IV
SOMMARIO
La tecnologia ha influito e continuerà sempre piø a farlo, in tutte le attività
dell’uomo.
Anche gli strumenti di pagamento sono stati coinvolti in questo processo evolutivo,
infatti hanno preso vita nuove forme e servizi ad essi collegati. Le monete metalliche
sono state affiancate dalla carta moneta, poi sono nati assegni, pagherò cambiari,
cambiale tratta e via via bancomat, carte di credito e carte di debito.
Con la nascita dell’Unione Europea, le nuove banconote e le monete sono state
realizzate con le piø moderne tecniche anti contraffazione, le carte di debito e di credito
ultimamente sono state dotate di chip, per evitarne la clonazione, i pagamenti on line
hanno svariati servizi di sicurezza, un esempio su tutti PayPal, ma l’assegno?
Questo titolo di credito, al contrario di altri, è sopravvissuto al trascorrere del tempo
ma, di fatto, non si è pressochØ rinnovato. Il presente progetto di tesi, nasce dall’idea
che anche questo strumento di pagamento debba e possa evolvere, quindi viene spiegato
quale percorso è stato scelto per ottenerne un profondo rinnovamento.
Il titolo dell’elaborato, sottolinea come l’ottenimento dello scopo proposto, sia
raggiunto con l’applicazione di una serie di procedure, abbinate all’uso di software
dedicati che incorporano tecniche crittografiche.
Si sono previste, per ogni aspetto critico, piø soluzioni e i risultati conseguiti
dimostrano che l’applicazione pratica del progetto è efficace e spesso efficiente.
V
INTRODUZIONE
Il Security Protocol Cheque (SPC), nasce da un'originale idea della società
Rototype S.p.A. La collaborazione tra l'Università degli Studi di Milano, nella persona
del Prof. Ernesto Damiani, e la Rototype S.p.A. ha reso possibile lo sviluppo di un
progetto concreto, cui hanno contribuito con il proprio lavoro i tesisti Valerio Coviello,
Michelangelo Formigari e Paolo Sala.
La finalità ricercata è quella di rendere l'assegno, bancario e circolare, protetto dalle
principali tipologie di frodi, ricorrendo a moderni strumenti software abbinati a tecniche
crittografiche.
In aggiunta alle caratteristiche di sicurezza, quali autenticità del titolo di credito e
integrità dei dati in esso contenuti, si prevede un servizio opzionale di check amount,
ovvero di conferma della copertura economica dell'assegno.
Si è voluto “ringiovanire” un mezzo di pagamento rimasto immutato per decenni,
con il supporto di moderni strumenti software abbinati a tecniche crittografiche.
Questo restyling, anche grafico, è il prodotto di numerosi test e ricerche che hanno
coinvolto non solo i tesisti ma anche professionisti del settore bancario.
Attraverso tre tesi si è pienamente esplicitato il Security Protocol Cheque:
all’interno di questa prima esposizione, ci si è occupati di studiare e dimostrare quale
fosse la miglior soluzione per ottenere e rappresentare autenticità e integrità degli
elementi statici dell'assegno (lato banca).
La seconda, si occupa di sviluppare un’applicazione (Android) capace di interagire
con l’assegno per verificare, non solo il risultato ottenuto nella prima tesi, ma anche per
generare codici utili al controllo della copertura dell'assegno (lato client).
La terza parte, riguarda la gestione del web service durante il collegamento tra
beneficiario dell’assegno e la sua banca, tra quest’ultima e la banca del traente.
Infine nel caso venga utilizzato HMAC anche la gestione delle chiavi condivise.
A fronte del moltiplicarsi del numero delle frodi, evolutesi di pari passo con la
tecnologia, si sono studiate e valutate diverse ipotesi che in ultima istanza hanno
decretato l’adozione nell’assegno di un codice a barre bidimensionale (diversi da quelli
che siamo solitamente abituati a vedere sulla maggior parte dei beni di consumo).
In particolare, vengono presentati i risultati ottenuti con i QR Code e i Data Matrix.
VI
Questi codici conterranno una serie di informazioni predefinite, come per esempio la
codeline ossia: il numero dell'assegno, l'ABI, il CAB, riferite alla banca emittente,
opportunamente sottoposte a procedure crittografiche.
Si sono usati algoritmi di hash della famiglia SHA, chiavi asimmetriche come RSA e
curve ellittiche ECDSA, e si è valutata anche l’implementazione di HMAC.
Nel momento in cui il titolare di un “assegno sicuro” dovesse utilizzarlo, il ricevente
dello stesso in una prima fase, senza la necessità della connessione alla rete, può
usufruire di un’applicazione software, in gergo denominata “App”, installata su
smartphone dotato di fotocamera, per controllare l'autenticità dell'assegno.
Con un servizio aggiuntivo, e un software dedicato, il progetto SPC prevede inoltre il
rilascio di una serie di codici che, indicati nell'assegno dal titolare, permettono al
beneficiario, di verificare la disponibilità delle somme indicate nel titolo di credito e
volendo, anche di accreditare/addebitare l'importo in questione.
