I più scettici hanno sempre sostenuto che i pagamenti tramite tecnologia NFC sono comodi, ma insicuri. Ora la critica si è fatta più aspra, complice il recente rilascio su Play Store dell’applicazione Android gratuita Lettore di carte di credito . L’ app nasce dal progetto EMV NFC Paycard Enrollment , di cui esiste documentazione e codice sorgente su GitHub : senza bisogno di immettere PIN o password permette di leggere le informazioni memorizzate nelle carte di credito NFC supportate (la lista è presente nella descrizione del Play Store). In pochi secondi rivela sul display una serie di dati riservati come il numero della carta (anche tutto in chiaro), la data di scadenza e le ultime dieci transazioni (svelando così quando e dove sono stati effettuati gli acquisti). Rimane fortunatamente nascosto il CVV, il codice di controllo a tre cifre richiesto per usare la carta negli acquisti online.
È inevitabile, quindi, porsi alcune domande. Siamo tutti così trasparenti ed esposti agli sguardi altrui? Dobbiamo temere la modernizzazione del denaro? In realtà, i pagamenti tramite smartphone sono ancora lontani dal diventare la norma. Anche in un Paese tecnologicamente avanzato come la Germania, solo un tedesco su tre riesce a immaginare di poter rinunciare ai contanti e il 96 per cento continua a pagare le bollette in maniera tradizionale. Anche i pagamenti tramite smartphone, che in Germania sono una realtà, non decollano: solo una persona su dieci usa quest’opportunità, gli altri vengono frenati da timori in materia di sicurezza. Molti pensano che un malintenzionato possa sfruttare qualche vulnerabilità per prosciugare loro il conto corrente mentre si trovano su un autobus affollato o in fila al supermercato, o nel caso di furto dello smartphone, ritenendo erroneamente che limitarsi a non impiegare la tecnologia di cui sono spesso già equipaggiati li protegga dai rischi.
Nonostante ciò, i dispositivi NFC sono sulla cresta dell’onda. La tecnologia Near Field Communication è già integrata in numerose carte di credito (come Mastercard e Visa), negli smartphone e in un numero sempre maggiore di terminali POS . Questa tecnologia usa microchip controllabili senza fili per trasferire rapidamente, su distanze massime di 10 centimetri, piccoli pacchetti dati che contengono le informazioni di pagamento. Per pagare, quindi, basta avvicinare lo smartphone a un terminale abilitato e sfiorarlo. Per pagamenti fino a 25 euro il tutto è immediato, senza bisogno di immettere PIN o firmare ricevute, con un discreto guadagno di tempo sia per gli acquirenti sia per gli esercenti.
Se il chip NFC è attivo, però, questo trasmette continuamente i dati bancari della carta (e non solo). Questa caratteristica tecnica è stata utilizzata, anche in passato , per condurre attacchi. I ricercatori della Technische Universität di Darmstadt hanno mostrato all’ultimo Chaos Communication Congress (tenutosi ad Amburgo a fine dicembre 2015) come sia possibile, utilizzando due smartphone opportunamente modificati e un’app realizzata ad hoc (battezzata NFCGate ), addebitare un pagamento su una carta di credito anche se questa si trova a centinaia di chilometri di distanza.
Ma, in pratica, quanto è sicura questa tecnologia, considerata come il futuro dei pagamenti mobile e già utilizzata da molte catene commerciali in tutto il mondo? Gli esperti sono concordi nel ritenere questa forma di pagamento sicura almeno quanto la carta di debito. Finora non è noto nessun caso di furto di denaro via radio. Lo stesso Max Maas, uno degli studenti della Technische Universität di Darmstadt, ha ammesso in un’intervista che l’hack mostrato al CCC non rappresenta affatto un grande problema per gli utenti comuni. Lo scenario descritto ha, al massimo, valenza teorica. La pensa allo stesso modo Marc-Oliver Reeh, che si occupa di tecnologie NFC presso l’Università di Hannover: “Le banche e i venditori stanno mostrando un notevole interesse a ridurre le onerose transazioni in contanti, di conseguenza si fanno carico di gran parte del potenziale rischio che terzi accedano al sistema. Quando si paga in contanti, invece, ciascuno ha le proprie responsabilità”.
Ma ci sono altri argomenti a favore della sicurezza di NFC. I dispositivi NFC trasmettono i dati (di solito) crittografati. Fino a quando i criminali non riescono a craccare questa chiave (cosa che comunque non è impossibile, sebbene richieda moltissimo tempo ), tutte le informazioni sono sicure. Inoltre, si possono effettuare solo fino a tre pagamenti consecutivi senza inserire il PIN e alcune banche hanno regole ancora più severe. Così, la perdita massima è di 75 euro. Infine, i prelievi “liberi” limitati a 75 euro non incentivano di certo i malintenzionati: inutile lavorare tanto per un bottino così esiguo, fintanto che ci sono obiettivi più remunerativi.
Ma se l’aspetto della sicurezza è tutelato, per le motivazione suddette, lo stesso non sembra potersi dire rispetto alla privacy . È quantomeno discutibile il fatto che, tramite una semplice app scaricata dal Play Store, si possano leggere in chiaro e senza consenso i dati relativi ad un utente qualsiasi. Inoltre, difficilmente le banche spiegano che la carta memorizza praticamente tutte le operazioni che si compiono: su questo fronte c’è evidentemente bisogno di intervenire. In definitiva, la mancanza di sicurezza non è un argomento valido a contrastare la diffusione dei pagamenti mobile con NFC . È infatti molto più pericoloso trasportare con sé grosse somme di denaro o lasciare la carta di credito a un cameriere o a chiunque altro, sia solo per pochi secondi, visto che questi potrebbero clonarla e utilizzarla per fare acquisti online.
Ti potrebbe interessare
13 mag 2016