Carte di debito e credito contactless

Recentemente lo standard per le carte di credito e di debito è il servizio contactless, cioè il sistema che consente di pagare piccoli importi (limite 25 euro a transazione) con il semplice avvicinamento della carta al dispositivo di ricezione del pagamento. E' stato fatto molto allarmismo e sono stati spesi fiumi di parole pro e contro questo nuovo servizio, ma per capire quali vantaggi e rischi presentino le carte in questione è meglio capire come funzionino.


La tecnoligia utilizzata per le carte contactless è quella dei chip RFID che possono essere attivi (cioè alimentazione propria) o passivi (cioè alimentati per induzione). Le carte utilizzano il secondo tipo che opera grazie ad un'onda elettromagnetica emanata dal dispositivo di lettura, che una volta giunta al chip lo gli consente di generare l'energia sufficiente ad alimentarsi e quindi a trasmettere i dati della carta. Gli Rfid passivi operano a diverse frequenze: LF 12-135 KHz; HF 13,56 MHz; UHF 868-915 MHz; VHF 2,4 o 5,8 GHz. 
Il sistema per effetture un pagamento contactless è semplice: premesso l'aspetto tecnologico il chip invia i dati di cui è in possesso con l'aggiunta di un codice "usa e getta" univoco, il dispositivo che legge i dati li invia alla banca di riferimento -crittografati - la quale a sua volta genera un altro codice univoco per completare la transazione. Quindi è praticamente sicuro come sistema di pagamento. Il pericolo reale consiste nel fatto che la carta quando invia i dati lo fa a prescindere dalla controparte e manda tutti i dati della carta tranne il ccv (codice di sicurezza di 3 cifre impresso sul retro). Sebbene il malintenzionato che ci sottrae con destrezza (perchè non è immediato e semplice farlo) i dati, non li potrà usare in un negozio, nulla gli impedirà di andare i rete con i nostri dati e comprare quello vuole a spese nostre. Soprattutto se sarà esperto del darkweb, dove si possono comprare armi, droga, bambini, killer e tutto ciò che alla luce del sole sia vietato. Inoltre l'atto illecito, se individuato, verrà in prima istanza attribuito al possessore della carta, che dovrà poi spiegare alle autorità di non essere stato lui l'autore del reato (auguri, senza prove tangibili).
Alcuni esperimenti fatti da esperti informatici hanno dimostrato come con un semplice smartphone ed il software giusto si possano carpire i dati delle carte in prossimità delle vittime, senza dovergli aprire il portafoglio o la borsetta. Ne consegue che più sicurezza ci vendono le banche per le carte, più operazioni sfuggono totalmente dalla nostra visuale e possono causarci un mare di problemi. 
Difendersi è facile, visto che i dispositivi operano in prossimità ( 25 cm al massimo): basta comprare un fodero per la carta schermato e fare attenzione quando la si utilizza a non essere troppo vicini ad uno smartphone o dispositivo simile di terzi ed a non esporre la carta con i dati visibili alle varie telecamere che ormai affollano ogni luogo! Per la cronaca bastano il nome sulla carta, la data di scadenza ed il numero della carta per utilizzare la carta in rete.
Concludo ricordando che, essendo gli smartphone dei veri e propri mini pc, basta infettarlo con un trojan o un malware e si possono rubare i dati delle carte in prossimità del dispositivo all'insaputa del proprietario e visto che tutti scaricano APP senza sapere cosa stiano facendo..... è più facile di quello che si creda.