Negli ultimi cinque anni, a guardare come si muove tutto il settore, il modo in cui gli italiani gestiscono le transazioni online pare sia mutato parecchio. Dal 2019 le cose non sono più lasciate al caso: regolamenti sempre più severi hanno costretto sia le aziende che i consumatori a un’attenzione costante.
La normativa italiana, intanto, costruisce una rete fatta di regole tecniche e pratiche dove entrano in gioco banche, e-commerce, piattaforme di servizi tra cui quelle dedicate all’intrattenimento sportivo e alle scommesse sportive, ambiti caratterizzati da un’elevata frequenza di transazioni legate a eventi e competizioni seguite in tempo reale, dove la protezione dei dati e dei pagamenti è particolarmente critica.
Secondo Banca d’Italia, nel 2023 oltre il 91% degli acquisti digitali sia stato processato su piattaforme certificate e che, sempre a detta delle fonti ufficiali, il ricorso a sistemi di autenticazione avanzata abbia contribuito a un calo delle frodi del 22% rispetto al 2021.
Autenticazione Forte del Cliente SCA
Sul fronte della sicurezza digitale, pochi dubbi: la Strong Customer Authentication, SCA, per gli addetti ai lavori, ha assunto un ruolo quasi di protagonista in Italia. Imposizione della PSD2, attiva dal settembre 2019, ha cambiato non poco il modo di autorizzare pagamenti online (forse ne avete avuto un assaggio anche voi, tra app della banca e richieste di doppio codice).
Almeno due elementi indipendenti per ogni transazione, e non si scappa: può trattarsi di una password nota solo all’utente, il possesso di un telefono o un’impronta digitale, magari pure la scansione facciale. Sembra ormai obbligatorio. Fra riconoscimenti biometrici e codici “usa e getta”, il caro vecchio OTP statico va ormai scomparendo.
ICT Security Magazine riporta che il 97% delle banche italiane aggiorna regolarmente i propri sistemi SCA per mantenersi in regola, poi, quanto siano tutti ugualmente efficienti, non è detto, e a quanto pare questo approccio stringente avrebbe ridotto in modo visibile il rischio di accessi non autorizzati. L’effetto è percepibile in particolare lì dove la SCA è integrata in tutti i passaggi: le truffe da phishing, per esempio, spesso si arrestano sul nascere.
Normative e conformità su pagamenti online e scommesse sportive
Parlando di transazioni online, la normativa italiana è tra le più restrittive in Europa. Il Decreto Legislativo 218/2017 recepisce la PSD2 e alza il livello di guardia su ogni pagamento digitale, dall’e-commerce alle piattaforme di intrattenimento, incluse le piattaforme di scommesse sportive online, che operano in un contesto fortemente regolamentato e direttamente collegato allo svolgimento di eventi sportivi nazionali e internazionali, sempre soggette a controlli specifici e a verifiche di autenticità per ogni login o movimento di denaro.
Ma oltre alla questione autenticazione, c’è di più: GDPR, PCI DSS e persino la tokenizzazione delle carte non sono più semplici buone pratiche, ma passaggi obbligati, tanto per l’e-commerce “big”, quanto per i piccoli negozi online. Può capitare che scatti l’obbligo, e c’è poco da fare, di segnalare violazioni dei dati entro 72 ore al Garante Privacy; al tempo stesso, se si affaccia una transazione sospetta, le aziende dovrebbero (il condizionale qui ci sta tutto) predisporre il rimborso entro 24 ore dalla richiesta. Questo sistema non tutela solo chi compra ogni tanto online, ma anche chi ha fatto del digitale una routine quotidiana, offrendo in teoria una robusta cornice di tutela attorno a ogni singolo pagamento.
Tecnologia e protocolli per la sicurezza delle transazioni
Di solito non ci si pensa, ma dietro ogni pagamento protetto lavorano tecnologie parecchio sofisticate. Un acquisto su portale, per poter “passare”, richiede oggi certificazioni SSL e il famigerato 3D Secure 2.0 pronto all’uso su tutte le carte. C’è chi si è affidato alle AI più moderne, e qui si apre un mondo, per tenere d’occhio in tempo reale anomalie potenzialmente sospette: nel 2023, almeno stando a ICT Security Magazine, più dell’83% delle banche italiane utilizzava sistemi di machine learning per intercettare operazioni non proprio canoniche.
A ben vedere, la difesa non si esaurisce con i software: logging continuo, reti suddivise con attenzione e una rigida politica sulla quantità dei dati trattati, costruiscono una serie di barriere aggiuntive. E sul piano pratico, l’elemento umano non passa affatto in secondo piano. Corsi di aggiornamento al personale, test periodici, perfino simulazioni di attacco, tutto serve, o almeno così sembra, a mantenere alte le difese dei sistemi finanziari.
Pagamenti fisici e mobile nella nuova era digitale
Non basta mettere al sicuro il digitale, perché anche il “mondo reale”, se così si può chiamare, chiede le sue contromisure. Ogni terminale POS, che sia fisso o mobile, deve essere certificato PCI PTS e rispondere a requisiti di anti-manomissione e tracciabilità. Sistemi Mobile POS e Soft POS adottano la crittografia end-to-end per ogni singola transazione e, nel caso delle soluzioni più recenti, permettono anche l’identificazione biometrica al momento del pagamento.
Il fatto curioso è che spesso gli aggiornamenti arrivano “in automatico”, coprendo le falle appena vengono scoperte (o almeno, queste sono le intenzioni). Poi ci sono i dettagli: aree fisiche segmentate per contenere eventuali danni, ricevute custodite con attenzione maniacale, limiti ben precisi sulle transazioni contactless senza PIN. Tutto sommato, si direbbe che la strategia italiana sia quella di moltiplicare le difese, anche “oltre lo schermo”.
Sicurezza digitale e responsabilità: la centralità dell’utente
Non si può, alla fine, scaricare tutta la responsabilità sui sistemi e le leggi. L’utente, che effettua operazioni digitali oppure accede ai servizi di scommesse sportive, resta il primo baluardo contro la frode. A conti fatti, sono le abitudini di chi naviga, controllare con un minimo di attenzione dove si inseriscono i dati, sospettare davanti a richieste fuori dal comune, cambiare password di tanto in tanto e non dimenticarsi di dare un’occhiata ai movimenti del conto, a fare la differenza.
Pare che, secondo Banca d’Italia, il 64% dei casi di frode emersi negli ultimi dodici mesi abbia coinvolto persone che si sono lasciate cogliere di sorpresa dal phishing. Qui, a ben vedere, si gioca la partita forse più complessa: trovare un equilibrio reale tra sistemi sempre più sicuri e quel pizzico di consapevolezza personale che, se cresce di pari passo, potrebbe davvero cambiare le cose.
