ITPI20110071A1 - "un sistema di autorizzazione ad una transazione" - Google Patents

"un sistema di autorizzazione ad una transazione" Download PDF

Info

Publication number
ITPI20110071A1
ITPI20110071A1 IT000071A ITPI20110071A ITPI20110071A1 IT PI20110071 A1 ITPI20110071 A1 IT PI20110071A1 IT 000071 A IT000071 A IT 000071A IT PI20110071 A ITPI20110071 A IT PI20110071A IT PI20110071 A1 ITPI20110071 A1 IT PI20110071A1
Authority
IT
Italy
Prior art keywords
user
server
telephone
service
proceed
Prior art date
Application number
IT000071A
Other languages
English (en)
Inventor
Michele Piccini
Original Assignee
Michele Piccini
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Michele Piccini filed Critical Michele Piccini
Priority to IT000071A priority Critical patent/ITPI20110071A1/it
Publication of ITPI20110071A1 publication Critical patent/ITPI20110071A1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

Descrizione a corredo della domanda di brevetto per invenzione industriale dal titolo:
UN SISTEMA DI AUTORIZZAZIONE AD UNA TRANSAZIONE
Ambito dell'invenzione
La presente invenzione riguarda il settore tecnico inerente i sistemi di sicurezza informatici per prevenire frodi o furti durante una operazione di transazione che implica una movimentazione di denaro, ad esempio una transazione bancaria effettuata da un utente.
In particolare l'invenzione si riferisce ad un innovativo metodo volto a verificare, previa autorizzazione, della reale autenticità di una richiesta avanzata da un predeterminato utente.
Brevi cenni alla tecnica nota
Istituti che consentono l'autorizzazione di transazioni economiche in rete internet sono orami molteplici e noti da tempo.
Questi possono comprendere siti attraverso cui operare acquisti in genere come anche i siti delle banche (i così detti "Home-Banking") attraverso cui poter eseguire svariate operazioni bancarie.
In tutti i casi suddetti, l'accesso al servizio prevede generalmente un accesso ad un'area riservata attraverso l'inserimento di uno o più codici segreti, in modo tale da poter effettuare varie operazioni tra cui, ad esempio, predisporre di bonifici nel caso di Home-Banking.
Nel caso ad esempio dell 'Home-Banking (ma è equivalente anche per altre applicazioni), allo stato attuale esistono vari livelli di sicurezza per impedire ad un intruso (generalmente denominato hacker) di inserirsi in tale area ed effettuare operazioni per conto del titolare. Un primo livello base è appunto l'uso di password note al solo titolare.
Tuttavia è sempre possibile per un intruso riuscire ad entrare in possesso dei dati personali di un utente ad esempio inviando delle mail false a nome della banca e richiedendo tali dati. Se questi vengono forniti l'intruso può tranquillamente effettuare operazioni bancarie dall'area riservata dell'utente.
Per aumentare il livello di sicurezza spesso si associa all'uso delle comuni password anche l'uso di un dispositivo comunemente denominato "Token". Tali dispositivi generano una ulteriore password la quale va inserita al momento dell'accesso al sito. Il server bancario riesce a verificare le veridicità del codice inserito dall'utente grazie al fatto che il funzionamento del dispositivo token si basa su di un algoritmo di calcolo il quale è identico a quello installato sul server della banca. La password che viene generata è ogni volta diversa e dunque diviene più difficile per un intruso riuscire ad accedere in tali aree riservate. Il server, di contro, ha modo di verificare se la password inserita dall'utente è realmente generata da un dispositivo Token dato in dotazione all'utente.
Sebbene l'ulteriore accoppiamento di un Token aumenti notevolmente il livello di sicurezza, lo stesso potrebbe anche essere clonato nel senso che l'intruso potrebbe anche ritrovare l'algoritmo utilizzato. Inoltre il Token può comunque essere rubato, rendendo dunque il suo uso assolutamente vano.
Ulteriori sistemi di sicurezza, particolarmente semplici, prevedono l'invio di un semplice SMS sul telefonino cellulare dell'utente in modo tale da informarlo di una avvenuta transazione. E' comunque evidente come, in questo caso, l'utente può intervenire solo ad operazione oramai conclusa e dunque quando il prelievo è stato irrimediabilmente effettuato.
In caso di un acquisto non autorizzato il cliente si rivedrebbe recapitato un messaggio di avvenuto acquisto senza poterlo bloccare.
Sintesi dell'invenzione
