Pagare con un tocco
Carte di credito e bancomat sono oramai entrati in una nuova era, in linea con la velocità dei pagamenti elettronici e la facilità dei pagamenti online. Se alla sua comparsa, qualche decennio fa, la carta di credito veniva letta con un lettore meccanico che copiava su una sorta di carta carbone della ricevuta il numero da usare per la transazione, oggi carte di credito e bancomat vengono letti esclusivamente in maniera elettronica.
E’ il famoso POS (acronimo di Point Of Sale, cioè “punto di vendita”) dove tutti inseriamo la carta per pagare la spesa, vestiti o anche solo una birra. Lo scopo è quello di ridurre e scoraggiare l’uso del contante e molti paesi, soprattutto in Nord Europa, sono già virtualmente “cash free”: è possibile usare le carte anche per salire sulla metro (in realtà questo è possibile anche a Roma e Milano) o pagare un caffè.
Dal POS dove si inserisce la carta si è rapidamente passati al POS basato su tecnologia RFID o NFC, che in sostanza riconosce a distanza un particolare dispositivo elettronico senza bisogno di contatto fisico. E’ la stessa tecnologia che, ad esempio, viene usata per evitare furti nei negozi, apponendo particolari etichette che vengono rilevate all’uscita.
L’uso della carta contactless velocizza le operazioni di pagamento e permetto l’uso rapido di lettori dedicati anche in situazioni di grande traffico di persone, come nelle stazioni, in metropolitana ecc. Basta appoggiare (o “tappare” secondo un brutto neologismo mutuato dall’inglese) la carta sul lettore o sfiorarlo perché istantaneamente venga addebitato il pagamento. In genere sotto i 25€ di spese non viene richiesto alcun codice e l’addebito è istantaneo.
Possono rubare i miei dati personali?
L’utilizzo contactless ha fatto sorgere dubbi sulla sicurezza di un pagamento così veloce e che non richiede alcuna autorizzazione. Complici anche alcune leggende urbane, si è diffuso un certo timore sull’uso di queste carte. Vediamo di fare chiarezza. Il timore è che la carta di credito possa essere letta a distanza in modo da utilizzarne i dati per fare acquisti magari online, o per realizzare cloni fisici della carta stessa.
Qualche anno fa sono usciti servizi in tv e sui giornali, con una foto, divenuta virale, di un tipo che su un autobus aveva un lettore portatile per rubare carte semplicemente passando vicino agli ignari passeggeri. Questa storia è stata molto esagerata ed allargata, ma in teoria il pericolo c’è.
Da quando esistono carte di credito e bancomat, i malintenzionati hanno imparato a disporre di “skimmer” o clonatori, che, passandoci sopra la carta, rilevano i dati della stessa permettendone la clonazione. Oggi sono molto diffusi anche i POS portatili, piccoli e discreti, da usare anche in collegamento con un telefonino per richiedere il pagamento. Sono usati da consulenti e professionisti che magari si spostano molto per farsi pagare le loro parcelle sul momento. Teoricamente per un malintenzionato basta usare un POS portatile per leggere le carte di persone individuate a caso sui mezzi pubblici o addirittura farsi accreditare a loro insaputa importi sul proprio conto corrente.
Addirittura oggi esistono delle app che, se usate su telefoni che prevedono la tecnologia RFID, permettono di leggere i dati delle proprie o altrui carte dotate di tecnologia contactless, ma in realtà non è così immediato il furto di dati.
Come difendersi?
Ci sono vari modi per evitare abusi ed utilizzi fraudolenti dei propri mezzi di pagamento elettronico, ma bisogna anche distinguere l’allarme reale dalle bufale. In generale ci sono due rischi; il primo è l’addebito immediato di spese non effettuate, il secondo è l’intercettazione dei numeri della carta per poterli utilizzare magari su siti di e-commerce.
