Contactless, pagamenti sicuri?

Le carte di credito NFC sono uno dei trend del momento, ma preoccupazioni per possibili furti ad opera di cybercriminali e potenziali violazioni della privacy potrebbero gettare delle ombre sul loro futuro. C'è qualcosa da temere?

Roma - I più scettici hanno sempre sostenuto che i pagamenti tramite tecnologia NFC sono comodi, ma insicuri. Ora la critica si è fatta più aspra, complice il recente rilascio su Play Store dell'applicazione Android gratuita Lettore di carte di credito. L'app nasce dal progetto EMV NFC Paycard Enrollment, di cui esiste documentazione e codice sorgente su GitHub: senza bisogno di immettere PIN o password permette di leggere le informazioni memorizzate nelle carte di credito NFC supportate (la lista è presente nella descrizione del Play Store). In pochi secondi rivela sul display una serie di dati riservati come il numero della carta (anche tutto in chiaro), la data di scadenza e le ultime dieci transazioni (svelando così quando e dove sono stati effettuati gli acquisti). Rimane fortunatamente nascosto il CVV, il codice di controllo a tre cifre richiesto per usare la carta negli acquisti online.

app Android Lettore di carte di credito

È inevitabile, quindi, porsi alcune domande. Siamo tutti così trasparenti ed esposti agli sguardi altrui? Dobbiamo temere la modernizzazione del denaro? In realtà, i pagamenti tramite smartphone sono ancora lontani dal diventare la norma. Anche in un Paese tecnologicamente avanzato come la Germania, solo un tedesco su tre riesce a immaginare di poter rinunciare ai contanti e il 96 per cento continua a pagare le bollette in maniera tradizionale. Anche i pagamenti tramite smartphone, che in Germania sono una realtà, non decollano: solo una persona su dieci usa quest'opportunità, gli altri vengono frenati da timori in materia di sicurezza. Molti pensano che un malintenzionato possa sfruttare qualche vulnerabilità per prosciugare loro il conto corrente mentre si trovano su un autobus affollato o in fila al supermercato, o nel caso di furto dello smartphone, ritenendo erroneamente che limitarsi a non impiegare la tecnologia di cui sono spesso già equipaggiati li protegga dai rischi.

Nonostante ciò, i dispositivi NFC sono sulla cresta dell'onda. La tecnologia Near Field Communication è già integrata in numerose carte di credito (come Mastercard e Visa), negli smartphone e in un numero sempre maggiore di terminali POS. Questa tecnologia usa microchip controllabili senza fili per trasferire rapidamente, su distanze massime di 10 centimetri, piccoli pacchetti dati che contengono le informazioni di pagamento. Per pagare, quindi, basta avvicinare lo smartphone a un terminale abilitato e sfiorarlo. Per pagamenti fino a 25 euro il tutto è immediato, senza bisogno di immettere PIN o firmare ricevute, con un discreto guadagno di tempo sia per gli acquirenti sia per gli esercenti.
Se il chip NFC è attivo, però, questo trasmette continuamente i dati bancari della carta (e non solo). Questa caratteristica tecnica è stata utilizzata, anche in passato, per condurre attacchi. I ricercatori della Technische Universität di Darmstadt hanno mostrato all'ultimo Chaos Communication Congress (tenutosi ad Amburgo a fine dicembre 2015) come sia possibile, utilizzando due smartphone opportunamente modificati e un'app realizzata ad hoc (battezzata NFCGate), addebitare un pagamento su una carta di credito anche se questa si trova a centinaia di chilometri di distanza.


Ma, in pratica, quanto è sicura questa tecnologia, considerata come il futuro dei pagamenti mobile e già utilizzata da molte catene commerciali in tutto il mondo? Gli esperti sono concordi nel ritenere questa forma di pagamento sicura almeno quanto la carta di debito. Finora non è noto nessun caso di furto di denaro via radio. Lo stesso Max Maas, uno degli studenti della Technische Universität di Darmstadt, ha ammesso in un'intervista che l'hack mostrato al CCC non rappresenta affatto un grande problema per gli utenti comuni. Lo scenario descritto ha, al massimo, valenza teorica. La pensa allo stesso modo Marc-Oliver Reeh, che si occupa di tecnologie NFC presso l'Università di Hannover: "Le banche e i venditori stanno mostrando un notevole interesse a ridurre le onerose transazioni in contanti, di conseguenza si fanno carico di gran parte del potenziale rischio che terzi accedano al sistema. Quando si paga in contanti, invece, ciascuno ha le proprie responsabilità".