È quindi scopo della presente invenzione fornire un metodo di controllo per autorizzare una predeterminata transazione che risolva almeno in parte i suddetti inconvenienti .
In particolare è scopo della presente invenzione fornire un innovativo metodo che risulti indipendente ed esente da rischi di clonazione di qualsiasi genere, aumentando dunque il livello di sicurezza ottenibile.
Questi e altri scopi sono così ottenuti dal presente metodo per autorizzare una richiesta di pagamento effettuata da un utente attraverso un servizio on-line in rete in accordo alla rivendicazione 1.
Il metodo prevede dunque le fasi di:
- Registrazione dell'utente al servizio attraverso la fornitura dell'utente al suddetto servizio di almeno un proprio numero telefonico di contatto;
- Accesso dell'utente al servizio attraverso una connessione in rete al server (1) del servizio e successivo inoltro di una richiesta a procedere con una predeterminata operazione di pagamento.
In accordo al metodo è prevista ulteriormente un'operazione di verifica della richiesta inoltrata.
Tale verifica prevede l'instaurazione di un contatto telefonico in automatico che mette in comunicazione il servizio con l'utente.
In particolare il server del servizio, il quale associa la richiesta dell'utente ricevuta al numero telefonico fornito dall'utente stesso all'atto della registrazione, stabilisce un contatto telefonico con l'utente. Successivamente il server (1) comanda l'esecuzione dell'operazione richiesta in caso di ricezione, attraverso detto contatto telefonico, di una risposta consensuale dell'utente a procedere.
In tal maniera l'utente è avvisato che una predeterminata transazione è stata richiesta e che questa verrà eseguita solo a seguito di un suo consenso. In caso di una truffa, l'utente viene avvisato prima che la stessa venga attuata, avendo così modo di bloccarla.
Tale tecnologia si applica bene dunque ai servizi bancari di Home-Banking come anche ad altri servizi di acquisto beni in genere disponibili su rete internet.
Ulteriori scopi sono desumibili dalle rivendicazioni dipendenti .
Breve descrizione dei disegni
Ulteriori caratteristiche e i vantaggi del presente metodo, secondo l'invenzione, risulteranno più chiaramente con la descrizione che segue di alcune forme realizzative, fatte a titolo esemplificativo e non limitativo, con riferimento ai disegni annessi, in cui:
- Figura 1 mostra schematicamente un server centrale 1 di una banca a cui accede un utente attraverso la rete internet 3;
- La figura 2 schematizza una pagina di un Home Banking per la registrazione all'area riservata;
- La figura 3 mostra l'accesso di un utente all'area riservata;
- La figura 4 e la figura 5 schematizzano una associazione univoca tra server 1 ed utente attraverso l'inserimento di un recapito telefonico dell'utente;
- La figura 6 mostra un diagramma di flusso del presente metodo in accordo all'invenzione;
Descrizione alcune forme realizzative preferite Per solo scopo di semplicità descrittiva, e dunque in maniera non limitativa, le figure allegate fanno riferimento ad un esempio applicativo di un sito di Home-Banking. E' dunque evidente che quanto descritto è applicabile a servizi similari di acquisto prodotti in genere .
La figura 1 mostra in maniera molto schematica un server 1 il quale altro non è che il comune server centrale di una banca. Attraverso la normale rete internet 3 un utente può dunque effettuare la propria registrazione ed ottenere accessi al servizio on-line di "home banking" della banca. La registrazione prevede l'inserimento di propri dati di profilo (ad esempio nome, cognome e mail) tra cui, anche, l'inserimento di un personale codice segreto di accesso all'area riservata, ad esempio una "Password" ed una "User ID".
La figura 2 mostra dunque, in maniera schematica, una pagina di registrazione 4 dell'Home-Banking generata dal server 1 della banca all'atto della connessione Internet da parte dell'utente e della richiesta di iscrizione .
In accordo all'invenzione è necessario prevedere anche l'inserimento di un proprio numero telefonico, preferibilmente di un cellulare.
Sebbene in figura 2 venga mostrato che tali dati di registrazione, tra cui anche il suddetto numero telefonico, vengono inseriti nella schermata all'atto del primo accesso, tuttavia è evidente come gli stessi, in maniera del tutto equivalente, possano essere forniti in forma cartacea (ad esempio contrattuale) direttamente alla banca all'atto sempre della registrazione e dell'apertura di un conto corrente.
