Ormai ve ne sarete acccorti tutti, controllando i fogli informativi delle banche o informandosi online su come avere una carta di credito, tutti parlano di una nuova tecnologia che sta invadendo il mercato italiano delle carte: la carta di credito contactless. Di cosa si tratta? È molto semplice. Contactless in inglese significa letteralmente “senza contatto” e, tramite un chip installato sulla vostra carta e un lettore apposito installato sul POS del venditore, si può trasmettere i dati necessari per il pagamento semplicemente appoggiando la carta sul dispositivo per un paio di secondi. Se l’importo è inferiore ai 25€, secondo la legge italiana, non dovrete neanche inserire il PIN, altrimenti dopo averlo inserito il pagamento viene effettuato. In molti, complici anche servizi televisivi e articoli allarmistici, si chiedono: quant’è sicura questa tecnologia? Se non devo inserire la carta e digitare il PIN, non potrebbe diventare più facile rubarmi dei soldi? Andiamo a vedere la questione nel dettaglio.
Come possono rubare i dati della mia carta di credito contactless?
Un servizio delle Iene andato in onda il 21 Febbraio ha cercato di dimostrare, utilizzando toni molto allarmistici, come sia facile rubare i dati di una carta contactless e riutilizzarli per i propri fini. Nel servizio, infatti, si vedeva il finto ladro avvicinarsi con il proprio smartphone alla tasca del finto malcapitato utilizzando un’app che sfrutta le funzionalità dell’NFC (Near Field Communication). Semplicemente toccando la tasca col cellulare, i dati della carta vengono registrati sullo smartphone e vengono poi usati dalla iena Nicolò De Vitiis per comprare qualcosa su Amazon. A vederla così verrebbe da correre in banca e farsi cambia la carta, tornando a quella tradizionale alla velocità della luce, ma il servizio de Le iene è un po’ troppo semplicistico e ricostruisce una situazione che difficilmente potrebbe avverarsi nella realtà.
Rubare i dati della mia carta di credito contactless: è davvero così semplice?
Tutta la scena avviene in metropolitana, posto nel quale per forze di cose si è spesso a stretto contatto con altre persone e avvengono facilmente contatti involontari e inevitabili. Il finto ladro sfrutta proprio questo per toccare la tasca del malcapitato con lo smartphone, con il non piccolo dettaglio, però, che la carta di credito hackerata si trova nella tasca posteriore dei pantaloni non inserita in un portafoglio: una situazione alquanto anomala. Infatti, per poter sfruttare le funzionalità contactless e NFC della carta e dello smartphone, i due dispositivi devono praticamente sfiorarsi e trovarsi a pochissimi millimetri di distanza. Certo, se la carta ha solo la tasca come protezione diventa abbastanza semplice farlo, ma se, com’è più probabile, la carta è inserita in un portafoglio o addirittura in una borsa diventa praticamente impossibile. È vera una cosa: i dati delle carte italiane non sono criptati, quindi nel momento in cui sono in possesso di qualcun altro sono utilizzabili.
Come possono utilizzare i dati della mia carta di credito contactless?
Nella remota possibilità che riescano a ottenere i dati della vostra carta di credito contactless, come dicevamo, i ladri possono utilizzarli per fare acquisti, ma con grosse limitazioni. Prima di tutto, tramite il contactless non viene registrato il cosiddetto codice CVV: il codice di sicurezza a tre o quattro cifre presente sul retro della propria carta richiesto spesso per i pagamenti online. Alcuni siti, per snellire le operazioni di pagamento, non lo richiedono, uno su tutti Amazon. Nello sfortunato caso in cui il ladro dovesse utilizzare i vostri dati per fare un acquisto su Amazon, però, c’è un’altra limitazione che gioca a vostro favore perchè le transazioni contactless utilizzano lo standard EMV: ogni volta che la carta viene usata, il circuito integrato (chip) genera un codice di autorizzazione univoco che non può essere nuovamente sfruttato per successive attività. In parole semplici, la transazione contactless con la quale vi vengono rubati i dati crea un codice usa e getta che può essere utilizzato una volta sola e basta a meno di non utilizzare le chiavi crittografiche che vengono generate dai server della banca che ha emesso la carta. Di conseguenza, il ladro può utilizzare la carta una volta sola e, se la utilizza online, è anche facilmente identificabile e raggiungibile.
Insomma, le carte contactless sono sicure tanto quanto quelle tradizionali: non al 100%. Anche quelle tradizionali, infatti, sono clonabili e tutti avete ormai chiari gli accorgimenti per evitare che succeda. Quello che vi consigliamo è di non preoccuparvi, di tenere la carta nel portafoglio per essere più sicuri oppure, se proprio siete molto agitati dalla questione, tenete la carta in un foglio di alluminio piegato e nel portafoglio e tirate fuori solo quando la usate. In questo modo sarà davvero impossibile subarvi i dati. Attenzione anche alle applicazioni che installate sul vostro cellulare, poichè potrebbero essere applicazione truffaldine che servono a immagazzinare i dati delle carte nelle vicinanze e inviarli al ladro.
