Partito Bankpass Web, e-commerce proprietario

ABI, CartaSì ed istituti convenzionati festeggiano il varo di un network di e-commerce pensato per superare le diffidenze di chi non vuole usare la carta di credito online. In ballo anche il Bancomat. Tutti i dettagli

Partito Bankpass Web, e-commerce proprietarioRoma - Diventa operativo in queste ore il progettone "Bankpass Web" con cui l'Associazione Bancaria Italiana (ABI), le aziende delle carte di credito, CartaSì in testa, e un pugno di istituti di credito intendono dare vita ad un network proprietario di commercio elettronico. Un network che dovrà essere capace di superare le tradizionali diffidenze del consumatore elettronico che in Italia e altrove è ancora restìo ad utilizzare in rete la propria carta di credito.

Bankpass Web, di cui si era già parlato nei mesi scorsi, può contare sul fatto che gli esercizi commerciali in rete non potranno facilmente rinunciare ad entrare in un network la cui affidabilità e sicurezza sarà ampiamente pubblicizzata da importanti nomi del credito nostrano. Tutto quello che viene richiesto all'utente aspirante cyber consumatore è del resto di iscriversi al servizio online.

L'idea centrale del sistema è quella di consentire di pagare online con carta di credito e persino pagoBancomat senza, in realtà, utilizzarli. In un wallet riservato, infatti, l'utente inserisce le informazioni sui propri strumenti di pagamento. In questo modo ottiene i codici del wallet che vengono interpretati dal sistema transattivo: questo significa che al momento dell'acquisto presso un negozio online convenzionato non occorrerà inserire i dati della carta ma soltanto i propri "codici wallet".
Per creare il proprio wallet, che può comprendere al momento solo card Visa, MasterCard e pagoBancomat, è necessario rivolgersi agli sportelli delle banche che hanno già aderito al network, ovvero: San Paolo IMI, Banco di Napoli, Rolo Banca 1473, Credito Italiano, Banca del Piemonte, Cariverona, Caritro, Cassamarca e CariTrieste.

Stando ai promotori del network, sarebbero già una 40ina gli shop elettronici aderenti al servizio e capaci di accettare pagamenti via "wallet". I negozi intenzionati a servirsi del nuovo sistema, entrando nel network dovranno aderire alle condizioni contrattuali proposte dai medesimi istituti di credito.

"Bankpass Web - ha affermato il direttore generale dell'ABI Giuseppe Zadra - per le sue caratteristiche è destinato a diventare lo standard per il pagamento degli acquisti su Internet e, in prossimo futuro, delle transazioni via telefono cellulare. Per la prima volta, altresì, apre le porte del commercio elettronico agli oltre 20 milioni di possessori di pagoBancomat".

L'ambizione dei promotori del network è quella di sfondare nel settore e di riuscire a convogliare presso i propri server la bellezza di un milione di utenti-consumatori e 2mila negozi convenzionati entro la fine del 2003.
37 Commenti alla Notizia Partito Bankpass Web, e-commerce proprietario
Ordina
  • come da titolo.

    ma come e' possibile ??
    non+autenticato
  • ho provato ora con IE4, quindi mi sa' che e' un problema tuoSorride
    non+autenticato
  • ..e mi funzionava
    non+autenticato
  • Chiesto alla mia banca: 22 euro annui.
    Non e' tanto ma, visto che per loro e' sempre un guadagno, potevano anche farlo gratuitamente.
    non+autenticato
  • Se li possono scordare i miei 22 Euro - sempre usato la Carta di Credito online senza problemi - in Italia e all'estero.
    Max

    non+autenticato
  • io mi sono icritto a Bankpassweb per altri motivi che ora vi espongo

    avevo semplicemente bisogno di fare acquisti negli USA, e non ho una carta di credito. Dopo un paio di anni ho trovato finalmente l'acqua calda, ovvero una banca che mi da una carta di credito ricaricabile.

    quello che devo fare è:
    1. andare alla mia banca e ricaricare la mia carta, in base a quanto ho intenzione di spendere
    2. se volgio fare acquisti sui siti convenzionati vado e faccio, altrimenti vado sul sito bankpass, mi creo il mio pan virtuale e vado a fare acquisti su Amazon o chennesoio...
    3. ... basta!

    note:
    - al sito bankpass io ci accedo con Netscape 7 (credo che non cambi molto da Mozilla per la compatibilità) e con IE6 no (motivi di criptazione a 128 bit)
    - la sicurezza? beh, se mi prendono il numero di carta di credito o i miei username e password perdo solo i soldi che ho ricaricato (se me ne accorgo in tempo neanche quelli)

    sperto di essere stato utile
    >gk<
    non+autenticato



  • Quanto costa il servizio, per favore?
    non+autenticato


  • - Scritto da: Luca
    >
    >
    >
    > Quanto costa il servizio, per favore?

