I pagamenti tramite NFC sono comodi, ma insicuri. Sono tanti a pensarla così. E sono ancora lontani dal diventare la norma. Basti pensare che in Italia la penetrazione dei pagamenti contactless è ancora sotto la media europea (solo il 5% contro il 21% in Europa, dove Polonia, Spagna e Regno Unito sono i maggiori utilizzatori di questo tipo di pagamenti). I pagamenti tramite smartphone, dunque, non decollano, frenati soprattutto da motivi di sicurezza. Sono infatti in molti a pensare che un hacker possa sfruttare qualche vulnerabilità per prosciugare il conto corrente mentre si è su un autobus affollato o in fila al supermercato. E non parliamo poi delle preoccupazioni su cosa potrebbe accadere se un criminale ci rubasse lo smartphone!
Apple Pay utilizzato attraverso Apple Watch
La lenta avanzata dell’NFC e i problemi di sicurezza
La tecnologia Near Field Communication è già integrata in numerose carte di credito (come le MasterCard e le Visa), negli smartphone e in un numero sempre maggiore di terminali POS. Questa tecnologia utilizza microchip controllabili senza fili per trasferire rapidamente su distanze massime di 10 centimetri piccoli pacchetti dati che contengono le informazioni di pagamento. Per pagare, quindi, basta avvicinare lo smartphone ad un terminale abilitato e sfiorarlo soltanto. Per pagamenti fino a 25 euro il tutto è immediato, senza bisogno di immettere PIN o firmare ricevute, con un discreto guadagno di tempo. Se il chip NFC è attivo, questo trasmette continuamente i dati bancari della carta, ma non solo. Questa caratteristica tecnica è stata usata dagli hacker per attacchi spettacolari. Gli studenti della Technical University di Darmstadt hanno mostrato al Chaos Communication Congress di quest’anno (CCC) come sia possibile, utilizzando due smartphone opportunamente modificati e un’app realizzata ad hoc, addebitare un pagamento su una carta di credito, anche se questa si trova a centinaia di chilometri di distanza. Alcuni esperti di sicurezza spagnoli hanno invece realizzato con successo un attacco simile utilizzando applicazioni appositamente preparate. Ma, in pratica, quanto è sicura questa tecnologia, considerata come il futuro dei pagamenti mobile e già utilizzata da molte catene commerciali in tutto il mondo?
Samsung Pay
Qualche allarmismo di troppo
Gli esperti sono concordi nel ritenere questa nuova forma di pagamento sicura almeno quanto la carta di debito. Finora non è infatti noto nessun caso di furto di denaro via radio. Lo stesso Max Maas, uno degli studenti della Technical University di Darmstadt, ha ammesso in un’intervista che l’hack NFC mostrato al CCC non rappresenta affatto un grande problema per gli utenti comuni. Lo scenario descritto ha, al massimo, valenza teorica. La pensa allo stesso modo il dottor Marc-Oliver Reeh, esperto di NFC presso l’Università di Hannover, il quale aggiunge: “Le banche e i venditori stanno mostrando un notevole interesse a ridurre le costose transazioni in contanti, di conseguenza si fanno carico di gran parte del potenziale rischio che un terzo ha per avere accesso al sistema. Quando si paga in contanti, invece, ciascuno ha le proprie responsabilità”. Ecco altri argomenti a favore della sicurezza di NFC:
• Criptazione: i dispositivi NFC trasmettono i dati (di solito) crittografati. Fino a quando i criminali non riescono a crackare questa chiave tutte le informazioni sono sicure.
• Danni limitati: di solito si possono effettuare solo fino a tre pagamenti consecutivi senza inserire il PIN e alcune banche hanno adottato regole ancora più severe. In questo modo, la perdita massima che può avvenire è di 75 euro.
• Poco appetibile per i criminali: i prelievi “liberi” limitati a 75 euro non incentivano di certo i cyberladri. Inutile lavorare tanto per una così piccola preda fintanto che ci sono obiettivi più remunerativi.
Problemi di privacy
Se per la sicurezza abbiamo visto che al momento i problemi, in fondo, non sono troppi, la stessa cosa non può dirsi per la privacy. In realtà è quantomeno discutibile il fatto che si possano leggere i dati relativi all’utente senza che ne sia chiesto il consenso. Inoltre, difficilmente le banche spiegano che la carta memorizza praticamente tutto quello che si fa: su questo fronte c’è chiaramente bisogno di intervenire. Nonostante tutto ciò che si sente dire, comunque, la mancanza di sicurezza non è un argomento valido contro i pagamenti mobile con NFC. È infatti più pericoloso trasportare con sé grosse somme di denaro o lasciare la carta di credito ad un cameriere o a chiunque altro, anche solo per pochi secondi.