In tal maniera, come ben noto dallo stato della tecnica, l'utente può dunque effettuare l'accesso alla pagina di home banking ogni qualvolta lo desideri inserendo i proprio codici segreti (eventualmente anche con l'ausilio di un dispositivo Token). L'utente può dunque entrare nella propria area riservata per effettuare operazioni bancarie di qualsiasi genere (controllo del proprio conto, operazioni effettuate, predisposizione di nuove operazioni ecc..).
Per ogni utente essendo stato fornito, tra i vari dati di registrazione, anche un recapito telefonico, il server è dunque in grado di associare l'utente che entra nella propria area riservata al numero telefonico inserito all'atto della registrazione.
Continuando nella descrizione del presente metodo, la figura 3 mostra una normale fase di "Login" al sito. In particolare l'utente, a seguito della connessione alla pagina dell'Home-Banking, ha accesso all'area specifica di Login 5 attraverso cui, inserendo Password e/o User-ID, ha accesso alla propria area riservata 6.
Una volta effettuato il Login, come da figura 4, il server della banca 1 crea una associazione univoca tra l'utente in ingresso e il suo numero telefonico fornito al momento della registrazione.
Tale associazione univoca viene dunque sfruttata come di seguito descritto nello schema di figura 5 e nel diagramma di flusso di figura 6.
La figura 5 mostra il server 1 il quale crea una connessione telefonica (di fatto effettua una chiamata) al numero dell'utente in accesso e richiedente una operazione bancaria specifica. Il server prevede dunque al suo interno una centralina (o in alternativa è posto in comunicazione con una centralina esterna) la quale si aqqancia alle linee telefoniche. Un esempio di tale tecnoloqia è la tecnoloqia VOIP con cui un server si colleqa a reti telefoniche.
Come dunque mostrato dal diaqramma di flusso di fiqura 6, l'utente accede, attraverso la connessione internet al server 1, alla propria area riservata. Al momento in cui lo stesso richiede una operazione bancaria, quale ad esempio un bonifico, il server 1 processa tale richiesta estrapolando il numero telefonico associato all'utente ed effettuando una chiamata allo stesso. In questa maniera si crea una connessione telefonica diretta tra il server e l'utente. L'utente ricevente la chiamata viene avvisato, ad esempio attraverso un messaqqio vocale prereqistrato, del fatto che una predeterminata operazione bancaria è stata da lui richiesta e che, affinchè venqa attuata, è necessaria una sua autorizzazione. Il server non attua alcuna richiesta di operazione fin tanto che, una volta stabilita la connessione telefonica, non riceve un'istruzione nel continuare l'operazione. L'autorizzazione, a questo punto, può essere inserita in varie maniere molto semplici ed equivalenti tra loro. Una di queste può prevedere, ad esempio, l'inserimento di un numero attraverso la tastiera telefonica (ad esempio "1" per autorizzare l'operazione e "2" per bloccarla) oppure una risposta vocale "si" o "no" alla richiesta a procedere .
Solo a sequito della ricezione di conferma a procedere, il server 1 continua con la normale operazione, altrimenti effettua un blocco.
Una ulteriore implementazione può eventualmente prevedere un tempo massimo di attesa oltre il quale il mancato inserimento di una qualsiasi risposta (sia negativa che positiva) viene interpretato dal server come una mancata autorizzazione che interrompe la procedura.
Una seconda forma realizzativa del presente metodo può prevedere l'invio di un messaggio telefonico (denominato comunemente SMS). A differenza dei normali messaggi inviati attualmente in automatico dai server delle banche agli utenti in corrispondenza di una operazione effettuata e che semplicemente informano di una avvenuta operazione, in questo caso il messaggio riporta l'informazione che una richiesta di operazione è stata avanzata ed è richiesta una risposta allo stesso per continuarla. La risposta può essere data inviando un messaggio di conferma ad un numero telefonico di connessione al server o effettuando una chiamata sempre ad un numero prestabilito (ad esempio fornito all'atto contrattuale) .
Un ulteriore livello di sicurezza, in caso di detta seconda configurazione dell'invenzione, può prevedere l'inserimento nel SMS per autorizzare l'operazione di un ulteriore codice segreto piuttosto che inviare un semplice messaggio di conferma a procedere. Tale codice può essere generato in maniera univoca dal server 1 e fornito all'utente all'atto della registrazione.

