|
|
PRIVILEGIA
NE IRROGANTO Documento
inserito il:
4-11-2015 |
|
||||||||
|
DOCUMENTI CORRELATI |
|
|||||||||
|
|
||||||||||
|
|
Il ConsigliO n° 93 Carte e smartphone/tablet
con tecnologia NFC per pagamenti contactless.
Pericoli e accortezze. Basta poco per proteggersi. Di Mauro Novelli 4-11-2015 ____________________________ ____________________________ TECNOLOGIA NFC. DI CHE SI TRATTA. Non sono molti i
titolari di carte di credito, bancomat, carte prepagate a sapere di avere in tasca
strumenti i cui dati possono essere letti e carpiti senza che il “ladro”
proceda materialmente al furto. Stiamo parlando di
quasi tutte le carte di recente emissione consegnate ai nuovi clienti o in
sostituzione di vecchie carte scadute e che incorporano la tecnologia NFC (Near Field Communication,
in italiano letteralmente “Comunicazione in prossimità”). Ne sono
ormai in circolazione oltre 6 milioni.
La nuova
tecnologia NFC permette pagamenti (entro i 25 euro) senza la necessità di
sottoscrivere lo scontrino o digitare il PIN (contacless).
Basta avvicinare la carta al lettore del negoziante perché il sistema attivi
il chip della carta e inizi lo scambio di informazioni: importo da pagare,
identificazione dei codici del titolare della carta, addebito dell’importo
all’acquirente e accredito sul conto del venditore.
La procedura è quindi semplice: 1. l’esercente digita
l’importo della transazione sul display del suo lettore, 2. l’acquirente
avvicina la carta al lettore (a 4-10 centimetri), 3. il lettore contactless emette un segnale luminoso e acustico a
conferma della lettura della carta e, quindi, dell’avvenuto pagamento con
accredito del conto del venditore. LA VULNERABILITA’ Chiariamo subito:
il punto, debole del sistema non è imputabile alle procedure di pagamento. Il
processo, infatti, impedisce i doppi pagamenti, anche qualora si accostasse
più volte la carta al lettore. La vulnerabilità è
invece insita nella carta stessa (vedremo in seguito come proteggerla). Il
problema è noto da alcuni anni, da quando cioè questi prodotti hanno
cominciato ad avere una diffusione “interessante”. Ma né gestori né sistema
bancario hanno mai informato, con azioni pianificate, i titolari delle nuove carte. In termini di
rischiosità del prodotto, anche Poste Italiane (in genere molto accorta in
materia di sicurezza) si limita a riportare, per PostePay
Evolution, i rischi tipici delle normali carte di
pagamento. Dal Foglio informativo di Poste: Principali rischi (generici e specifici) del
servizio Il rischio principale è quello legato allo
smarrimento o al furto della Carta da sola o con il PIN (Numero di Codice
Personale) che potrebbero consentire l’uso fraudolento della Carta. Questo
rischio può essere ridotto al minimo se il Titolare della carta adotta le
comuni regole di attenzione e prudenza (il PIN è segreto e non va comunicato
a terzi; il PIN non deve essere scritto sulla Carta e non deve essere
conservato insieme alla Carta stessa o con i documenti del Titolare). Il
rischio di uso fraudolento della Carta inoltre è ridotto se, in caso di
smarrimento o furto, il Titolare chiede immediatamente il blocco della carta
al numero telefonico comunicato da Poste Italiane. Nel caso di richiesta
blocco, entro due giorni, il Titolare dovrà confermare personalmente
all’Ufficio Postale o con lettera raccomandata o tramite fax l’avvenuta
richiesta di blocco. Con la conferma della richiesta del blocco dovrà essere
presentata anche la denuncia presentata all’Autorità Giudiziaria o di
Polizia. Nel caso di smarrimento o furto del codice PosteID
e/o del dispositivo mobile contenente il certificato digitale relativo al
servizio PosteID, per ragioni di sicurezza, è
necessario richiedere la revoca del Servizio Poste ID e la rimozione del
relativo sistema di sicurezza dal proprio dispositivo mobile contattando il