Ma ci sono altri argomenti a favore della sicurezza di NFC. I dispositivi NFC trasmettono i dati (di solito) crittografati. Fino a quando i criminali non riescono a craccare questa chiave (cosa che comunque non è impossibile, sebbene richieda moltissimo tempo), tutte le informazioni sono sicure. Inoltre, si possono effettuare solo fino a tre pagamenti consecutivi senza inserire il PIN e alcune banche hanno regole ancora più severe. Così, la perdita massima è di 75 euro. Infine, i prelievi "liberi" limitati a 75 euro non incentivano di certo i malintenzionati: inutile lavorare tanto per un bottino così esiguo, fintanto che ci sono obiettivi più remunerativi.

Ma se l'aspetto della sicurezza è tutelato, per le motivazione suddette, lo stesso non sembra potersi dire rispetto alla privacy. È quantomeno discutibile il fatto che, tramite una semplice app scaricata dal Play Store, si possano leggere in chiaro e senza consenso i dati relativi ad un utente qualsiasi. Inoltre, difficilmente le banche spiegano che la carta memorizza praticamente tutte le operazioni che si compiono: su questo fronte c'è evidentemente bisogno di intervenire. In definitiva, la mancanza di sicurezza non è un argomento valido a contrastare la diffusione dei pagamenti mobile con NFC. È infatti molto più pericoloso trasportare con sé grosse somme di denaro o lasciare la carta di credito a un cameriere o a chiunque altro, sia solo per pochi secondi, visto che questi potrebbero clonarla e utilizzarla per fare acquisti online.
Notizie collegate
51 Commenti alla Notizia Contactless, pagamenti sicuri?
Ordina
  • Carta di credito contactless... tutti questi problemi per evitare di infilare la carta in una fessura.

    Certe volte il genere umano dovrebbe impegnare le proprie capacità in altra direzione.
    non+autenticato
  • Sei troppo avanti per questo forum a maggioranza tecnica...
    non+autenticato
  • Il fatto è che la cosa si può fare, ma meglio non con NFC e le relative onde radio: usando un paio di "canali ottici" (display <-> cam) puoi limitarti ad appoggiare fra loro due dispositivi i quali dialogheranno (senza leaks) tramite QRcode.
    Meglio ancora, come dice giustamente Panda Rossa, col QRcode criptato (alla fine sono dati eh).
    Nessuna banda magnetica da strisciare, nessun contatto da collegare infilando tessere.
    Magari qualche problema per chi non ha uno smartphone... ma l'avrebbe avuto comunque per via dell'NFC.
    880
  • Tempo addietro (qualche mese fa), un collega mi fece notare il "magnifico nuovissimo servizio di pagamento via NFC": gli feci un'analisi (non troppo) sui generis con la quale lo convinsi abbastanza del fatto che NFC fosse insicuro e, sempre se non vado errato, per questo motivo alcuni (PayPal?) si stavano dotando di transazioni via QRcode: alla fine, se devi usare uno smartphone, il display e la cam ce l'hai sempre, mentre NFC non è installato ovunque.
    Oltre a tutto NFC irradia, quindi è captabile, mentre QRcode è video: basta appoggiare lo smartphone con la cam in vista del video (diciamo un POS che usi QRcode, quindi anche lui dotato di video/cam), cosa che può ben avvenire in una sorta di "camera oscura" (basta poco) e nessuno capta nulla.
    QRcode permetterebbe di transare via smartphone ad una gran parte della gente, NFC a molti di meno, credo.
    -----------------------------------------------------------
    Modificato dall' autore il 14 maggio 2016 02.57
    -----------------------------------------------------------
    880
  • QR code necessita di internet sul gsm, e non sempre questa è una costante.
    non+autenticato
  • - Scritto da: Sky
    > Tempo addietro (qualche mese fa), un collega mi
    > fece notare il "magnifico nuovissimo servizio di
    > pagamento via NFC": gli feci un'analisi (non
    > troppo) sui generis con la quale lo convinsi
    > abbastanza del fatto che NFC fosse insicuro e,
    > sempre se non vado errato, per questo motivo
    > alcuni (PayPal?) si stavano dotando di
    > transazioni via QRcode: alla fine, se devi usare
    > uno smartphone, il display e la cam ce l'hai
    > sempre, mentre NFC non è installato
    > ovunque.
    > Oltre a tutto NFC irradia, quindi è captabile,
    > mentre QRcode è video: basta appoggiare lo
    > smartphone con la cam in vista del video (diciamo
    > un POS che usi QRcode, quindi anche lui dotato di
    > video/cam), cosa che può ben avvenire in una
    > sorta di "camera oscura" (basta poco) e nessuno
    > capta
    > nulla.
    > QRcode permetterebbe di transare via smartphone
    > ad una gran parte della gente, NFC a molti di
    > meno,
    > credo.
    > --------------------------------------------------
    > Modificato dall' autore il 14 maggio 2016 02.57
    > --------------------------------------------------

    qrcode e sicurezza? Io considero un qrcode sicuro solo se con contenuto cifrato, leggibile solo da apposita app che conosce la chiave di decifratura.
    non+autenticato
  • QRcode sono dati, ergo possono essere cifrati: era di quello che parlavo, anche se non esplicitamente.

