Carte di credito Contactless, sono sicure?

999

 

Il sistema di pagamento contactless (senza contatto) permette di effettuare acquisti tramite carte bancarie, smartcard e smartphone per mezzo delle tecnologie RFID e NFC, rispettivamente Radio-Frequency IDentification e Near-Field Communication. [1]

Queste tecnologie permettono di realizzare l’acquisto in modo facile e veloce: basta avvicinare la carta ad un terminale di pagamento, purchè presenti il relativo simbolo, senza più strisciare o introdurre le carte nei POS tradizionali. La tecnologia Contactless può essere utilizzata per transazioni di qualunque importo e, per spese sotto la soglia dei 25 euro non è necessario inserire il PIN, mentre per importi superiori verrà richiesto di firmare la ricevuta o di digitare il il codice.[2]
Lo stessa metodologia si applica anche ai cellulari dotati della funzionalità NFC, rendendo il device un comodo borsellino elettronico.

contactless 2


La semplicità e la rapidità permesse da questo metodo di pagamento sono indubbie, ma per quanto riguarda la sicurezza?

Secondo Giovanni D’Agata, fondatore dell’associazione Sportello Dei Diritti, i sistemi di pagamento dotati di tecnologia contactless sarebbero molto vulnerabili: «Un malintenzionato equipaggiato con un palmare venduto su Internet a pochi euro, può copiare agevolmente i dati di una carta contactless direttamente dalle tasche del titolare mentre il possessore della carta passeggia in strada», riferisce Sportello Dei Diritti. «È stato un grave problema in America e arriverà ad esserlo anche in Italia.[3] Le carte infatti possono essere protette solo se avvolte in stagnola o conservate in portafogli rivestiti con una speciale lamina. Il tema della sicurezza si fa ancora più delicato parlando di NFC, infatti stando a quanto spiegato da Raoul Chiesa, ethical hacker fondatore di Security Brokers, azienda specializzata nella fornitura di servizi di ICT Security e Cyber Defense, «Nel protocollo NFC esiste una baco che permette di rubare facilmente dati sensibili, movimenti bancari e soldi delle persone», ha detto Chiesa in un’intervista concessa di recente al Corriere della Sera. «Non sembra esserci un identikit della vittima tipo e per essere esposti al furto basta passare vicino al cybercriminale dotato di un apposito lettore. Quindi ad esempio metro, stazioni, aree di sosta e aeroporti diventano chiaramente luoghi a rischio», ha aggiunto l’esperto.  Secondo Chiesa, il problema, in Italia, è che il protocollo NFC è stato applicato alle transazioni economiche senza aver implementato la criptatura. «Senza autenticazione né cifratura è possibile rubare in chiaro tutti i dati e poi con quelli ad esempio effettuare acquisti su Amazon dove non è richiesto il CVV (Card Verification Value)».[4]

222222


D’altra parte però MasterCard, come riportato sul suo sito, afferma che: “Il pagamento contactless è sicuro perché la carta rimane sempre nelle tue mani. E con Mastercard sei sempre rimborsato in caso di acquisti non autorizzati [..] Mastercard rimborserà interamente le spese non autorizzate, anche al di sotto della franchigia prevista per legge” e aggiunge che con la tecnologia contactless è impossibile pagare per errore: nessun pagamento può essere effettuato se il terminale di pagamento non viene attivato e inoltre non è possibile pagare due volte lo stesso acquisto.
Ulteriori rassicurazioni giungono da Stefano Zanero, professore associato di sicurezza informatica al Politecnico di Milano, che all’associazione Altroconsumo spiega: «La tecnologia è basata su vari standard simili alla comunicazione NFC di cui sono dotati alcuni nostri telefonini cellulari - continua Zanero - come tutte le tecnologie per transazioni di pagamento, non sono immuni da potenziali attacchi, ma il tratto comune che dovrebbe rassicurare l’utente è la garanzia prestata dai circuiti per tutelarci dalle frodi. In altre parole, sono i circuiti di pagamento e gli esercenti che sono interessati a creare meccanismi sempre più inattaccabili. I consumatori sono invece tutelati a prescindere».

Date le opinioni discordanti sul tema, è comunque consigliabile procedere con cautela, valutando con attenzione quali applicazioni si installano sul proprio smartphone (verificando per esempio che siano autorizzate da Apple o Google), disattivare la connessione NFC quando non necessaria e attivarla solo al momento del pagamento e controllare periodicamente i movimenti bancari, contattando quanto prima il proprio istituto bancario in caso di transazioni non autorizzate o smarrimento.

Bibliografia
[1] https://it.wikipedia.org/wiki/Contactless_(smart_card)
[2] https://www.mastercard.it/it-it/privati/servizi-benefici/contactless.html
[3] https://www.sportellodeidiritti.org/news/
[4] https://www.corriere.it/inchieste/reportime/societa/come-ci-rubano-soldi-carta-credito/faa8baf0-1100-11e4-beef-e3441e67d81c.shtml