking: quando i criminali informatici attaccano siti web e reindirizzano i clienti verso pagine non attendibili.

Altri attacchi informatici che possono essere più facili da individuare ed eliminare sono i seguenti:

Malvertising: quando si diffondono campagne pubblicitarie false (caratterizzate da errori di ortografia, prodotti non corretti, ecc. )

Pop up sospetti: quando appaiono messaggi falsi sullo schermo, scaricando malware sul computer una volta cliccati.

Defacement: quando un cyber-criminale sostituisce il contenuto di un sito con il suo nome, logo e/o immagini ideologiche.

Tra le misure aggiuntive necessarie per la protezione contro i tipi di frode sopra menzionati e per garantire la sicurezza delle transazioni, vi è la Certificazione PCI DSS (Payment Card Industry Data Security Standard), una misura di sicurezza che è stata creata per aumentare il livello di sicurezza per gli utenti di carte di credito e ridurre le frodi con carte di credito; l’Address Verification Service (AVS) per verificare se l’acquirente è il proprietario della carta attraverso la verifica dell’indirizzo di fatturazione del titolare della carta, il Card Verification Value (CVV), noto anche come Card Security Code (CSC) per verificare che l’acquirente sia in possesso della carta (gli ultimi due si applicano solo alle transazioni con carta di credito e l’AVS non si applica a tutti i paesi.) 3D Secure è un livello di sicurezza aggiuntivo per le transazioni online con carta di credito e di debito che aggiunge una fase di autenticazione per i clienti che effettuano acquisti online.

Inoltre, il tracciamento di indirizzi IP, numeri di carta e altri elementi che possono essere associati a transazioni che sembrano essere fraudolente, sono importanti misure di sicurezza.

Gli e-business dovrebbero anche assicurarsi di fornire informazioni sui tassi di cambio delle valute internazionali e che tutte le informazioni siano fornite nella lingua parlata dal mercato di destinazione. A seconda del paese di destinazione, possono essere necessarie diverse misure di sicurezza e la decisione se un’azienda decide di attuarle o meno avrà anche un impatto sulla capacità dell’azienda di raggiungere un nuovo mercato.

Oltre alle soluzioni di base per la protezione dalle frodi menzionate in precedenza, sul mercato esistono anche strumenti più avanzati, ognuno dei quali fornisce una suite di controlli di prevenzione e rilevamento delle frodi completamente integrati prima dell’elaborazione di una transazione o di una richiesta di verifica. Dovrebbero essere scelti in base al tipo di sito di e-commerce, alle dimensioni dell’azienda, al numero di clienti e al potenziale di raggiungere nuovi mercati.

4.2.2 Protezione I.P. e GDPR

La Proprietà Intellettuale (PI) si riferisce a vari aspetti della creatività nella mente di individui e gruppi ed è protetta dalla legge. È anche la proprietà di un particolare prodotto o servizio, che lo rende una componente importante del commercio elettronico, in cui vengono condivise descrizioni di prodotti/servizi, immagini, video o altri dati. Poiché il commercio su Internet deve essere protetto, l’utilizzo di sistemi di sicurezza tecnologici e le leggi sulla proprietà intellettuale devono essere affrontate allo stesso modo, altrimenti la proprietà intellettuale può essere rubata. Esempi di Proprietà Intellettuale sono brevetti, marchi, diritti d’autore e segreti commerciali. L’e-commerce e le aziende online si basano su licenze di prodotti o brevetti, anche i marchi, che se non sono protetti possono causare danni all’azienda. Pertanto, la proprietà intellettuale è strettamente connessa con qualsiasi dato sensibile ed alla sua sicurezza disciplinata dal GDPR.

GDPR è l’acronimo di General Data Protection Regulation (regolamento generale sulla protezione dei dati), in base al quale la raccolta dei dati personali è regolata dal consenso del consumatore che accetta che i suoi dati siano raccolti e conservati. Ciò significa in generale che non è possibile raccogliere, memorizzare e utilizzare i dati senza il consenso del cliente. Il regolamento generale sulla protezione dei dati (GDPR), del 14 aprile 2016, adottato il 25 maggio 2018, è stato concepito per proteggere i cittadini dell’UE. Il regolamento introduce limitazioni sia alla raccolta che all’uso dei dati, spiega la protezione dei dati e la privacy dei dati e limita l’uso dei dati senza alienazione del cliente.

