PayPass e pagamenti contactless: carte di credito a rischio clonazione
La tecnologia che avanza ci stupisce ogni giorno, ma non tutte le ciambelle escono col buco e la smania di velocizzare tutto spesso ci porta a correre più rischi a fronte di ben pochi benefici.
Prendiamo come esempio il "nuovo" metodo di pagamento contactless delle carte di credito, introdotto in Italia negli ultimi anni dai principali istituti di credito e da Poste Italiane in accordo con i circuiti Visa, MasterCard e American Express. Grazie alla tecnologia radio NFC integrata direttamente nella carta, è possibile effettuare pagamenti istantanei al di sotto dei 25 Euro tramite un lettore apposito nei negozi semplicemente appoggiando la carta al POS (in grado di leggerla già a distanza di 10 cm) senza bisogno di alcuna "strisciata" e firma. Un fantastico risparmio di una ventina di secondi di vita di cui tutti sentivamo il bisogno, giusto? Sbagliato! Perché nonostante il basso limite di possibilità di prelievo, questo tipo di tecnologia si porta dietro minacce ben più gravi, come il rischio di clonazone della propria carta di credito!
Tutti i moderni smartphone e tablet, infatti, sono anch'essi dotati di un chip NFC per la connettività wireless e tramite alcune applicazioni di non difficile reperibilità possono a loro volta tramutarsi in lettori di queste carte di credito, aggirare le protezioni e le cifrature e rivelare il numero della carta e la data di scadenza a qualche malintenzionato particolarmente abile con la tecnologia. E, a quel punto, il limite dei 25 Euro di spesa diventa totalmente superfluo se si usano questi dati sensibili per acquisti online di qualsiasi tipo, che vengono gestiti semplicemente tramite il "vecchio" inserimento manuale del numero della carta e della data di scadenza. Certo, molti portali richiedono anche il codice CVV di tre cifre presente sul retro della carta stessa e non memorizzato nel chip NFC, ma la maggior parte degli e-commerce (Amazon in testa!) non lo prevede affatto.
Alcuni ricercatori inglesi sono riusciti senza troppi problemi ad impossessarsi di ben 10 numeri di altrettante carte di credito e dati sensibili con questi semplici passaggi, arrivando (a scopo informativo e di denuncia, ovviamente) a comprare online beni per migliaia di sterline. In Italia di questo se ne parla ancora troppo poco e troppo tardi: un recente servizio de Le Iene ha portato la cosa all'attenzione del pubblico quando ormai moltissimi cittadini si ritrovano in tasca una carta di credito che supporta pagamenti contactless e di certo non si preoccupano di portarla in giro schermandola dietro strati di alluminio in stile "complotti e rapimenti alieni".
Qui in Gruppo DiGi abbiamo provato a chiedere agli sportelli delle banche dei nostri collaboratori se esista la possibilità, magari tramite il pannello di impostazioni del proprio Home Banking, di disabilitare il supporto ai pagamenti contactless delle nostre carte di credito, ma il responso è stato negativo (e con un certo stupore!). Quindi, anche se il furto resta di difficile attuazione, anche se staremo ben attenti sui mezzi pubblici a non farci sfiorare troppo e anche se qualcuno di noi prima o poi deciderà di avvolgere nella carta stagnola la propria carta di credito, ci ritroviamo ancora una volta a sentirci meno sicuri per un servizio che nessuno di noi ha chiesto e che, soprattutto, non può disattivare, con buona pace della trasparenza e della privacy tanto ostentate nelle pubblicità delle banche che ci propinano quotidianamente.