Claims (10)

  1. RIVENDICAZIONI 1. Un metodo per autorizzare una richiesta di pagamento effettuata da un utente attraverso un servizio on-line in rete e comprendente le fasi di: - Registrazione dell'utente al servizio attraverso la fornitura a detto servizio di almeno un numero telefonico di contatto dell'utente; — Accesso dell'utente al servizio attraverso una connessione in rete al server (1) del servizio e successivo inoltro di una richiesta a procedere con una predeterminata operazione di pagamento; e caratterizzato dal fatto che è prevista ulteriormente un'operazione di verifica della richiesta inoltrata e comprendente le operazioni di: - Realizzazione di un contatto telefonico attraverso il server (1) con l'utente per mezzo del numero telefonico fornito e; - Consenso del server (1) all'esecuzione dell'operazione richiesta in caso di ricezione, attraverso detto contatto telefonico, di un consenso dell'utente a procedere.
  2. 2. Un metodo, secondo la rivendicazione 1, in cui detto contatto telefonico comprende a scelta: - L'invio attraverso il server (1) di un messaggio telefonico (SMS); - L'esecuzione di una chiamata telefonica.
  3. 3. Un metodo, secondo la rivendicazione 2, in cui in caso di chiamata telefonica l'operazione di autorizzazione prevede a scelta: - L'inserimento attraverso la tastiera del telefono durante la chiamata di un codice prestabilito il quale è identificativo dell'autorizzazione a procedere; - La risposta vocale dell'utente ad un messaggio vocale pre-registrato.
  4. 4. Un metodo, secondo la rivendicazione 2, in cui in caso di invio di un messaggio telefonico (SMS) l'operazione di autorizzazione prevede l'invio dell'utente al server (1) di un (SMS) di risposta.
  5. 5. Un metodo, secondo la rivendicazione 4, in cui detto (SMS) di risposta contiene un codice identificativo dell'autorizzazione a procedere.
  6. 6. Un metodo, secondo una o più rivendicazioni precedenti, in cui, a seguito della realizzazione di detto contatto telefonico, è prevista una operazione di attesa del server (1) di detta risposta dell'utente per un intervallo di tempo T prestabilito.
  7. 7. Un metodo, secondo la rivendicazione 6, in cui in caso di superamento di detto intervallo di tempo T il server (1) nega l'esecuzione dell'operazione richiesta.
  8. 8. Un programma per elaboratore elettronico comprendente uno o più codici informatici atti ad eseguire una o più fasi del metodo di cui ad una o più delle rivendicazioni precedenti dalla 1 alla 7, quando il programma stesso gira su un elaboratore elettronico.
  9. 9. Programma per computer di cui alla rivendicazione 8 caratterizzato dal fatto di essere incorporato in un supporto informatico.
  10. 10. Un computer caratterizzato dal fatto di prevedere un software come da rivendicazione 8 o 9.
IT000071A 2011-06-22 2011-06-22 "un sistema di autorizzazione ad una transazione" ITPI20110071A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT000071A ITPI20110071A1 (it) 2011-06-22 2011-06-22 "un sistema di autorizzazione ad una transazione"

