Le nuove carte di credito sono ormai fornite di tecnlogia ContactLess: basta solo avvicinare la carta al Pos che scatta la transazione. Ma e' una tecnologia sicura senza utilizzare Pin o la classica "strusciata"?
Una delle ultime novità introdotte nel settore dei pagamenti è quella delle carte di credito contactless, ovvero carte di credito che consentono di eseguire i pagamenti in pochi secondi, senza contatto e semplicemente avvicinando la carta al POS.
Le carte di credito contactless sono moderne carte di credito dotate di tecnologia RFID, acronimo di Radio Frequency IDentification o, in Italiano, IDentificazione a Radio Frequenza. Con questa nuova tecnologia non è necessario né inserire la carta nel POS (acronimo di Point Of Sale) né digitare il pin di sicurezza (fino ad una cifra massima impostata in precedenza). Anche alcuni smartphone sono abilitati ai pagamenti contactless, sfruttando la tecnologia NFC.
Sebbene l’utilità dei pagamenti contactless sia accettata da tutti e fuori discussione, una delle domande più frequenti riguarda la sicurezza dei pagamenti contactless: ci si può davvero fidare delle nuove carte di credito con tecnologia RFID?
In particolare, il dubbio più grande risiede nel timore che cybercriminali possano sfruttare la novità dei pagamenti contactless per rubare più facilmente il denaro di ignari acquirenti. Analizziamo in dettaglio differenti aspetti dei pagamenti contactless per trarre le giuste conclusioni:
1. Crittografia
La crittografia è un importante sistema di difesa per tutte le transazioni con carte di credito, non solo per i pagamenti contactless. Le transazioni contactless sfruttano lo stesso sistema di protezione impiegato per i pagamenti tradizionali, puntando sullo standard EMV associato al chip EMV.
Il chip EMV aumenta notevolmente la sicurezza dei pagamenti perché, anche se il clonaggio della banda magnetica non è difficile, il chip non può assolutamente essere clonato. A seguito di una richiesta inviata da un determinato POS, viene generato un codice di sicurezza usa e getta, il quale viene sfruttato per validare la transazione e diventa poi inutilizzabile: il codice potrebbe essere intercettato e salvato, ma terminata la transazione non avrebbe più alcuna utilità.
Alexander Taratorin di Raiffeisen Bank ha spiegato che teoricamente sarebbe possibile progettare un dispositivo per leggere i dati di una carta di credito contactless posta nel portafoglio della vittima, ma per giungere a questo scopo bisognerebbe estrapolare sia le chiavi crittografiche del sistema di pagamenti, sia le chiavi crittografiche del circuito bancario. Tutto ciò sarebbe teoricamente possibile, ma praticamente improbabile, soprattutto considerando che l’utilizzo delle chiavi crittografiche di una banca permetterebbe di risalire in poco tempo all’istituto di credito e di tracciare la truffa.
Un altro argomento che potrebbe interessarvi è anche: come pagare online in sicurezza.
2. Raggio di azione della tecnologia contactless
Un altro punto molto discusso nell’ambito della valutazione della sicurezza dei pagamenti contactless è quello del raggio di azione della tecnologia stessa.
Il chip e l’antenna inseriti all’interno della carta di credito contactless interagiscono con il POS ad una frequenza di 13,56 MHz e ad una distanza massima di tre centimetri. Il corto raggio di azione aumenta la sicurezza dei pagamenti, perché il malintenzionato dovrebbe entrare in possesso della carta per eseguire la truffa.
Tuttavia differenti team di esperti informatici stanno attualmente lavorando allo sviluppo di sistemi per aggirare l’ostacolo del breve raggio di azione. Una prima soluzione è stata proposta da un team di ricercatori dell’università di Surrey, i quali hanno messo a punto uno scanner capace di ampliare il raggio di azione della tecnologia NFC fino ad ottanta centimetri.
Un’altra soluzione è stata invece proposta da Jose Vila e Ricardo Rodriguez, due famosi hacker spagnoli che hanno presentato il loro progetto durante la conferenza Hack in the box. Il sistema prevede lo sviluppo di un trojan per Android volto alla trasformazione dello smartphone con tecnologia NFC in un POS, che a questo punto il malintenzionato può sfruttare per eseguire transazioni non autorizzate. L’idea si basa sull’osservazione che la maggior parte delle persone tiene lo smartphone NFC e la carta di credito contactless vicine, eliminando in partenza l’ostacolo del raggio di azione.
Un articolo di qualche tempo fa metteva, ad esempio, in guardia i possessori delle carte di credito Visa con tecnologia Contactless, da leggere!
3. Soglia massima della transazione
Un ulteriore punto a favore della sicurezza dei pagamenti contactless riguarda la cifra massima della transazione, impostata dall’istituto di credito e memorizzata all’interno del POS. La soglia massima varia da nazione a nazione e varia anche a seconda della banca, ma generalmente non supera i trenta euro. Per un pagamento oltre la soglia massima sarà necessaria un’ulteriore conferma da parte dell’acquirente, ad esempio potrebbe essere richiesta l’inserzione del pin di sicurezza.
Al momento manca il controllo di transazioni di piccola cifra ma frequenti, che potrebbero essere utilizzate dai malintenzionati per rubare soldi alla vittima rispettando la soglia massima per singola transazione. Si spera che nei prossimi mesi venga aggiunto un ulteriore controllo.
Riassumendo, i pagamenti contactless sono sicuri, sebbene la sicurezza complessiva può sempre essere aumentata. Al momento non esistono soluzioni efficaci che i malintenzionati possano utilizzare per attuare delle truffe ai danni di ignari clienti. Sistemi sofisticati potrebbero essere sviluppati nei prossimi mesi o anni, ma sicuramente anche i sistemi di sicurezza si evolveranno parallelamente e saranno in grado di fronteggiare le nuove minacce.
Sempre sull'argomento sicurezza vi consigliamo un altro nostro articolo, molto interessante: i pericoli in Internet.