E’ oramai da tempo che sentiamo parlare di sistemi di pagamento contactless (senza contatto) o vediamo pubblicità che incitano all’utilizzo di tale pagamento, che prevedono l’utilizzo di carte di credito a tecnologia RFID, acronimo che sta per Radio Frequency IDentification (Identificazione a Radio Frequenza). Si tratta di una soluzione che consente di effettuare transazioni senza introdurre le carte nei tradizionali POS (Point of Sale) e senza digitare il PIN (Personal Identification Number) per pagamenti generalmente non superiori ai 30 euro.
Utilizzare una carta di pagamento contactless è semplice:
- l’esercente digita l’importo della transazione sul display del lettore contactless
- il consumatore avvicina la carta al lettore
- il lettore contactless emette un segnale luminoso e acustico a conferma della lettura della carta, ovvero dell’avvenuto pagamento
Questa facilità d’uso ci fa sorgere dei dubbi circa la facilità di rubare denaro da parte dei cybercriminali e quindi la domanda sorge spontanea
la mia carta è al sicuro?
Per scoprirlo, abbiamo analizzato diversi report di conferenze del settore e fonti dirette dei circuiti di pagamento, di seguito un breve sunto sui sitemi di sicurezza delle carte contactless e come proteggerci.
Raggio d’azione
Le carte di credito contactless operano con la tecnologia NFC (simile alla RFID). Il raggio della trasmissione NFC è breve, inferiore ai 4 cm, per cui per il furto c’è un primo impedimento fisico. Il lettore, in sostanza, dovrebbe essere collocato nelle immediate vicinanze della tessera, operazione che non passa certo inosservata. Tuttavia, esistono scanner compatti in grado di leggere i dati NFC da una distanza di 80 cm. Un dispositivo di questo tipo potrebbe essere utilizzato per intercettare le carte contactless sui mezzi pubblici, nei centri commerciali, aeroporti e altri luoghi affollati. Di recente si è scoperto che non c’è neanche bisogno di uno scanner apposito nelle vicinanze. Un sistema elegante per “eliminare la distanza” è stato sviluppato da alcuni hacker e consiste nel convertire alcuni tipi di smartphone dotati di lettore NFC (oggi molti dispositivi di ultima generazione ne sono già dotati) attraverso l’uso di un Trojan, quando lo smartphone infetto viene collocato vicino a una carta di credito contactless, segnala ai cybercriminali la possibilità di eseguire una transazione inviando i dati attraverso la connessione Internet dello smartphone, indipendentemente dal raggio di azione disponibile.
Crittografia
Individuare una carta di credito presente nel raggio d’azione del lettore rappresenta solo metà del lavoro. Se la banda magnetica può essere clonata facilmente, con il chip non è possibile. Quando riceve una richiesta da un terminale POS, il circuito integrato genera un codice usa e getta, il quale può anche essere intercettato ed utilizzato al massimo per una sola transazione del valore massimo di 30 euro, ma non servirà per successive transazioni, questo vuol dire che comunque è possibile rubare i dati per effettuare una singola transazione.
Valore della transazione
C’è un’ulteriore linea di difesa: il limite delle somme che si possono pagare con il sistema contactless. Tale limite è impostato nel terminale POS, indicato dall’ente bancario in base alle raccomandazioni definite dai singoli sistemi di pagamento attualmente in Italia tale limite è fissato in 30 euro. Se si dovesse superare questo limite, la transazione non verrà effettuata o sarà richiesta una conferma ulteriore, come l’inserimento di un codice PIN, una password o il codice CVV riportato dietro la carta.
L’aspetto più importante
Sebbene la tecnologia contactless preveda diversi livelli di protezione, non vuol dire che il nostro denaro sia protetto al 100%, molti aspetti delle carte di credito si basano ancora su tecnologie obsolete come bande magnetiche, possibilità di pagare online senza sistemi di autenticazione aggiuntivi ecc. infatti alcuni siti online consentono di effettuare acquisti semplicemente inserendo il numero di carta di credito e le relative date di scadenza che sono facilmente acquisibili attraverso scanner, senza l’inserimento del codice CVV o password pertanto di seguito riportiamo alcuni consigli utili.
Consigli di base sulla sicurezza
- Assicuratevi che nessuna possa visualizzare il codice PIN o altre informazioni della carta tipo il codice CVV di 3 o 4 cifre riportato sul retro della stessa;
- Abilitiamo le notifiche via SMS per le nostre transazioni. Prima veniamo a sapere di un furto sulla nostra carta, maggiori probabilità abbiamo di avere indietro il denaro;
- Se non viaggiamo tanto per il mondo, un’idea potrebbe essere limitare l’area d’uso della carta (se poi andiamo all’estero, possiamo attivare l’operatività della nostra carta per il paese in cui ci stiamo dirigendo). Si tratta di una misura di sicurezza che ha efficacia provata in molti paesi europei;
- Fate attenzione alla provenienza ed alla fonte dell’ App che scaricate e dotatevi di un buon antivirus;
- Per assicurarvi che nessuna possa leggere i dati della vostra tessera NFC, potreste sempre comprare un sistema che protegga la carta ne esistono diversi in commercio acquistabili con pochi euro di spesa.
Per il resto, rimaniamo sempre vigili. La carta di credito è davvero molto utile ma a volte questa comodità ci si può ritorcere contro. E il consiglio di sempre: meglio apparire ridicoli e paranoici che essere truffati e rimanere al verde.
