Indubbiamente sono comode, ma sulla loro sicurezza c’è ancora da lavorare. Le carte di pagamento contactless, capaci di eseguire transazioni su un Pos comunicando via onde radio, sono al centro di una piccola polemica estiva generata dal sito watchdog britannico Which?, che ha dimostrato con un esperimento empirico come sia facile rubare dati e credenziali da questi oggetti. La polemica è piccola, in realtà, perché il cuore della questione non sta tanto nella sicurezza dei pagamenti contactless in sé, eseguiti in negozio e senza la necessità di inserire un Pin in caso di soglie inferiori ai 25 euro.
Sta, invece, nella possibilità che un malintenzionato si doti di un lettore di carte contactless per “captare” dati senza farsi notare dalla vittima e poi di sfruttare quei dati per fare acquisti. Non in modalità contactless, fatto che richiederebbe il possesso fisico della carta, bensì con l’inserimento del numero di carta e della data di scadenza su un sito di e-commerce.
Questo, precisamente, hanno fatto i redattori di Which?, con la collaborazione di dieci “vittime consenzienti” dotate di carte di debito (sei) e di credito (quattro) contactless. Ebbene, in tutti e dieci i casi il colpo è riuscito: i finti ladri sono riusciti a estrarre informazioni utilizzando un lettore di carte acquistato online, a poco prezzo, da un non meglio specificato “sito mainstream”. Fra gli acquisti effettuati, e poi prontamente bloccati contattando il venditore, c’è anche un televisore da tremila sterline.
Sul come questo sia avvenuto mancano dettagli, ma un elemento su cui ragionare è la “distanza di sicurezza”: lo standard industriale per i lettori di carte contactless è di 5 centimetri, soglia oltre la quale il terminale non dovrebbe riuscire a comunicare con il chip della carta. A detta di Peter Eisenegger, esperto di privacy della National Consumers Federation, “potrebbe essere possibile che una piccola percentuale di carte vengano lette stando a 15 o 20 centimetri di distanza dal lettore”. Anche se questo avvenisse nello 0,1% dei casi, sottolinea Eisenegger, si parlerebbe comunque di possibilità di frodi su numeri importanti, considerando che lo scorso anno nel Regno Unito sono stati effettuai 300 milioni di pagamenti contactless e che le carte di questo tipo in circolazione nel Paese sono oltre 58 milioni.
Un ulteriore passaggio va sottolineato e lascia davvero di stucco, evidenziando una falla di sicurezza che riguarda non tanto il metodo contactless, bensì le piattaforme di vendita online. Il card reader non ha permesso, in nessuno dei dieci casi, di captare il numero a tre cifre impresso sul retro, cioè il Cvv, normalmente richiesto per completare un pagamento sul Web. Sorprendentemente, questo non si è rivelato un impedimento. “Dubitavamo”, spiegano i giornalisti del sito britannico, “di poter fare acquisti senza il nome del proprietario della carta o il Cvv, ma ci sbagliavamo”.