Sabino Maggi
– Fonte: CafeCredit su Flickr.
Venerdì mattina mi chiama mia figlia da Londra. Ha perso il portafogli con la carta prepagata, è preoccupata, probabilmente teme anche la mia reazione. L’ha cercato a casa e a scuola, niente, l’ultima speranza è il pub dove sono stati la sera prima, ma apre solo nel pomeriggio.
Io invece sono tranquillo: deve tornare il giorno dopo, per cui mi preoccupo molto di più della carta d’identità, che per fortuna non aveva dietro, che della carta prepagata. “Tanto c’è il pin”, le dico, “se non l’hai scritto sulla carta non c’è problema”, sapendo benissimo che i miei avvertimenti passati su quanto sia stupido fare queste cose hanno colpito nel segno e che il pin l’ha imparato a memoria.
“Tanto c’è il pin”. Errore! Perché la sua carta Superflash ora è contactless, si possono effettuare pagamenti fino a 30 sterline semplicemente avvicinando la carta al terminale POS (Point of Sale), senza bisogno di autenticarsi con un pin o con una firma.
Quindi se qualcuno ha trovato la carta prepagata di mia figlia può effettuare tanti piccoli acquisti – un centro commerciale con i suoi tanti negozi uno vicino all’altro è l’ideale – senza correre nessun rischio di essere identificato o tantomeno scoperto. Avevo ricaricato la carta proprio all’inizio della settimana e c’erano ancora circa duecento euro, non un gran danno ma nemmeno una cifra trascurabile.
Per farla breve, devo mollare tutto e tornare a casa per verificare sul sito della banca se c’erano state transazioni sospette (lascio a casa il generatore di codici di sicurezza e finora non ho mai sentito il bisogno di attivarlo anche sul telefono). Entro nel sito della banca e, eccoli!, due pagamenti proprio quella mattina. Per fortuna chi aveva trovato la carta in fondo era stato onesto e si era limitato a comprare due biglietti del treno da 10 sterline ciascuno. Poco male, però meglio bloccare la carta lo stesso.
Alla fine la cosa più fastidiosa è stata dover andare dai carabinieri per denunciare lo smarrimento e poi in banca per chiedere una carta sostitutiva e, chissà, il rimborso della (piccola) somma perduta (ma su questo sembra ci sia una situazione alla Comma 22).
Il vero problema è un altro e riguarda ancora una volta la sicurezza, o meglio la mancanza di sicurezza, di questi nuovi oggetti tecnologici. Succede con i termostati e i vibratori, succede con le videocamere di sorveglianza o con le app di fitness, questa volta tocca alle carte di pagamento.
Le carte contactless sono comode anzi comodissime per i piccoli pagamenti, soprattutto in nazioni come la Gran Bretagna, in cui i pagamenti elettronici sono molto più diffusi che da noi. Ma sono anche piuttosto pericolose, non a caso in Gran Bretagna nel solo primo semestre del 2017 le frodi con le carte contactless hanno raggiunto l’importo di 5.6 milioni di sterline, circa 6.3 milioni di euro, superando per la prima volta l’importo delle frodi con gli assegni.
Da un paio di anni girano per la rete presunte “notizie” secondo le quali un POS portatile (o uno smartphone con app apposita) avvicinato di soppiatto al portafogli o alla borsa della vittima in un luogo affollato può sottrarre soldi dalle carte contactless senza che nessuno se ne accorga. Sono notizie tutte copiate una dall’altra (guardare per credere questo “articolo” del 17 febbraio 2016, questo di due giorni dopo, quest’altro del 20 giugno 2016 oppure questo del giugno 2017) e, come ha dimostrato l’ottimo David Puente, sono solo delle volgari bufale, buone al più per vendere qualche portafogli “corazzato”.
Ma anche se l’equivalente tecnologico (e asessuato) della palpatina sull’autobus è un fake, resta comunque il fatto che le banche sembrano trascurare apposta i principi più elementari della sicurezza: firme false su assegni o su richieste di finanziamento prese per buone senza fiatare, documenti visibilmente contraffatti fatti passare per originali, sportelli bancomat che possono essere manomessi in pochi secondi per catturare i dati dei clienti, porte blindate di accesso ai bancomat manomesse in modo analogo, malware che infetta gli sportelli del bancomat, soprattutto quelli più vecchi su cui gira ancora Windows XP.
Ma le banche sono così trascurate che si fanno anche male da sole, ad esempio usando dispositivi bancomat così mal progettati da poter essere controllati da remoto per fargli sputare denaro a piacimento. Oppure lasciando così tanti buchi nelle reti di comunicazione da consentire agli attaccanti di infettare direttamente i computer di controllo, in modo da istruire gli sportelli bancomat ad emettere banconote al momento desiderato.
Ci voleva proprio Apple per inventare un sistema di pagamento contactless efficiente e molto più sicuro di tutti i sistemi concorrenti presenti sul mercato,1 il cui unico e vero difetto è quello di essere legato strettamente ai dispositivi prodotti dall’azienda californiana? Non sarebbe stato molto meglio che le banche ci pensassero da sole, producendo un sistema sicuro e non legato ad un particolare produttore o tecnologia? I soldi non gli mancano di certo, manca solo la volontà, tanto alla fine chi paga è sempre il cliente.
-
Qualcuno afferma il contrario ma, ammesso e non concesso che sia vero (basta leggere questi commenti), chi lo fa dimentica che questa presunta debolezza risiede ancora una volta nelle procedure bancarie e non nei protocolli utilizzati da Apple Pay. ↩