La protezione dei dati personali e dei dati sensibili è obbligatoria, così come la distinzione tra di essi, in quanto possono essere richiesti diversi livelli di protezione. I dati personali, oltre a nomi, indirizzi o coordinate bancarie, sono cookies e indirizzi IP e i dati biometrici saranno classificati come dati sensibili. Un sito di e-commerce entrerà in contatto con un’enorme quantità di dati personali e sensibili, pertanto è necessario introdurre misure di sicurezza fin dal momento in cui un’azienda ha un visitatore sulla pagina web (soprattutto se il sito utilizza i cookie, ha già raccolto dati dal visitatore, o quando si iscrive ad una e-newsletter) e durante la loro conversione a diventare cliente (creazione di un account, effettuare un acquisto, inserire i dati). In ogni caso, le aziende sono obbligate a spiegare ai clienti perché chiedono i loro dati e che sono responsabili della protezione dei dati dei clienti. Queste informazioni devono anche essere disponibili per i clienti in qualsiasi momento (ad esempio nell’informativa sulla privacy o in qualsiasi altro punto del sito web che sia facile da trovare).

La digitalizzazione facilita la raccolta dei dati, ma con l’introduzione del GDPR la quantità di dati raccolti diminuisce notevolmente, poiché i clienti sono più attenti alle informazioni che condividono online. Le aziende stanno anche cominciando a capire che non hanno bisogno di raccogliere così tanti dati dai clienti, oltre a costruire la fiducia di quei clienti che pensano che le aziende stiano approfittando dei loro dati e non necessariamente li stiano proteggendo. Nel commercio elettronico, la raccolta e l’archiviazione dei dati non è necessaria per completare un ordine, ma può essere vitale per altre attività, ad esempio per analizzare il comportamento online dei consumatori o per l’abbonamento a una e-newsletter. In ogni caso, il consumatore deve sempre confermare il proprio consenso alla raccolta dei dati da parte del sito web/fornitore di e-commerce, che si applica ai sensi del GDPR.

Sostenere la sicurezza dell’e-commerce e garantire le attività online dei consumatori, e quindi la tutela dei loro diritti online, è la Strategia del Mercato Unico Digitale dell’UE (lanciata nel maggio 2015). Le principali proposte di questa strategia comprendono, tra l’altro, i servizi di pagamento e il divieto di geoblocking[1]. In termini di pagamento, la direttiva sui servizi di pagamento (regolamento (UE) 2015/2366) è stata istituita per aumentare i diritti dei consumatori, garantire pagamenti sicuri e più rapidi, descrivere i diritti di rimborso, fornire informazioni chiare sui metodi di pagamento e promuovere i pagamenti mobili. In risposta al geoblocking, il Regolamento 2018/302 del 28 febbraio 2018, adottato il 3 dicembre 2018, pone fine al geoblocking, facilitando la facilità delle attività di e-commerce (vendita e acquisto al di fuori del Paese di residenza) e aumentando le vendite all’interno dell’UE. Il geoblocking ha imposto limitazioni non solo ai consumatori e alle imprese, ma anche alle economie. Inoltre, i consumatori hanno ricevuto un’ulteriore protezione nell’aprile 2018 grazie alle proposte di un New Deal for Consumers che obbliga i mercati online a informare i consumatori se stanno acquistando da un commerciante o da un individuo, se il risultato della loro ricerca è prepagato da un commerciante e a quali condizioni, oltre a consentire ai consumatori di annullare un contratto di acquisto di servizi digitali entro 14 giorni.

Si prevede che nel gennaio 2021 entreranno in vigore nuove norme IVA sul commercio online, che semplificheranno le norme IVA per le vendite di beni online e combatteranno anche le frodi fiscali. L’UE sta introducendo regolarmente nuove norme per la tutela dei diritti dei consumatori online e per migliorare le prestazioni del commercio elettronico. Maggiori informazioni a questo proposito sono disponibili sulle pagine della Commissione europea (European Commission Shaping Europe’s digital future policies pages).

[1] E’una tecnologia che limita l’accesso ai contenuti Internet in base alla posizione geografica dell’utente