Le carte di credito contactless, così come gli smartphone con tecnologia NFC, sono diventati di uso comune: come funzionano, a cosa servono e perché possono essere usate contro di noi.
Da qualche anno, la tecnologia semplifica e velocizza alcune delle più operazioni noiose e ripetitive della nostra vita: RFID (Radio Frequency Identification) e NFC (Near Field Communication) permettono ad esempio di fare acquisti semplicemente appoggiamo la nostra carta di credito al POS. La semplicità di un gesto, e nella fattispecie del pagamento contactless, nasconde delle insidie e dei rischi a cui non siamo preparati anzi il più delle volte che ignoriamo. E questo accade ogni volta che una tecnologia si diffonde in maniera così capillare nelle nostre vite. Ma entriamo nel dettaglio e cerchiamo di capire come difenderci.
Prima di tutto dobbiamo avere ben in mente che le tecnologie di cui parliamo sono "passive", cioè l’energia necessaria - data dalle radiofrequenze (RF) per attivare le varie funzioni della nostra carta o del nostro dispositivo - viene fornita dal lettore. Questo vuol dire che ad esempio la nostra carta "reagisce" in maniera passiva ed automatica (non dobbiamo dare consensi o accendere nulla) ad una richiesta che le viene fatta da un dispositivo lettore. Il caso più tipico è il POS che ha all’interno un trasmettitore (RF) capace di inviare le proprie richieste alla nostra carta di credito (il ricevente), la quale risponde in maniera automatica. Il POS riceve la risposta e conclude l’operazione.
Sotto l’attuale limite di 25€ ad operazione non è nemmeno richiesta l’immissione del nostro PIN, visto che la richiesta arriva solo per singole operazioni con somme superiori a questa soglia. Per capirci meglio se effettuiamo 2 operazioni separate da 25€ e lo facciamo tramite contactless, non verrà richiesto nessun PIN. Al contrario, per una singola operazione di 50€ ci verrà richiesto il PIN. Per capire se la nostra carta di credito è dotata di funzione contactless basta controllare se è presente il logo riportato qui sopra e, allo stesso modo, tutti i POS dotati di questo logo sono abilitati al pagamento contactless.
Ma torniamo alle radio frequenze: queste tecnologie utilizzano un'alta frequenza (13,56 MHz), un segnale che si traduce in distanze davvero brevi (sotto i 10 cm) alle quali i due dispositivi (POS e carta di credito) possono interagire. Tutti gli istituti bancari garantiscono che le transizioni siano criptate e protette e che la ridotta distanza di interazione tra il lettore e la carta garantisca transizioni senza errori. Ma non è sempre così.
Se le carte di credito sfruttano il chip RFID, gli smartphone possono contare sulla tecnologia NFC per comunicazioni contactless: l'NFC è diffusa in dispositivi mobili, ma può trovarsi anche in altri dispositivi elettronici ed avere diverse peculiarità e modalità di funzionamento. Ma vediamole in dettaglio:
- Emulazione carta: il dispositivo mobile simula una carta di credito e la scheda SIM viene spesso usata per registrare i dati. I pagamenti al POS tramite cellulare usano questa modalità.
- Tag mode: Il dispositivo mobile è capace di leggere le informazioni delle etichette elettroniche (TAG) e attivare funzioni. Ad esempio i percorsi guidati in musei o le informazioni dettagliate su prodotti che potete trovare nella grande distribuzione.
- P2P: in maniera semplice è la trasmissione di dati tra i due dispositivi. Mentre nei primi due casi vengono attivate funzioni, qui si hanno dei veri trasferimenti. Ad esempio gli altoparlanti portatili dotati di NFC riproducono la musica da uno smartphone semplicemente avvicinando questo al chip.
Ma quali rischi corriamo e quanto siamo consapevoli?
Sebbene la tecnologia contactless funzioni senza il nostro intervento (solo per somme inferiori ai 25€), dobbiamo essere sempre molto attenti e cauti anche ricorrendo ad alert come l'SMS che notifica l’addebito (attivatelo se non lo avete ancora fatto) perché è una misura di sicurezza molto importante. Considerate che una transizione contactless avviene in meno di un secondo e che 100 transizioni da 25€, per un totale di 2500€ di trasferimenti, avviene in meno di 2 minuti (120 secondi). Questo vuol dire che potremmo trovarci in situazioni in cui il nostro conto viene svuotato in pochi minuti e non avremmo nemmeno la possibilità materiale di controllare gli SMS o di capire perlomeno cosa è successo.
Volete degli esempi? Niente di più semplice. Pensate di trovarvi su un treno iper-affollato, la condizione ottimale per un malfattore pronto all'azione, oppure pensate ad un concerto in cui oltre all’affollamento c’è la musica ad alto volume. Basta uno sniffer per clonare e rubare identità e soldi.
Adesso avrete due domande in testa: la prima - cosa diavolo è uno sniffer? Beh uno sniffer è un piccolo dispositivo che permette di estrarre i dati da un chip contactless. Ed anche piuttosto comune e facile da reperire, costa in media 5$ e si può comodamente comprare online sul più noto sito di aste online. In alternativa si può pure costruire con un po' di fai-da-te elettronico, con tanto di progetti open-source- La seconda domanda lecita è: quanto è facile però clonare una carta di credito? Ed anche in questo caso la risposta non è così scontata. A discapito di tutte le assicurazioni degli istituti di credito che emettono queste carte, la procedura è davvero alla portata di molti.
Ovviamente quasi tutte le banche offrono un servizio di rimborso per spese non autorizzate ma ci sono casi e casi e comunque - anche se rimborsati - bisogna considerare che potremmo ritrovarci senza soldi, con limiti di prelievo esauriti ed in vacanza, disperatamente in cerca di aiuto. Poiché queste tecnologie non sono applicate solo alle carte di credito ma anche a documenti, come i nuovi passaporti, la merce rubata può essere anche rappresentata dal nostro intero set di dati personali e medici.
Possiamo difenderci da questi attacchi silenziosi? E come? Beh ci sono sicuramente degli accorgimenti per mettere al sicuro i nostri soldi. Non a caso parto da questo perché esistono delle carte prepagate che vengono attivate, tramite una app, solo nel momento in cui le usiamo. Anche se vengono sniffate non permettono transazioni di alcun importo, anche minore di 25€, ma questa opzione non ci mette al riparo da sniffing di dati sensibili, sia dalla carta che dal passaporto.
Una seconda soluzione è di acquistare un portafoglio/portadocumenti dotato di schermo RFID. Ormai sono diffusi e si possono comodamente acquistare da Amazon o in molti store fisici. L’unico svantaggio è che se cambiamo portafogli o ci portiamo dietro un cardwallet più piccolo e pratico per l’estate resteremmo senza protezione. La migliore soluzione, a mio avviso, è comprare una card che faccia da schermo alle nostre, basta inserirla nel nostro portafoglio o borsa per essere protetto da attacchi di questo tipo. Il costo è davvero irrisorio (sui 12-20€) e protegge più carte insieme, possiamo adattarla e trasferirla in ogni borsa o nuovo portafoglio. Non ha necessità di essere caricata e non ha scadenze temporali. Sembra banale ma è una soluzione pratica e funzionale. In questo modo avremo sempre un posto protetto e schermato quando siamo in giro ed allo stesso tempo non ci precluderemo l’uso di una tecnologia pratica e veloce.
