[section_title title=Pagamenti tramite mobile: sono sicuri? – Parte 2]
Google trova la soluzione?
Google, proprietario del sistema operativo più diffuso al mondo per i dispositivi mobili, ha ideato una soluzione potenzialmente valida sviluppando un sistema software based che emula un SE (Secure Element) su un dispositivo che non lo ha.
Il processo viene chiamato HCE, (Host Card Emulation) e fa sì che un telefono cellulare si comporti in modo simile a una smart card. Permette, infatti, che un telefono cellulare possa essere utilizzato per una transazione di pagamento nel punto vendita al posto di una smart card contactless.
Si potrebbe pensare che questa soluzione di Android segni un punto di svolta, rendendo i pagamenti mobili disponibili per tutti, non solo per i proprietari di telefoni Apple.
Tuttavia, scavando più a fondo, la situazione non è così rosea come sembra. Android è notoriamente segnalato come il sistema operativo mobile più attaccato al mondo – un recente rapporto di Symantec afferma che una applicazione per Android su cinque contiene del malware. La soluzione HCE si basa sul software ed è accessibile dal sistema operativo principale attraverso una serie di chiamate API. Se abbiamo imparato qualcosa dalle tante violazioni alla sicurezza informatica è che tutto quello che viene eseguito da un software è vulnerabile!
Il ruolo delle banche
Quindi, cosa si può fare? Oggi la responsabilità legale di una frode nel pagamento è demandata all’emittente della carta, nella maggior parte dei casi la vostra banca. La conseguenza è che proprio le banche, in prima fila, stanno studiando nuove metodologie sicure di utilizzo delle applicazioni di online banking da parte degli utenti per pagare direttamente dal proprio conto, bypassando la necessità di un servizio di intermediazione.
Perché ciò avvenga in modo efficace, il comportamento dell’utente deve essere preso in considerazione tanto quanto la tecnologia, visti i rischi sopra citati. L’identificazione out-of-band del dispositivo implica l’analisi di informazioni aggiuntive come la segnalazione di ogni transazione sospetta, tutto questo senza ostacolare l’esperienza del cliente. Le applicazioni per i pagamenti mobile devono, ad esempio, essere in grado di monitorare lo stato del dispositivo, ricercando i malware o altri comportamenti sospetti che potrebbero manipolare il processo HCE per rubare dei dati. L’applicazione, a quel punto, potrebbe inviare queste informazioni tramite la connessione Internet del dispositivo, al di fuori del processo di pagamento, all’ente responsabile. In questo modo, la validità della transazione potrebbe essere determinata utilizzando pattern storici, dispositivi fingerprinting o altro ancora.
Indipendentemente dall’approccio scelto o dalla soluzione che alla fine sarà trovata, questo è il livello d’innovazione e attenzione alla sicurezza che i provider devono dimostrare di possedere per garantire che il passaggio ai pagamenti mobile avanzati avvenga in modo graduale e sicuro.