    Leggi il mio Post: Pero' costa
    non+autenticato
  • Sono stato ora sul sito web del servizio BANKPASS, e con mia meraviglia ho notato che per autenticarsi al servizio di gestione del proprio WALLET si usano le solite userid e password statiche (stringhe fisse e più o meno banali)!!! Ma è possibile che le banche, per primis, non abbiano ancora capito che vuol dire tirar su' un sistema "sicuro"? E' stra-risaputo, nella comunità ICT, che l'autenticazione/identificazione con userid e password statiche è considerata un'autenticazione DEBOLE!!! Mi spiego meglio, l'autenticazione debole con password statiche non garantisce l'identità dell'interlocutore perchè è relativamente "facile" scoprire queste stringhe di autenticazione statiche (Per esempio con attacchi a forza bruta fatti con programmi che provano ad autenticarsi al servizio web con più userid/password generate dall'applicazione d'attacco). Fortunatamente sul mercato esistono altri sistemi d'autenticazione che sono considerati più "forti", il principio base è: l'autenticazione è forte se si basa su sistemi misti che permettono all'utente di autenticarsi per qualcosa che sa' (Userid o parolechiavi) + qualcosa che ha (Certificati X.509 con autenticazione SSLv3, Token - generatore di password dinamiche, esistono token per telefonini cellulari che sfruttano gli SMS, altri...) + qualcosa che uno è (Sistemi biometrici). Spero di essermi spiegato e non essere stato noiso!
    Comunque una cosa positiva sul servizio c'è...almeno per le transazioni HTTP viene usato un canale criptato attraverso il protocollo SSL e questo garantisce una certa riservatezza nelle transazioni!
    Ma ripeto, il problema principale è a monte, voi usereste un sistema che movimenta i vostri soldi che passa per un sistema di autenticazione debole, che non garantisce la vs. identità e che è "facilmente" bucabile?
    A voi la risposta! Sorride

    Un salutone a tutti, TANIS.

    PS: La sicurezza non è un optional nei servizi, deve esserne parte integrante!
    non+autenticato
  • Boh?
    Spero che traccino l'IP e quindi possano prevenire bruteforce attack...

    Scusa, tu che cosa useresti?

    L'unica soluzione che vedo e' l'uso di password "non riutilizzabili" ma sono cosi scomode e cosi poco "spiegabili" che il servizio morirebbe "per non utilizzo"

    La mia banca mi obbigava ad un sistema simile per l'accesso telefonico al mio conto...
    2 ora di tabelline, incroci, domande, pigia il tasto, dopo il bip...

    non+autenticato
  • Si...i sistemi di autenticazione forte possono essere "scomodi" da usare, ma bisogna vedere qual'è il valore dell'ASSET (il bene) da proteggere, e forse i nostri sudati soldi e guadagni hanno un gran valore per noi.
    Un esempio...sarebbe bello proteggere le nostre case dove abitiamo senza avere tante chiavi pesanti che ci portiamo sempre appresso e senza sistemi d'allarme costosi da attivare e disattivare in continuazione, ma ci siamo abituati a gestire il rischio furto in casa adottanto queste contromisure...insomma la sicurezza è anche una questione di abitudine e cultura! Quindi perchè non usare sistemi di autenticazione più "forti" e validi per garantire la nostra sicurezza e proteggere i nostri bene dai rischi che esistono nella rete?
    Comunque...ormai esistono, grazie all'evoluzione tecnologica, soluzioni di autenticazione forte che non sono così scomodi da utilizzare, due esempi:

    1. Autenticazione/crittografia Ibrida (simmetrica + Asimmetrica) tramite certificati digitali X.509, che possono essere generati da ogni utente mentre si iscrive al servizio di BANKPASS.

    2. Generatore di password dinamiche (one time password - password che valgono una volta sola e che cambiano in continuazione), la password dinamica puo' essere mandata, previa conoscenza di un PIN a 4 cifre, su un cellulare via SMS del cliente BANKPASS (e la distribuzione dei cellulari in italia è estesissima!).

    Quindi come si puo' vedere i sistemi per innalzare i livelli di sicurezza di un servizio esistono...ci vogliono solo le competenze tecniche e culturali per metterle in piedi bene.

    Scusate se mi sono dilungato, ma spero di essere stato utile alla discussione su questa bellissima community di PI, che è un validissimo strumento di condivisione e distribuzione delle conoscenze e della cultura ICT.

    Ciao,

    TANIS.
    non+autenticato
  • tutto giusto, tranne che l'ipotesi cellulare è assolutamente fuori luogo (oltre che per la bassa sicurezza del mezzo), perché costringe l'utente ad un ulteriore medium. Non puoi pensare di costringere l'utente a usare due tecnologie, due strumenti di comunicazione e due media. Nessun ufficio marketing ragionevole permetterebbe lo sviluppo di un servizo del genere.

