duemilaquattordici pag. 1 di 5 Il contesto: Il Mercato e-commerce Europa ha superato i 300mld euro (USA 280mld): Francia, Germania, UK rappresentano il 60% del mercato europeo, mentre in Italia gli acquisti retail online sono il 3% del totale (contro il 10% di alcuni Paesi), pari a 11,2mld euro, ma con una crescita che ha superato il 17% anno su anno. Risulta ancora poca propensione all acquisto online di prodotto trovato su web (34%), ma in netta crescita (+50%), con acquirenti online arrivati a 16mln in feb 2014. In parte si sta ovviando alla diffidenza per acquisti online (legata principalmente a dubbi sul prodotto e sui pagamenti) con sistemi di triangolazione web tra store fisico, store web e consumatore, con varie possibilità consumer-friendly: 1) info on line -> vado poi a punto vendita per pagamento e ritiro 2) vado in p.v. -> uso store on line per ordinare e pagare 3) vado in p.v. -> ordino prodotto on line per esemplare (o misura/colore) non presente in store Ambiti merceologici: circa il 50% dei volumi transati si sviluppano nel turismo, ma altri settori quali abbigliamento, assicurazioni, editoria, informatica, elettronica di consumo, arredamento stanno incrementando volumi e percentuali. Rischi di attività: Come per ogni attività imprenditoriale, l azienda che si rivolge al mercato online è esposta ad una serie di eventualità che possono influenzarne l andamento, al punto di determinarne il successo e la crescita o addirittura pregiudicarne la sopravvivenza. Oltre al rischio imprenditoriale tout-court, sono da prendere in considerazione i tradizionali rischi che riguardano pressoché ogni tipo di attività produttiva/commerciale.
duemilaquattordici pag. 2 di 5 Rischi legati alle cose: - eventi fisici che possono influenzare o bloccare produzione e vendita (danni agli edifici, ai macchinari, alle merci in lavorazione o lavorate ) - eventi provenienti dall esterno che possono fermare o ridurre l attività (furti, danni ai sistemi informatici, interruzioni della supply chain, controversie legali sui prodotti, atti interdittivi dell Autorità ) - eventi legati alla programmazione industriale (errori di progetto, di messaggi pubblicitari, sovra o sottoproduzione ) - eventi legati alla gestione finanziaria (perdite su crediti, problemi legati ai rapporti bancari, problemi legati al cash-flow e al funding ) Rischi legati alle persone: - danni, incidenti al personale diretto/indiretto - inabilità, perdita dei key-men - infedeltà/danni di immagine di amministratori/rappresentanti - coinvolgimento aziendale per reati di cui al dlgs 231/01 Questi sono solo alcuni esempi generici di fatti che inevitabilmente andrebbero valutati con un approccio anche minimo di ERM o con un semplice ciclo what if. Rischi e-comm percepiti (entrambe le parti) L azienda che opera attivamente sul web, incontra alcune tipologie di rischi in cui può essere soggetto attivo o passivo: - mancanza di riconoscimento del prodotto acquistato (difetto, differenze, ripensamento, ecc.) Sulle problematiche inerenti alla accettazione del prodotto da parte dell acquirente, importanti novità sono e saranno apportate dal recepimento della Direttiva 2011/83/CE, riassunta nella parte Normativa ; tali novità nell intento di ampliare la tutela dell acquirente riguardo agli acquisti effettuati online definiscono e aumentano gli obblighi da parte del venditore. - dati pagamenti intercettati da terzi in Italia figura il maggior utilizzo di carte prepagate, rispetto agli altri Paesi europei (al 2012 risultavano circolanti ca. 18 mln di carte prepagate dati Mastercard), fatto
duemilaquattordici pag. 3 di 5 che in parte viene fatto risalire alla mancanza di fiducia nella sicurezza delle transazioni online. Peraltro l UIF (uff.inform.finanziaria) di Banca d Italia ha recentemente raccomandato agli emittenti un monitoraggio dell utilizzo di tali carte in particolari settori ove potrebbero configurarsi attività illecite (riciclaggio, gioco, ecc.). - possibile incertezza di identificazione delle parti (phishing e hidden pages) In questo caso la vittima è normalmente l acquirente, ma in alcuni casi il coinvolgimento del venditore può essere quantomeno fastidioso : conoscere ed aggiornarsi sulle fattispecie di frodi più diffuse può evitare tale coinvolgimento. Le diverse tipologie di frode d identità sono: Identity Cloning: clonazione dell identità, (sostituzione di persona); Financial Identity Theft: furto di identità a fini finanziari; Criminal Identity Theft: uso dei dati per compiere atti pubblici illeciti di varia natura (ad es., attivazione di nuove carte di