numero verde 803.160 di Poste Italiane (disponibile con operatore dal lunedì
al sabato dalle ore 8.00 alle ore 20.00). Negli orari di non operatività del
Call Center, è necessario chiamare invece il numero 06.54405330 e seguire la
procedura automatica per il blocco del sistema. Ai fini del blocco bisognerà
fornire il Nome utente di registrazione a poste.it e il Nome assegnato al
dispositivo in fase di installazione del Sistema di sicurezza. I principali
rischi del servizio SIMply BancoPosta sono legati
allo smarrimento o al furto del cellulare e dei codici personali (App PIN o PMPIN per la SIM) per l’accesso ai servizi da
mobile, rischi che possono essere ridotti al minimo se sono osservate le
comuni regole di prudenza e attenzione i codici personali sono segreti e non
vanno comunicati a terzi; non devono essere scritti sul telefono e non devono
essere conservati insieme al telefono o con i documenti del Titolare). Il
rischio di uso fraudolento dello Smartphone NFC inoltre è ridotto se, in caso
di smarrimento o furto, il Titolare chiede immediatamente il blocco della SIM
al numero telefonico comunicato da PosteMobile e
Poste Italiane. Scheda prodotto
della carta contacless di Unicredit (3) [ore 12:30 del 5-11-2015]. Pagine illustrative
delle carte contacless di Banca Intesa (4)
[ore 12:40 del 5/11/2015] Pagina
illustrativa delle carte contactless di VISA (5)
[ore 12:45 del 5-11-2015 Pagina
illustrativa delle carte contactless di Master Card
(6) [ore 12:48 del 5-11-2015] In caso di
ammanchi e/o di furti di dati, queste lacune informative sulla rischiosità
dei prodotti NFC, permetteranno ai clienti colpiti di chiamare in causa
gestori e banche collocatrici. E’ nota la
possibilità di dotare di tecnologia NFC anche smartphone e tablet (1). Molti ne sono già provvisti. L’apparecchio
simulerà la carta NFC del titolare e con esso sarà possibile effettuare
pagamenti contactless, semplicemente accostando
l’apparecchio al lettore del negoziante.
Ma smartphone e tablet NFC possono essere
trasformati facilmente in lettori di carte NFC o di altri strumenti NFC: è
sufficiente scaricare ed attivare
delle semplici app a disposizione di tutti ed il
gioco è fatto (2). A questo punto, al malintenzionato che ha
trasformato il suo apparecchio in lettore NFC sarà sufficiente, in ambienti
affollati (mezzi pubblici, stazioni, manifestazioni di piazza ecc.) accostare
lo smartphone alla tasca o alla borsa della gente per carpire tutti i dati
dei malcapitati che dovessero avere in dosso una carta FNC.
COME PROTEGGERSI. LA GABBIA DI FARADAY. Poiché lettore e
carta si scambiano dati con trasmissione radio, è sufficiente impedire alle
onde radio di impegnare il chip delle carte di pagamento. Questo scopo è
raggiunto semplicemente avvolgendo con un foglio di stagnola le nostre carte,
proteggendole, in tal modo con una gabbia di Faraday casalinga. La carta
diventa inviolabile. L’unico inconveniente deriva dal fatto che si complica
un po’ il meccanismo di pagamento. Tale soluzione
casalinga è suggerita anche dalla Polizia postale. I gestori di carte
ed il sistema bancario hanno deciso di adottare la tecnologia FNC, ma si
guardano bene dall’evidenziare il problema della vulnerabilità. Ritengono
infatti che ogni forma di raccomandazione ai titolari si trasformerebbe in
fonte di preoccupazioni e costituirebbe impedi-mento
alla diffusione delle nuove carte. Questa soluzione non è quindi “gradita” ai
gestori poiché temono che invece di semplificare le procedure di pagamento,
le complichi e le impacci, facendo scemare, a loro avviso, l’appeal del nuovo sistema. Non a caso, Alice
Moroni e Serena Sposato, rispettivamente NFC Team Coordinator e NFC&Mobile Team Technical Coordinator
presso CATTID (Centro per le Applicazioni della Televisione e delle
Tecniche di Istruzione a Distanza) della Sapienza – Università di Roma, in
linea col sistema bancario, si chiedono: «Quale utente andrebbe in giro con
una carta avvolta nella stagnola? Per essere accettata dagli utenti una nuova
tecnologie deve semplificare l’interazione e non complicarla. Crediamo invece
che la soluzione vada ricercata da una parte nel garantire dei livelli di
sicurezza adeguati da parte di chi sviluppa le applicazioni di pagamento e
dall’altra nell’educare l’utente a mantenere un livello di sicurezza
accettabile sul proprio device». Considerazioni che
non mi sembrano di grande aiuto. Raoul
Chiesa, ethical hacker, fondatore di Security
Brokers, azienda specializzata nella fornitura di servizi di ICT Security e
Cyber Defense, sostiene che nel protocollo NFC «esiste un baco che permette
di rubare facilmente dati sensibili, movimenti bancari e, quindi, soldi delle
persone. Non sembra esserci un identikit della vittima tipo – dice Chiesa - e
per essere esposti al furto basta passare vicino al cybercriminale
dotato di un apposito lettore. Quindi trasporti pubblici, metro, stazioni,
aree di sosta e aeroporti diventano chiaramente luoghi a rischio». Chiesa sostiene
che il protocollo NFC è stato adottato senza aver implementato la criptatura. «Senza autenticazione né cifratura è possibile
rubare in chiaro tutti i dati e poi con quelli, ad esempio, effettuare
acquisti su Amazon». Un chiarimento: è
vero che i pagamenti con sistema contcless non
possono essere superiori a 25 euro, ma altresì vero che la carta può essere
utilizzata per pagamenti entro i termini contrattuali, ad esempio via
internet. ULTIMA RACCOMANDAZIONE. Non so se le onde
radio emesse da un cellulare interferiscano con il chip della carta NFC,
danneggiandolo. Per prudenza, è opportuno tenere questa ad una certa distanza
dallo smartphone o proteggerla con una gabbia di Faraday.
E’ preferibile un
po’ di scomodità piuttosto che dover affrontare gli inconvenienti
(soprattutto finan-ziari) a cui potremmo andare
incontro non proteggendoci. _______________________________________ Documentazione:
(1)
Da http://www.fastweb.it/
Swatch Bellamy. Consente
di effettuare pagamenti avvicinando il dispositivo a un Pos. Non dispone di connessione Internet, display touch o sensori ma funzionerà come una carta
prepagata per fare acquisti Swatch si lancia nel mondo della
tecnologia NFC presentando un nuovo orologio, lo Swatch
Bellamy, che consente di effettuare pagamenti avvicinando il
dispositivo a un Pos. Presentato a Shanghai,
l'orologio debutterà in Cina all'inizio del 2016 a 90 dollari, per
poi arrivare in Usa e Svizzera. L'aspetto è quello classico dello Swatch
in plastica e consentirà di fare pagamenti nei negozi grazie a partnership
con China UnionPay e Bank
Of Communications. Il nome dell'orologio si richiama a quello dello scrittore
statunitense Edward Bellamy, che nel 1888 pubblicò il romanzo "Guardando
Indietro, 2000-1887" in cui per primo ipotizzava la sostituzione dei
contanti con carte di credito. A differenza dell'Apple Watch non
dispone di connessione Internet, display touch o
sensori ma funzionerà come una carta prepagata per fare acquisti.
L'orologio, in quattro modelli, non sarà venduto nei negozi, ma solo nelle
filiali di Bank of Communications, poiché la
funzionalità di pagamento necessita di essere abilitata. 15 ottobre 2015 ___________________________________ 2) Un video molto interessante da testmagazine.it
3) Scheda prodotto di Unicredit:
4) Pagina illustrativa delle carte contacless
di Banca Intesa:
http://www.intesasanpaolo.com/carte/contactless.jsp
5) Pagina illustrativa delle carte contacless
di VISA
https://www.visaitalia.com/pagare-con-visa/pagamenti-contactless
6) Pagina illustrativa delle carte contacless
di Master Card
http://www.mastercard.com/it/privati/contactless_offline.html |
|
||||||||