    In più le one time password possono essere generate e consegnate (come è d'uso) ad ogni utilizzo del servizio per il successivo.

    Comunque uno dei modi più semplici ed efficaci lo applica il monte paschi: installazione tramite accesso in SSL di un certificato crittografico la cui one time password ti è stata assegnata dalla banca e diventa inutile dopo l'utilizzo. Al primo accesso con il certificato e cod. utente/password (un'altra sempre assegnata dalla banca) sei costretto a cambiarla. C'è poi una password dispositiva (per le operazioni) sempre assegnata dalla banca e che devi cambiare al primo utilizzo.

    In più sei costretto a ruotare le password mensilmente.
    Io lo trovo semplice e funzionale. Hanno anche un servizio assistenza con numero verde che ti guida se sei un po' mongolo, ma quando ti trovi a farlo scopri che ce la farebbe pure tuo nonno.Sorride

    paolo
    non+autenticato
  • molto molto interessante....
    Il sistema del montePaschi non lo conoscevo...
    si, mi sembra la soluzione piu "tecnica".
    Certo, però, che non sembra la piu "semplice" in termini di marketing.

    Bisogna considerare che questo tipo di servizio sembra "tagliato" per un'utenza poco poco avezza all'uso della CC su internet.
    Un'utenza che non ha un conto on-line, che normalmente non compra su internet "-perche ti rubano in numero".

    A queste persone direi che e' già molto molto complicato spiegare il funzionamento generale del servizio, figurarsi certificati, passowrd da modificare etc etc..

    Via SMS....
    Boh?
    Mi pare piu digeribile di installare un certificato...

    Ehhhh....
    Una volta ho visto un cosino tipo euroconvertitore che ogni minuto genera una password.
    Sul server, ogni minuto, vale solo quella password.
    Questi sono sistemi belli!!!
    Solo che a quel punto va bene anche l'SMS!! Sorride))
    non+autenticato
  • Ah, concordo!!!!
    Quando non si parla di Windows e Linux questo e' un posto bellissimo!!!
    non+autenticato
  • Si, il sistema di autenticazione ed identificazione basato sull'uso dei certificati, come hanno poche banche, è ottimo ed è forse il migliore...anche se un sistema del genere non è sempre facile da mettere in piedi perchè ci si deve dotare di un'ottima un'ottima struttura tecnica ed organizzativa (quindi costi alti) per gestire il "ciclo di vita" dei certificati (una PKI insomma).

    Mentre, e vi parlo per esperienze fatte direttamente, la soluzione con sistemi di Password dinamiche (one time password) rilasciate attraverso l'uso degli SMS su Cellulari hanno i seguenti vantaggi:
    1. Costi più bassi per l'implementazione del sistema,
    2. Non c'è bisogno di dotarsi di token hardware (tipo piccole simil calcolatrici), perchè si sfruttano i normali telefonini cellulari che in italia coprono praticamente l'intera popolazione o quasi.
    3. Il sistema funziona benissimo ed assicura un elevato grado sulla certezza dell'identità dell'interlocutore, perchè:
    3.a Ogni SIM nel cellulare è unica,
    3.b Di solito solo il possessore del cellulare conosce il PIN per attivare la SIM,
    3.c Anche se il mezzo trasmissimo (segnali via etere) non è protetto ed è in chiaro, le password sono dinamiche, quindi cambiano sempre dopo ogni utilizzo! Inoltre l'utente del cellulare deve conoscere un PIN a MEMORIA d'appendere alla password dinamica generata e poi usarla per l'autenticazione web.
    3.d per spiegarmi meglio ho trovato un'immagine che mostra bene l'operatività di un sistema di password dinamiche spedite via SMS sui cellulari: http://www.geocities.com/tanis_mezzelfo/images/sa_....

    Secondo me il sistema di password dinamiche via SMS è uno dei buoni e nuovi sistemi per garantire l'identificazione sicura in un'applicazione web come per esempio la BANKPASS di cui stiamo discutendo. Certo è un'idea nuova ed innovativa ma penso che potrebbe funzionare perché garantisce la protezione di un ns. bene (i soldi guadagnati con il lavoro)...e poi a livello marketing sarebbe un gran trampolino di lancio per una azienda che puo' dire di offrire un servizio "SICURO", non credete?

    Spero di essere stato utile, ciao

    TANIS.
    non+autenticato
  • Nella demo, il form per la generazione del codice virtuale mostra come valuta predefinita (e non modificabile) l'euro: mi domando quindi come sia possibile pagare su siti con altre valute, dato che il tasso di cambio praticato dalle emittenti di carte varia continuamente, ed è quindi impossibile sapere esattamente l'importo in euro che sarà addebitato.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)