I pagamenti con le carte contactless sono sicuri?
Vi spieghiamo come funzionano e cosa si dovrebbe fare per acquistare in tranquillità
Al supermercato succede sempre più spesso, per spese di piccola entità (inferiori a 25 euro): diamo il bancomat alla cassiera, lei lo poggia sul POS et voilà, il pagamento è effettuato, senza che vi sia la necessità di inserire la carta stessa in uno slot, strisciarne il lato magnetico, e meno che mai digitare il PIN.
Qualcuno potrebbe chiedersi: non è che tutta questa semplicità nel trasferimento di denaro potrebbero averla anche degli hacker che riuscissero a intercettare i nostri dati? Facciamo il punto della situazione.
Le moderne carte di pagamento, e anche molti smartphone, contengono tecnologie RFID e NFC (un'evoluzione dell'RFID) che permettono di memorizzare e trasmettere dati grazie a un chip wireless.
L'RFID ("Radio-Frequency IDentification", ossia "identificazione a radiofrequenza") è una tecnologia per identificare e memorizzare automaticamente una serie di informazioni riguardanti qualsiasi essere vivente od oggetto. I chip funzionano memorizzando dati da etichette elettroniche ("tag") che rispondono quando vengono interrogate a distanza, in radiofrequenza appunto, da parte di specifici lettori ("reader").
I dispositivi RFID si trovano un po' dappertutto, ormai. Tanto per rimanere nell'esempio di un supermercato, sono RFID le etichette adesive antitaccheggio che vengono nascoste all'interno di merci di pregio e che fanno suonare l'allarme quando non vengono disattivate dalle cassiere. Sono RFID i chip contenuti nei moderni passaporti. Gli RFID sono contenuti, poi, anche dentro le carte di pagamento.
I tag utilizzati sono in pratica di due tipi:
- passivi: necessitano di un segnale radio affinchè siano letti dai reader; i loro limiti sono 1) le distanze ridottissime alle quali possono operare e 2) la scarsa quantità di informazioni in essi immagazzinabili. Nelle carte di credito sono contenuti proprio questi, oggi con la più moderna tecnologia NFC.
- attivi: sfruttano una batteria per poter trasmettere più lontano maggiori quantità di dati. E' il caso dei dispositivi montati sul cruscotto dei veicoli che permettono di pagare i pedaggi autostradali.
La domanda più scottante che si pone è quindi: un hacker può rubare a distanza i dati di una carta di credito dotata di chip RFID? In linea teorica potrebbe farlo, usando un lettore dal costo irrisorio (una ventina di euro). Come? Semplicemente standoci vicini (ad esempio, in un tram affollato) per pochi secondi.
In teoria, appunto. Nella pratica, dovrebbe posizionarsi a meno di 3 cm dalla carta da clonare per poter ricevere i dati. Anche se riuscisse a leggerli, si troverebbe con un pugno di dati cifrati inutilizzabili. Le moderne carte, infatti, sono dotate di chip RFID di seconda generazione che offre una protezione molto più robusta rispetto a prima. Inoltre, per dare la mazzata finale al potenziale truffatore, il chip funziona generando ad ogni transazione un codice di autorizzazione univoco, del tutto inutile per effettuare altri acquisti.
Ultimamente si è diffusa una moda, quella dei portafogli "sicuri" perchè schermati agli occhi dei lettori. Questi accessori sono semplicemente foderati con un foglio di alluminio che protegge la/le carte da "occhi" indiscreti. Certo, si potrebbe usare un banale foglio di alluminio da cucina, ma oltre a essere antiestetico avrebbe la tendenza a strapparsi troppo spesso. Per questo motivo (è sufficiente fare una veloce ricerca sui maggiori shop online) si trovano interi cataloghi di portafogli "protetti" più o meno eleganti.
Ma sono davvero efficaci? In sè e per sè, la schermatura funziona. Ma l'eventuale ladro quale convenienza avrebbe a mettere in atto un furto di dati che, sarebbero cifrati (come abbiamo già accennato)? Lo stesso criminale potrebbe, con molta più facilità, comprare online per pochissimi soldi i dati di migliaia di carte di credito rubate e usarle in modo più proficuo al riparo da telecamere di sorveglianza e occhi indiscreti.
Il problema, più che altro, risiede nel contatto di un ladro con una carta contactless (e anche non contactless). Cosa fare per prevenire l'utilizzo non autorizzato delle nostre carte, quindi?
Ecco alcuni consigli (validi anche per acquisti fatti con le carte in generale), sicuramente più utili di un portafogli schermato...
1) Non conservate le carte in tasche o zainetti o borse o comunque posti facilmente accessibili. Attenti ai mezzi pubblici troppo affollati, dunque, ma anche ai tavolini di un bar: basta veramente una frazione di secondo.
2) Non lasciate che nessuno si allontani da voi per effettuare un pagamento: è il momento in cui potrebbero usare uno skimmer per rubare i dati dalla striscia magnetica
3) Chiedete sempre uno scontrino o una ricevuta per evitare che vi addebitino una cifra più alta di quella pubblicizzata/concordata
4) Assicuratevi di bloccare immediatamente qualsiasi carta bloccata o perduta
5) Evitate siti semisconosciuti o di scarsa reputazione: non affidate con leggerezza i dati della vostra carta
6) Controllate con regolarità gli estratti conto e contestate subito eventuali pagamenti che non riconoscete; ovviamente, è meglio bloccare la carta, se ci sono più pagamenti, con una chiamata al servizio clienti della banca e fare una denuncia alle autorità, da consegnare poi alla banca stessa
7) Se la carta è stata usata fraudolentemente online, potete fare un reclamo scritto all'emittente della carta, che dovrà restituire tutta la somma, senza applicare franchigie, entro 30 giorni. Se non ricevete risposta potete ricorrere all'Arbitro bancario e finanziario.