Lo sviluppo del progetto verrà presentato in questo elaborato in questa sequenza:
- Nel Cap. 1 viene presentata un’analisi evolutiva dell’assegno, mediante
un confronto dello strumento di pagamento odierno e del passato. Attraverso una
serie di dati quantitativi si evidenzia quanto l’assegno sia tutt’oggi ancora molto
usato, non solo in Italia, ma nel mondo. Sono state riportate le piø recenti
normative esclusivamente legate alla sicurezza e i servizi offerti in tale ambito.
Dopo un breve cenno all’assegno elettronico, ci si occupa di riassumere i
principali tipi di frode, unitamente ai relativi valori statistici. Infine si sono
richiamati alcuni casi recenti di cronaca.
- Nel Cap 2 vengono illustrate tecniche crittografiche, come firma digitale
e MAC (Message Authentication Code), applicate al progetto. Dopo una rapida
descrizione di alcuni algoritmi, l’attenzione si concentra su quelli piø adatti allo
scopo come: RSA e ECDSA per quanto riguarda la cifratura asimmetrica e
HMAC come soluzione alternativa (queste funzioni sono state confrontate tra
loro in modo da comprendere le differenze che le caratterizzano). Alcune delle
tematiche inerenti la scelta degli algoritmi verranno affrontate nel capitolo
successivo. Si è anche fatto cenno ai certificati digitali e al loro impiego.
VII
Dopo aver delineato le proprietà dei codici a barre in genere e dei codici
bidimensionali nello specifico, viene presentata la soluzione grafica scelta per
riassumere le caratteristiche desiderate. Le due tipologie selezionate sono:
QR Code e Data Matrix. Il capitolo termina con un riferimento al processo
legato alla dematerializzazione e ai vantaggi derivanti dall’uso di SPC.
- Nel Cap 3 viene data ampia descrizione del software Cheque Data Sign
(CDS) e delle sue funzionalità. CDS realizza la codifica bidimensionale (2D)
della firma digitale dei dati caratterizzanti l’assegno, trattati nei capitoli
precedenti. I codici 2D verranno successivamente stampati sugli assegni per dar
vita alla prima fase dell’assegno sicuro. Essendo una “proof of concept” le
implementazioni previste nel software, devono considerare diversi aspetti che,
probabilmente nel concreto, sono trattati in modo diverso. Un esempio potrebbe
essere la gestione delle chiavi. In CDS è previsto che sia il software stesso a
generare le chiavi per permettere di realizzare molteplici test, mentre in realtà
queste potrebbero essere fornite da terze parti con l’avallo di un’autorità
certificativa (CA).
Il layout, intuitivo ed essenziale, prevede tre form con specifici scopi.
La form principale Encode, è quella che contiene la maggior parte delle opzioni
di settaggio e come da definizione, è usata per cifrare i dati di input e per salvare
in diversi formati l’immagine realizzata.
La form Decode, viene impiegata per la decodifica di immagini 2D prese
dall’esterno. Questa opzione è principalmente usata per verificare la correttezza
dei risultati ottenuti.
Infine attraverso la form Key management, si dà modo di selezionare l’algoritmo
di cifratura voluto e la conseguente generazione delle chiavi. Queste vengono
salvate su cartelle predefinite, mentre il path di destinazione è lasciato alla scelta
dell’utente.
- Nel Cap 4 si mostrano le diverse soluzioni di abbinamento
assegno/codice bidimensionale. Alcuni risultati iniziali non erano molto
incoraggianti per via delle dimensioni dell’output. Analizzandolo, si osserva che
il peso della firma e l’uso dell’XML incidono in maniera rilevante sulla
dimensione dell’immagine. Questa è una delle ragioni per cui si sono proposti
VIII
piø algoritmi (anche se probabilmente si opterà per le curve ellittiche ECDSA).
Anche HMAC ha un ottimo riscontro in questo senso, ma la sua adozione
compromette i vantaggi derivanti dall’uso della cifratura asimmetrica.
Dal punto di vista grafico, si sono fatti diversi confronti legati all’impiego di
QR Code e Data Matrix. Vengono valutate varie ipotesi, non ultima quella di
separare il testo in chiaro dalla firma, dando vita a due distinti codici
bidimensionali.
Questa soluzione, parte dal presupposto che un’applicazione pratica del progetto
si potrebbe basare sulla definizione, sia di un unico algoritmo di firma, sia di un
sistema di codifica dell’elenco delle banche. Questa presunzione snellirebbe il
peso dei dati da cifrare.
- Nel Cap 5 vengono presentate le conclusioni di questa prima fase del
progetto Security Protocol Cheque. In funzione delle ricerche, degli studi e dei
test realizzati, si giunge alle considerazioni finali. Il software è sicuramente
migliorabile, ma lo scopo è quello di produrre un’applicazione che fornisce lo
strumento per concretizzare un’idea innovativa.
Sono state anche ipotizzate alcune proposte che potrebbero trovare facile
impiego pratico, in un prossimo futuro.
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
