[section_title title=Pagamenti tramite mobile: sono sicuri? – Parte 1]
A cura di Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks
I pagamenti tramite mobile cresceranno in modo esponenziale nei prossimi anni. Recentemente una ricerca condotta in Inghilterra ha evidenziato che oltre 31 milioni di utenti (il 92% degli intervistati) utilizzeranno il proprio dispositivo mobile per un acquisto nel corso del 2015. L’affermarsi dei pagamenti contactless favorisce fortemente questo processo. La sua adozione sempre più diffusa, ad esempio da parte delle aziende dei trasporti locali (come ATM a Milano o Ataf a Firenze), comporta di fatto una sempre maggiore familiarità degli utenti con questa forma di pagamento.
Il lancio di Apple Pay negli Stati Uniti, dove è già supportato da oltre 380 istituti bancari, ed entro fine luglio in Inghilterra, renderà finalmente reale il sogno di non dover più andare a caccia del portafogli e della carta di credito nella borsa. Con lo smartphone sempre in mano, tutto quello che dovremo fare sarà toccare lo schermo del telefono puntandolo verso l’apparecchio ricevente.
Resta, tuttavia, una grande incognita: una serie di problemi di sicurezza da superare prima che il mobile diventi il principale veicolo di pagamento. Le carte di credito sono dotate di una sicurezza intrinseca che i cellulari non hanno. Crittografia, comunicazione sicura tra la carta e il terminale, ulteriori funzioni di protezione supplementari, elementi tutti volti a garantire che i dati non siano compromessi. Uno dei principali è il Secure Cryptographic Element (SE), inserito nel chip della carta e utilizzato per garantire che i dati siano al sicuro durante la transazione.
Apple contro Android e Windows
Per rendere più sicuri i pagamenti mobile, Apple ha incluso un SE nella soluzione Apple Pay su iPhone 6, iPhone 6+ e Apple Watch. Rispetto al Secure Element Apple dichiara che “il tuo token con la crittografia che lo accompagna è isolato da iOS, mai memorizzato sui server di Apple Pay e mai salvato su iCloud. Dato che il suo numero è unico e diverso dai normali numeri delle carte di credito o debito, la tua banca può impedirne l’utilizzo da parte di una carta a banda magnetica, su un telefono o su siti web”.
Ma cosa accade nel mondo frammentato di Android e Windows, quando i telefoni sono realizzati da una moltitudine di aziende? In genere questi dispositivi non comprendono un SE, dato che ogni produttore tende a utilizzare il proprio hardware e sarebbe molto difficile includere le librerie software richieste nel sistema operativo di tutti questi diversi modelli. Inizialmente, l’idea era utilizzare le SIM per verificare che i pagamenti venissero processati correttamente.
In linea di principio, sembrava una buona soluzione; tutti hanno una scheda SIM, può essere utilizzata per memorizzare le chiavi crittografiche, e può essere richiamata dall’app di pagamento mobile nel momento in cui serve durante la transazione. Cosa ancor più importante, in questo modo le chiavi possono essere isolate dal sistema operativo, e quindi, potenzialmente, da qualsiasi malware attacchi il dispositivo. Purtroppo gli operatori mobile detengono le SIM e controllano la loro assegnazione e quali software possono essere installati su di esse. In un momento in cui i loro ricavi tendono a calare, con un forte consolidamento del mercato, vorrebbero anche loro poter accedere a un pezzetto della torta dei pagamenti mobile. Il risultato è che l’approccio SIM non è mai realmente decollato.
Per continuare a leggere l’articolo consultare la pagina successiva
