– servizio a cura di Sergio Bedessi –
Ormai da tempo siamo tutti dotati di bancomat o carte di credito del tipo “contactless”; questo ci consente di effettuare i pagamenti nei negozi senza più dover battere il PIN (Personal Identification Number) sul POS (Point of Sale) o senza dover firmare lo strisciolino in caso di carta di credito.
Da poco si è aggiunto un altro strumento di pagamento: lo smartphone, che può essere utilizzato al posto di bancomat e carte di credito, in modo ancora più semplice.
Mentre bancomat e carte di credito supportano la tecnologia RFID (Radio Frequency Identification), ormai integrata in carte di debito, in carte di credito prepagate, in carte prepagate multiservizi, e nelle carte di credito tradizionali, gli smartphone utilizzano la tecnologia NFC (Near Field Communication).
Quello che dobbiamo chiederci è: questi strumenti sono sicuri? Rischiamo che qualcuno possa effettuare pagamenti al posto nostro in modo più o meno facile?
Quella che da una parte ci sembra una grande facilitazione (chissà che perdita di tempo sarà mai battere un pin o firmare una ricevuta …) dall’altra rischia di tramutarsi in un drammatico abbassamento della sicurezza del nostro conto corrente e del nostro denaro.
Per una serie di motivi infatti tutto ciò che costituisce una facilitazione nelle transazioni, di qualsiasi tipo, si riflette in una perdita in termini di sicurezza delle stesse: rapidità e semplicità non vanno di pari passo con la sicurezza.
Infatti non solamente i dati scambiati dalla carta contactless possono essere carpiti da chi abbia uno smartphone e che usando una particolare applicazione si avvicinasse a noi nello stesso momento nel quale effettuiamo la transazione, ma ben ci potrebbe essere qualcuno con un POS contraffatto che, simulando di accettare un pagamento potrebbe usarlo semplicemente per carpire i dati e riutilizzarli subito dopo, tenuto conto che l’uso della carta non necessita più del PIN.
Tutte queste ipotesi sono plausibili e reali, anche se non molto comuni, visto che il sistema NFC ed il sistema HCE (Host Card Evolution), utilizzato dagli smartphone, non sono certo indenni da problematiche di sicurezza, come molti esperti hanno varie volte segnalato (come per esempio nello studio Security Analysis of Near-Field Communication Payments, di Dennis Giese, Kevin Liu, Michael Sun, Tahin Syed, Linda Zhang, Maggio 2018, http://nearfieldcommunication.org).
Risulta ovviamente difficile per un malintenzionato avvicinarsi a brevissima distanza mentre si sta facendo una transazione, carpendo i dati della carta, ed ancor più difficile mettere in atto una truffa utilizzando un falso pos che carpisca i dati della carta.
Risulta invece molto più semplice rubare la carta (fisica) ed utilizzarla per una serie di rapidi pagamenti contacless arrivando in pochi minuti fino al massimale consentito per un giorno per il bancomat (250 euro che però molte persone alzano) o quello di un mese per la carta di credito (quasi sempre 1.000 ).
Infatti gli istituti di credito hanno si fissato a 25 euro l’importo massimo per ciascun pagamento contactless, superato il quale si dovrà firmare lo scontrino (se carta di credito) oppure digitale il codice PIN (in caso di bancomat o carta di credito con PIN), ma un ladro che ci portasse via il bancomat in un grande centro commerciale, senza che ce ne accorgessimo (perché altrimenti lo bloccheremmo prima possibile), potrebbe ben utilizzarlo per una serie di piccoli acquisti nello stesso centro commerciale, considerato che gli esercizi sono molti e vendono merce anche a prezzi bassi, inferiore ai 25 euro, il limite per le transazioni contactless.
Cosa fare dunque?
In questo caso gli strumenti elettronici hanno lo stesso problema delle vecchie banconote, basta averli in mano per poterli utilizzare:
dunque bisogna non farseli rubare!