L’uso di lettori portatili innanzitutto è limitato dalla prossimità della carta da leggere, che deve trovarsi entro un paio di centimetri di distanza dal lettore: difficile quindi che una carta possa essere letta se tenuta in borsa o in una tasca interna, più verosimile che una lettura possa essere fatta tenendo il portafogli nella tasca posteriore del pantalone.
Sono stati realizzati dispositivi fraudolenti in grado di “leggere” carte a 80 cm di distanza, ma non sono certo alla portata dei ladruncoli. Anche se il ladro volesse usare un lettore POS portatile comunemente in commercio, posto che nessuno lo veda, c’è da considerare che dovrebbe addebitare le carte rubate su un qualche conto corrente e che quindi sarebbe comunque facilmente tracciabile. A meno di non usare conti correnti virtuali, magari basati su paesi stranieri con scarsi controlli su queste procedure, per il ladro sarebbe rischiosa una procedura del genere.
Ci sono inoltre dei sistemi di cifratura usati dalle carte per “parlare” con i POS che mettono al sicuro da intercettazioni fatte con apparecchiature non regolarmente denunciate.
Infine ci sono i bassi limiti di spesa per l’utilizzo senza autorizzazione delle carte contactless, grazie ad essi è possibile evitare addebiti fraudolenti. Il sistema è quindi intrinsecamente sicuro, secondo Kaspersky Lab che già anni fa definì come molto basso il rischio di furto, ma la possibilità di rubare comunque alcune informazioni (ma non tutte per fortuna) dalle carte di credito c’è, come può provare chiunque usando una delle tante app per leggere i sistemi contactless.
Custodie e facili metodi di schermatura
Per chi non vuole vivere nell’ansia esistono comunque facili metodi per difendere la privacy delle proprie carte di credito. Innanzitutto si possono acquistare (anche su Amazon) delle custodie di carte di credito a pochi euro, sono in grado di schermare la carta contro le intercettazioni RFID, qualcuno consiglia di avvolgere la carta nella stagnola, ma non ci sono garanzie che funzioni ed è comunque un metodo poco pratico.
Alcuni arrivano a consigliare di usare una punta di trapano molto fine per distruggere l’antenna RFID della carta di credito, ma è un metodo decisamente da paranoici che molto probabilmente porterà solo alla distruzione della carta stessa.
Regole di prudenza sempre valide
Per le carte contactless valgono comunque le regole di prudenza da adottare con qualsiasi carta fisica per evitare che nome e numero di carta possano essere facilmente copiabili e quindi riutilizzabili. Le stesse regole valgono quando si usa il cellulare come mezzo di pagamento contactless, anche se in questo caso è più facile disabilitare la funzione sul cellulare ed è comunque sempre richiesto un pin preventivo prima del pagamento.
Non c’è bisogno di sofisticate apparecchiature se si dispone, anche solo per brevi istanti, della carta: basta copiare con una penna tutti i dati riportati per causare notevoli danni acquistando fraudolentemente online.
Il passaggio fisico della carta va quindi limitato il più possibile, meglio quindi “tappare” o strisciare la carta di persona sul POS senza affidarla a commessi o camerieri e val la pena di coprire con un pezzetto di nastro adesivo parte del numero e dei codici di controllo stampati sul retro della carta. Meglio ancora sarebbe cancellare i codici sul retro con un taglierino e memorizzarli.
Attenzione anche quando si usa personalmente un POS: inserire sempre il PIN lontano da occhi indiscreti e possibilmente coprendo con una mano per evitare le telecamere del locale in cui ci si trova. Molte banche o circuiti di carte di credito permettono di disabilitare da web la funzione contactless ed è quindi consigliabile informarsi in modo da poter avere la sicurezza totale in questo senso.
Vanno poi abilitate le funzioni che le banche mettono a disposizione per controllare le proprie transazioni elettroniche: SMS di avviso per ogni spesa ed estratti conto giornalieri sul telefonino, in modo da avere sempre il controllo sulle spese effettuate ed avvisare tempestivamente la banca in caso di uso fraudolento.