    Ad ogni modo, il "canale ottico" (tipo tubo scuro nel quale sono reciprocamente visibili solo cam e display fra di loro) è già una protezione di suo dalla "captabilità". La cifratura, per quanto ovvia, aggiunge ulteriore sicurezza ed è certamente gestibile dai dispositivi attuali.
    Nessuno fa wardriving su un dispositivo ottico che opera al chiuso.
    880
  • Le banche sostengono di essere pronte a rimborsare tutti i pagamenti truffaldini. Ma in un estratto conto con decine di pagamenti quanti noteranno un pagamento truffaldino di 15/20 euro?

    Una volta notato un pagamento truffaldini qunti moduli bisogna riempire per riavere i propri soldi? Non è cha alla fine il tempo perso appresso al rimborso vale più del rimborso stesso?
    non+autenticato
  • Ma tanto sarai sempre tu a pagare i rimborsi per via dei costi più alti dei servizi
    non+autenticato
  • Ma in queste stramaledette carte di credito NFC, non era proprio possibile inserire un f**utissimo interruttore con due spirali, tipo scheda del telecomando, dove appoggiare il dito?

    Appoggi il dito e fai contatto: la carta funziona contactless
    NON appoggi il dito: è una carta normale NON contactless

    E tanti saluti ai lettori truffaldini: finché non appoggi il dito non c'è trippa per gatti.

    Ma immagino che siano soluzioni tecniche inconcepibili/impossibili/non si può/non si deve/ma che ne sai tu/ecc.
    In soldoni: meglio il furto di dati tanto al massimo ti fregano 25 Euro (ma forse la privacy e i dati della c/c valgono anche un po' di più)
    non+autenticato
  • - Scritto da: xx tt
    > Ma in queste stramaledette carte di credito NFC,
    > non era proprio possibile inserire un f**utissimo
    > interruttore con due spirali, tipo scheda del
    > telecomando, dove appoggiare il
    > dito?
    >
    > Appoggi il dito e fai contatto: la carta funziona
    > contactless
    > NON appoggi il dito: è una carta normale NON
    > contactless
    >
    > E tanti saluti ai lettori truffaldini: finché non
    > appoggi il dito non c'è trippa per
    > gatti.
    >
    > Ma immagino che siano soluzioni tecniche
    > inconcepibili/impossibili/non si può/non si
    > deve/ma che ne sai
    > tu/ecc.
    > In soldoni: meglio il furto di dati tanto al
    > massimo ti fregano 25 Euro (ma forse la privacy e
    > i dati della c/c valgono anche un po' di
    > più)

    Parli di un microswitch come quelli di quando cliccki sul mouse penso, dove non capisco cosa c'entrano le due spirali. Ma sai comìè, piatto è bello.
    Anzi no, esistono da anni telecomandi WiFi (nel mio caso per una penna DVB/T USB) delle dimensioni di una carta di credito, appena un po' più spesse, alimentati da una pila superpiatta per orologi, dove la copertura plastificata presenta in corrispondenza dei tasti di digitazione solo delle piccole bolle slastiche quasi piatte (di altezza meno di un mm.).

    Ma se la ragione per cui sti maledetti apparecchi spargono continuamente all'esterno le tue info più sensibili non è un sottile motivo politico, si tatta di piena e massiccia stupidità umana di chi comanda i progettisti, che loro l'interruttore attivatore lo avremmero messo, ma evidentemente non era figo a vedersi...
  • Credo intendesse quei contatti appaiati, costituiti da piste di rame o altro metallo, che non si toccano: quando li tocchi entrambi con un dito la resistenza della pelle è sufficiente per farli passare ON.
    Se stacchi il dito sono OFF.
    Quindi niente che trasmetta in continuazione nulla, da OFF, e per attivare basta tenerla in mano (dito appoggiato). Non ci sono parti meccaniche in movimento.
    880
  • > Quindi niente che trasmetta in continuazione
    > nulla, da OFF, e per attivare basta tenerla in
    > mano (dito appoggiato). Non ci sono parti
    > meccaniche in
    > movimento.

    Esatto. Si vedono molto banalmente nelle schede elettroniche dei telecomandi o dei vecchi cellulari a tasti: sotto ogni tasto c'è un piccolo cilindro metallico ancorato ad una gomma elastica e sotto le due spirali. Quando spingi il tasto, il cilindretto fa contatto facendo "ponte" tra le spirali.

    Non serve alcuna alimentazione: è solo un contatto passivo.

    A livello estetico delle c/c sarebbe un altro microchip solo che al posto del disegno a blocchetti avresti le due spirali dove mettere il dito: niente di che.


    E coi dati acquisibili da cani&porci non si parla solo di perdere soldi: se qualcuno fa acquisti su un sito pedopornografico con la tua carta di credito, il rimborso è l'ultimo dei tuoi problemi...
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)