credito); Synthetic Identity Theft: uso dei dati personali di soggetti diversi, combinati per costruire in laboratorio, completamente o parzialmente, una nuova identità; Gosthing: costruzione di una nuova identità dai dati di una persona defunta; Cyber Bullismo - Impersonation: impersonificazione, in una persona diversa, allo scopo di inviare messaggi e/o testi, dal contenuto solitamente reprensibile. Tutte le forme di furto d identità sono possibili attraverso varie modalità: Skimming: clonazione di una carta di credito, attraverso un apparecchiatura elettronica, durante l uso in un esercizio commerciale o di un Atm; Siti internet: richiesta di fornire informazioni personali durante la navigazione in internet per accedere a determinati siti e per acquistare beni; Phishing: furto via posta elettronica: una mail, apparentemente proveniente da un sito noto, induce la vittima a fornire informazioni personali, tramite il reindirizzamento con link ad un sito fraudolento; Vishing o voice phishing: evoluzione del phishing; in questo caso non si chiede di cliccare su un link, bensì di contattare un (falso) recapito telefonico dell istituto di credito; Spamming: spesso sfruttato per indurre a cliccare su link o scaricare file che installano automaticamente sul pc collegato software malevoli; Keylogging: è uno strumento che infetta il computer con un malware, senza danneggiare i programmi, ma intercettando quanto viene digitato sulla tastiera, in particolar modo le password;
duemilaquattordici pag. 4 di 5 Spoofing: tecnica basata sull utilizzo della posta elettronica (e-mail mime spoofing) di ignari cybernauti; Pharming: furto di dati mediante virus che modificano la lista dei siti "preferiti" presente nel browser del cybernauta; Sniffing: attività di monitoraggio e intercettazione dei pacchetti di dati che transitano in una rete telematica. La legislazione sul furto d identità e sulle frodi informatiche si limita a: Codice Penale, art. 494, impersonificazione (sostituzione di persona), pena massima un anno; Decreto legislativo n. 231/2007, art. 55.9, di recepimento della Direttiva europea 2005/60/CE; Codice della Privacy (D.lgs. n. 196/2003, art. 1), che prevede che i dati personali sono diritti inviolabili; Legge 15 febbraio 2012, n. 12, Norme in materia di misure per il contrasto ai fenomeni di criminalità informatica, relativa alla confisca e alla destinazione dei beni informatici o telematici utilizzati per la commissione di reati informatici. In ragione della scarsità di fonti normative, nonché in assenza di riferimenti specifici, frequentemente la Magistratura si è vista costretta a dover ricondurre la fattispecie del furto d identità ad altre tipologie di reati, quali: diffamazione (art. 595 c.p.), falsità materiale in scrittura privata (art. 485 c.p.) o sostituzione di persona (art. 494 c.p.). - furti di database aziendali Le tipologie di frode riguardanti la copiatura e l utilizzo fraudolento di collezioni di dati non hanno ancora una configurazione ben definita, confluendo normalmente in reati connessi alla violazione della privacy o nell illecita riproduzione di opere dell ingegno. Normativa Nuovo regolamento dal 13/6/2014, a recepimento della direttiva UE 2011/83/CE European Commission - MEMO/11/450 23/06/2011
duemilaquattordici pag. 5 di 5 I 10 cambiamenti più importanti introdotti dalla nuova direttiva: 1) La proposta eliminerà spese e costi nascosti in Internet 2) Maggiore trasparenza dei prezzi 3) Eliminazione delle caselle preselezionate sui siti web 4) 14 giorni per cambiare parere su un acquisto 5) Maggiori diritti di rimborso 6) Introduzione di un formulario di recesso standard per l'intera UE 7) Eliminazione di sovrattasse per l'uso di carte di credito e di servizi di assistenza telefonica 8) Informazioni più chiare su chi sopporta le spese di restituzione delle merci 9) Migliore tutela dei consumatori riguardo ai prodotti digitali 10) Introduzione di norme comuni per il commercio che renderanno più agevoli gli scambi in tutta Europa http://www.gazzettaufficiale.it/eli/id/2014/3/11/14g00033/sg DECRETO LEGISLATIVO 21 febbraio 2014, n. 2. Attuazione della direttiva 2011/83/UE sui diritti dei consumatori, recante modifica delle direttive 93/13/CEE e 1999/44/CE e che abroga le direttive 85/577/CEE e 97/7/CE. (14G00033) (GU Serie Generale n.58 del 11-3-2014) sintesi: - potenziati gli obblighi di informazione pre-contrattuale dal venditore all acquirente - recesso sale a 14 gg - possibilità di restituzione del bene anche se deteriorato - no maggiorazioni tariffe per pagamenti mediante mezzi elettronici, carte, ecc.