Tra i motivi che spesso si invocano quando vengono presentati i dati sulla scarsa diffusione del commercio elettronico, vi è, subito dopo i motivi generalmente dedicati alla mancata dimestichezza con il mezzo tecnologico, la poca fiducia riposta nella sicurezza delle transazioni. A questa sfiducia si aggiunge, per quanto riguarda l'Italia, il minor uso della cosiddetta plastic money, ossia le carte di credito e strumenti affini. Il minor uso porta naturalmente a un approccio meno sicuro e ad una crescente sfiducia nell'effettuare transazioni su cui non vige nessun controllo diretto da parte dell'utente. A completare la cornice di questo aspetto troviamo anche i grandi titoli allarmistici pubblicati giornalmente da quotidiani di mezzo mondo: in queste storie vicende di hacker ricattatori e grandi leggende si intrecciano inestricabili.
Tra molti dei più avveduti frequentatori della rete si sente spesso ripetere che è più sicuro comunicare gli estremi della propria carta di credito a un sito di e-commerce piuttosto che a un qualsiasi commerciante tradizionale. Chi propende per questa visione non ha tutti i torti; tuttavia, per quanto riguarda i pagamenti on line, nella catena di operazioni che sono necessarie per portare a compimento la transazione possono intervenire, a molti livelli e in molti modi, dei disturbi nella comunicazione che a volte possono compromettere l'integrità dei dati inviati. Considerando un tipico rapporto commerciale in cui i pagamenti avvengono online attraverso la comunicazione dei numeri di Carta di Credito i problemi possono verificarsi naturalmente sia in ambito di autenticazione, sia in ambito di trasferimento di dati, sia in ambito di conservazione dei dati. Mettendo da parte sia eventuali atti illegittimi che potrebbero essere perpetrati dagli stessi titolari del negozio virtuale sia la poca attenzione nella scelta della password (è bene che sia lunga almeno 6 caratteri e composta anche da numeri) e nella loro conservazione (è bene metterla naturalmente lontana dal posto di lavoro), il problema si concentra nella sicurezza dei dati telematici considerati all'interno delle tre azioni che abbiamo poco sopra descritto. La sicurezza nella conservazione dell'informazione è fondamentale per una società che necessita di gestire le informazioni su Carte di Credito e sistemi di pagamenti affini. Probabilmente, nel ciclo di trasmissione e conservazione dei dati, questo è uno degli anelli più deboli; l'ultima notizia da questo fronte è di pochissime settimane fa: un hacker è riuscito a leggere i contenuti del database della Western Union nel quale erano conservati circa 16000 numeri di carte di credito di clienti. Dalla Western Union hanno fatto sapere che, sebbene il sistema di gestione dei dati personali sia efficientissimo, e quasi impossibile garantire la sicurezza totale dei dati, sempre soggetti al non infallibile controllo umano.
Della vulnerabilità "interna" dei siti di e-commerce si stanno occupando anche le società fornitrici di carte di credito che vedono nelle transazioni online un possibile campo di alti profitti. La Visa ad esempio ha fatto sapere nei giorni scorsi che, all'interno del suo progetto chiamato Global Data Security, inizierà nel prossimo anno la verifica dei sistemi di sicurezza di quei siti che utilizzano per le carte di credito del proprio circuito. E sullo sviluppo di soluzioni esplicitamente volte ai pagamenti sul Web si stanno interrogando anche altre società come American Express e Mastercard. Unico modo per prevenire tale tipo di incidenti risiede nel potenziamento della rete di sicurezza del fornitore di beni che, infatuato dalle mirabolanti promesse della net economy dimentica, spesso, persino le basi elementari di una seria politica di sicurezza. Il minimo di competenze di sicurezza serve, per altro, anche ai singoli utenti. Non solo per capire che una password come, ad esempio, "amore" o simili potrebbe essere facilmente individuata anche a chi è digiuno di qualsiasi tecnica di hackeraggio, ma soprattutto per saper distinguere una comunicazione criptata da una che non lo è, per saper fiutare subito se di un sito ci si può fidare o no, per comprendere a fondo i rischi che comporta far viaggiare i propri dati lungo migliaia di chilometri di cavi. È auspicabile allora che a una maggiore consapevolezza dei pregi e dei difetti della sicurezza in internet corrisponda anche un uso più saggio, e dunque non velato da dubbi irreali.
Si parlava allora sopra di rischi che si corrono in campo di autenticazione. Una delle prospettive più remote in questo caso è che tra i due attori della transazione (ossia il cliente e il fornitore di beni) si interponga un terzo soggetto in grado di poter deviare le comunicazioni dal normale canale ad un altro. È evidente che in questo modo i dati che il cliente credeva di fornire al sito oggetto dell'acquisto vengono in effetti passati all'ascoltatore nascosto. Molto meno remota è invece la possibilità che, soprattutto in imprese gestite da una piccola e mal configurata LAN (Local Area Network), vengano intercettati i dati trasmessi dal proprio Personal Computer al sito di riferimento. I programmi che comunemente vengono chiamati sniffer (letteralmente: fiutatori) si occupano proprio di intercettare le comunicazioni che transitano in un determinato punto della rete: in una LAN mal configurata, ossia in una LAN in cui il traffico di dati è ridondato su tutti i segmenti di comunicazione, con uno sniffer si può leggere la posta elettronica degli altri utenti, si possono visionare i siti da loro visitati, si possono naturalmente leggere i dati delle carte di credito. Per ovviare a questi rischi si stanno mettendo in campo diverse soluzioni basate su diverse tipologie di approcci. Da un lato stanno acquistando sempre più valore gli enti di certificazione (o CA: Certificate Authority) dall'altro si diffonde sempre più l'uso di sistemi di crittografia in grado di rendere leggibili i dati solamente ai due attori della comunicazione. Tra le compagnie di certificazione particolarmente apprezzato è l'operato della californiana Verisign, leader nel settore dell'autenticazione per i siti di commercio elettronico, di cui possiede circa il 75% del mercato, e vero e proprio security brand nell'internet. Le operazioni che compie una società di certificazione sono abbastanza semplici: ad ogni sito o società che ha intenzione di proporre uno scambio sicuro di dati con il proprio cliente viene assegnato, dopo alcuni controlli sulla serietà della società, un Server ID, ossia una sorta di certificato digitale che identifica univocamente la società e che verrà usato per le comunicazioni crittate. Attivato sul Web Server, il Server ID permette di sfruttare il protocollo SSL (Secure Socket Layer) che, inizialmente sviluppato da Netscape, è diventato lo standard per la crittografia sul World Wide Web. Con il protocollo SSL, presente di default in tutti i browser di ultima generazione, ogni comunicazione che parte dal vostro PC e che giunge al Server è cifrata, ossia è modificata in modo che solamente chi è in possesso di determinati strumenti di certificazione (come le chiavi pubbliche o private rilasciate dagli enti certificanti o dagli stessi siti) può risalire al contenuto reale. In parallelo venne sviluppato anche un altro sistema di sicurezza per il commercio elettronico chiamato SET (Secure Electronic Transactions); più raffinato dell'SSL in quanto permette di identificare con esattezza il certificato di chi accetta il pagamento, fu sviluppato nel 1996 dalla Visa assieme alla Mastercard, Microsoft, Netscape, IBM e altre società. Nell'ultimo periodo il progetto ha avuto forti rallentamenti che hanno favorito il sistema basato sull'unione SSL ed enti di certificazione, tuttavia il principio di includere in un unico strumento tutte le procedure di certificazione resta un must per lo sviluppo del commercio elettronico.