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT000071A ITPI20110071A1 (it) 2011-06-22 2011-06-22 "un sistema di autorizzazione ad una transazione"

Publications (1)

Publication Number Publication Date
ITPI20110071A1 true ITPI20110071A1 (it) 2012-12-23

Family

ID=44512322

Family Applications (1)

Application Number Title Priority Date Filing Date
IT000071A ITPI20110071A1 (it) 2011-06-22 2011-06-22 "un sistema di autorizzazione ad una transazione"

Country Status (1)

Country Link
IT (1) ITPI20110071A1 (it)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005024677A1 (en) * 2003-09-08 2005-03-17 Fabrizio Ferrante Method and system for transactions over a cellular mobile telephone network
US20060253389A1 (en) * 2005-05-03 2006-11-09 Hagale Anthony R Method and system for securing card payment transactions using a mobile communication device
US20100267362A1 (en) * 2009-04-20 2010-10-21 Boku, Inc. Systems and Methods to Process Transaction Requests

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005024677A1 (en) * 2003-09-08 2005-03-17 Fabrizio Ferrante Method and system for transactions over a cellular mobile telephone network
US20060253389A1 (en) * 2005-05-03 2006-11-09 Hagale Anthony R Method and system for securing card payment transactions using a mobile communication device
US20100267362A1 (en) * 2009-04-20 2010-10-21 Boku, Inc. Systems and Methods to Process Transaction Requests

Similar Documents

Publication Publication Date Title
US12316766B1 (en) Asynchronous step-up authentication for client applications
US20090006254A1 (en) Virtual prepaid or credit card and process and system for providing same and for electronic payments
KR101384608B1 (ko) 모바일 전화번호를 이용한 카드결제 제공방법 및 그 시스템
US20160183092A1 (en) Online account access control by mobile device
CA2857106C (en) Method for securing electronic transactions
WO2012123727A1 (en) Personal identity control
CN112187931A (zh) 会话管理方法、装置、计算机设备和存储介质
WO2010140876A1 (en) Method, system and secure server for multi-factor transaction authentication
JP2019510316A (ja) アカウントリンキング及びサービス処理提供の方法及びデバイス
CN109802835A (zh) 一种安全认证方法、系统及api网关
US9503584B2 (en) Secure data entry system
JP2007226763A (ja) ユーザ情報管理方法及びユーザ情報管理システム
CN107634973A (zh) 一种服务接口安全调用方法
TW201601083A (zh) 一次性密碼生成的方法、裝置及認證方法、認證系統
JP2011204169A (ja) 認証システム、認証装置、認証方法および認証プログラム
HK1221347A1 (zh) 數據通信方法和系統及客戶端和服務器
CN109040030A (zh) 单点登录方法和系统
WO2015169000A1 (zh) 一种身份识别方法及装置、存储介质
CN102938116A (zh) 一种保障交易安全的全链路保护经营方法
ITPI20110071A1 (it) "un sistema di autorizzazione ad una transazione"
JP2022030084A (ja) 認証システム、認証システムの制御方法及び認証装置
WO2018209621A1 (en) Systems, devices, and methods for managing communications of one or more computing devices
JP5818635B2 (ja) ログイン認証システムおよび方法
CN114981832A (zh) 一种利用个人url媒体、秘密信息或其他信息验证用户以支持otp服务的方法
KR20110109536A (ko) 금융 거래를 위한 인증/검증 시스템 및 그 방법