Inchieste/CartaSì a rischio internet

Bug nella sicurezza CartaSì: Punto Informatico ha accertato che con CartaSì basta una telefonata per far chiudere i siti ospitati dai servizi di hosting internazionali


Roma – Ieri l’incredibile conferma dell’ufficio gestione dei servizi CartaSì, la popolare carta di credito convenzionata Visa dei Servizi Interbancari: basta una telefonata anonima al numero verde delle “emergenze” con richiesta di “blocco per smarrimento”, per chiudere il credito di una carta. Un blocco immediato che può tirare giù e mettere offline anche attività web basate su questo metodo di pagamento.

A Punto Informatico è infatti arrivata la segnalazione di un webmaster italiano il cui sito è mantenuto da un celebre servizio di hosting americano che preleva ogni mese, a mezzo CartaSì, il canone mensile dell’hosting. A insaputa del webmaster, la sua carta di credito è stata bloccata da una telefonata anonima e il servizio di hosting americano, non potendo più prelevare il dovuto, il giorno successivo ha chiuso il sito in attesa di ricevere il pagamento mensile in altra forma. Con i conseguenti danni all’immagine e alle attività del sito.

Abbiamo accertato con CartaSì che colui che ha chiamato per bloccare quella carta si è limitato a dichiarare il nome e cognome del webmaster e la sua data di nascita: è bastato questo per attivare il blocco immediato. Di routine, dopo una 15ina di giorni una nuova carta di credito viene recapitata alla banca della “vittima” che può così ricominciare ad utilizzarla, salvo vedersela sottrarre da una nuova telefonata anonima…

Ciò che colpisce di questa storiaccia, che mette a rischio non solo i piccoli pagamenti ma soprattutto le attività di commercio elettronico o quelle basate sui pagamenti internazionali via internet con carta di credito, è la reazione degli uffici della sicurezza CartaSì secondo i quali il servizio “funziona così”.

Per assurdo, dunque, è sufficiente conoscere nome, cognome e data di nascita di qualcuno per bloccare la sua carta di credito. Una situazione che toglie qualsiasi certezza a chi ha intenzione di costruire qualcosa proprio grazie a questo metodo di addebito e pagamento. Poco importa a CartaSì che la denuncia di smarrimento, che sarebbe dovuta arrivare entro 24 ore dalla telefonata al servizio blocchi, non sia mai stata presentata?


C’è da interrogarsi, di fronte a quanto accaduto al webmaster italiano, sul perchè “l’ufficio blocchi” di CartaSì si limiti a chiedere dati facilmente reperibili da chiunque anziché pretendere l’unico dato che certamente è conosciuto dal solo legittimo titolare della carta di credito, il PIN, il codice “segreto e personale” utilizzato per prelevare contanti.

Insomma, ci si poteva aspettare che CartaSì avesse organizzato un servizio di gestione delle emergenze, legate a furti o smarrimenti, “a prova di bomba”. Così non è e forse non sarà, viste le risposte laconiche degli operatori del Servizio Clienti. A sentire loro, se la nuova carta di credito generata dopo il blocco di quella precedente venisse a sua volta bloccata da una telefonata anonima “non c’è nulla da fare, si deve solo sperare che non accada”.

Infine, i dati richiesti per bloccare la carta (nome, cognome e data di nascita) sono generalmente a disposizione di colleghi, amici o semplici conoscenti di un individuo. Sono senz’altro dati personali, come tengono a ripetere quelli della CartaSì, ciò non toglie che siano facilmente reperibili. Nel caso di un webmaster, poi, è ancora più facile conoscere dati come residenza e numero di telefono, basta un salto allo “Whois” online…

Paolo De Andreis
e Luca Schiavoni

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti