Newsletter_27 del 05.10.2017

Inviata a 7497 contatti

Carte contactless, rfid e nfc: tecnologie che facilitano l’uso delle carte di credito ma attenti alle truffe

Da qualche anno, la tecnologia semplifica e velocizza alcune delle più operazioni noiose e ripetitive della nostra vita: RFID (Radio Frequency Identification) e NFC (Near Field Communication) permettono ad esempio di fare acquisti semplicemente appoggiamo la nostra carta di credito al POS. La semplicità di un gesto, e nella fattispecie del pagamento contactless, nasconde delle insidie e dei rischi a cui non siamo preparati anzi il più delle volte che ignoriamo. E questo accade ogni volta che una tecnologia si diffonde in maniera così capillare nelle nostre vite. Ma entriamo nel dettaglio e cerchiamo di capire come difenderci.
Prima di tutto dobbiamo avere ben in mente che le tecnologie di cui parliamo sono “passive”, cioè l’energia necessaria – data dalle radiofrequenze (RF) per attivare le varie funzioni della nostra carta o del nostro dispositivo – viene fornita dal lettore. Questo vuol dire che ad esempio la nostra carta “reagisce” in maniera passiva ed automatica (non dobbiamo dare consensi o accendere nulla) ad una richiesta che le viene fatta da un dispositivo lettore. Il caso più tipico è il POS che ha all’interno un trasmettitore (RF) capace di inviare le proprie richieste alla nostra carta di credito (il ricevente), la quale risponde in maniera automatica. Il POS riceve la risposta e conclude l’operazione.
Sotto l’attuale limite di 25€ ad operazione non è nemmeno richiesta l’immissione del nostro PIN, visto che la richiesta arriva solo per singole operazioni con somme superiori a questa soglia. Per capirci meglio se effettuiamo 2 operazioni separate da 25€ e lo facciamo tramite contactless, non verrà richiesto nessun PIN. Al contrario, per una singola operazione di 50€ ci verrà richiesto il PIN. Per capire se la nostra carta di credito è dotata di funzione contactless basta controllare se è presente il logo corrispondente e, allo stesso modo, tutti i POS dotati di questo logo sono abilitati al pagamento contactless.
Ma torniamo alle radio frequenze: queste tecnologie utilizzano un’alta frequenza (13,56 MHz), un segnale che si traduce in distanze davvero brevi (sotto i 10 cm) alle quali i due dispositivi (POS e carta di credito) possono interagire. Tutti gli istituti bancari garantiscono che le transizioni siano criptate e protette e che la ridotta distanza di interazione tra il lettore e la carta garantisca transizioni senza errori. Ma non è sempre così.
Se le carte di credito sfruttano il chip RFID, gli smartphone possono contare sulla tecnologia NFC per comunicazioni contactless: l’NFC è diffusa in dispositivi mobili, ma può trovarsi anche in altri dispositivi elettronici ed avere diverse peculiarità e modalità di funzionamento.
Ma quali rischi corriamo e quanto siamo consapevoli?
Sebbene la tecnologia contactless funzioni senza il nostro intervento (solo per somme inferiori ai 25€), dobbiamo essere sempre molto attenti e cauti anche ricorrendo ad alert come l’SMS che notifica l’addebito (attivatelo se non lo avete ancora fatto) perché è una misura di sicurezza molto importante. Considerate che una transizione contactless avviene in meno di un secondo e che 100 transizioni da 25€, per un totale di 2500€ di trasferimenti, avviene in meno di 2 minuti (120 secondi). Questo vuol dire che potremmo trovarci in situazioni in cui il nostro conto viene svuotato in pochi minuti e non avremmo nemmeno la possibilità materiale di controllare gli SMS o di capire perlomeno cosa è successo.
Pensate di trovarvi su un treno iper-affollato, la condizione ottimale per un malfattore pronto all’azione, oppure pensate ad un concerto in cui oltre all’affollamento c’è la musica ad alto volume. Basta uno sniffer, cioè un piccolo dispositivo che permette di estrarre i dati da un chip contactless, per clonare e rubare identità e soldi. Inoltre ci si potrebbe chiedere quanto sia facile clonare una carte di credico: a discapito di tutte le assicurazioni degli istituti di credito che emettono queste carte, la procedura è davvero alla portata di molti.
Per difenderci da questi attacchi silenziosi ci sono sicuramente degli accorgimenti per mettere al sicuro i nostri soldi. Esistono ad esempio delle carte prepagate che vengono attivate, tramite una app, solo nel momento in cui le usiamo. Anche se vengono sniffate non permettono transazioni di alcun importo, anche minore di 25€, ma questa opzione non ci mette al riparo da sniffing di dati sensibili, sia dalla carta che dal passaporto.
Una seconda soluzione è di acquistare un portafoglio/portadocumenti dotato di schermo RFID. Ormai sono diffusi e si possono comodamente acquistare da Amazon o in molti store fisici. L’unico svantaggio è che se cambiamo portafogli o ci portiamo dietro un cardwallet più piccolo e pratico per l’estate resteremmo senza protezione. La migliore soluzione è comprare una card che faccia da schermo alle nostre, basta inserirla nel nostro portafoglio o borsa per essere protetto da attacchi di questo tipo. Il costo è davvero irrisorio (sui 12-20€) e protegge più carte insieme, possiamo adattarla e trasferirla in ogni borsa o nuovo portafoglio. Non ha necessità di essere caricata e non ha scadenze temporali. Sembra banale ma è una soluzione pratica e funzionale. In questo modo avremo sempre un posto protetto e schermato quando siamo in giro ed allo stesso tempo non ci precluderemo l’uso di una tecnologia pratica e veloce.

“Realizzato nell’ambito del Programma generale d’intervento della Regione Emilia Romagna con l’utilizzo dei fondi del Ministero dello Sviluppo Economico. Ripartizione 2015”