Pagamenti contactless
Pagamenti contactless: quanto sono sicuri davvero?
Introduzione ai pagamenti contactless
I pagamenti contactless sono transazioni digitali effettuate in negozi fisici tramite carte (di credito, di debito o prepagate) o dispositivi a cui sono state collegate (smartphone con mobile wallet o smartwatch). Tra le diverse modalità di digital payment, il contactless è quella più diffusa, e si distingue per la sua versatilità, velocità e comodità.
Cosa significa "contactless"
La parola “contactless” significa letteralmente “senza contatto”, e fa riferimento alle modalità con cui avvengono questi pagamenti. Non è necessario maneggiare contanti, o inserire e strisciare fisicamente la carta; basta solo avvicinare al POS il dispositivo di pagamento di propria scelta (carta, cellulare, smartwatch) e la transazione è completata.
Come funzionano i pagamenti contactless
La maggior parte delle carte odierne possiede un chip integrato che consente uno scambio sicuro e veloce per le transazioni. Le carte contactless, infatti, inviano il pagamento al terminale POS abilitato sfruttando la tecnologia RFID (Radio Frequency Identification), e più precisamente la sua versione più avanzata, la NFC (Near Field Communication).
Tecnologia NFC e tokenizzazione
La tecnologia NFC consente lo scambio di dati a distanza ravvicinata tra due dispositivi: un lettore attivo, in questo caso il POS, che invia un segnale, e un dispositivo passivo, ovvero la nostra carta, che si attiva nel momento in cui lo riceve. Lo scambio è progettato per funzionare solo se POS e carta si trovano a meno di 4 centimetri di distanza, per assicurarsi che il pagamento sia completamente intenzionale.
Insieme all’NFC, il contactless integra anche un’altra tecnologia di sicurezza, ovvero la tokenizzazione. Al momento dello scambio tra dispositivi, quello di pagamento non invia i dati originali della carta al terminale POS. Al loro posto viene trasmesso un “token”, ovvero un alias digitale univoco e crittografato, valido solo per quella transazione. In questo modo i dati restano illeggibili e il terminale POS, di conseguenza, non li memorizza sul dispositivo.
Limiti di spesa e sicurezza integrata
Non c’è un limite alla somma che può essere pagata tramite carta contactless. Tuttavia, nella maggior parte dei paesi, e anche in Italia, è stata imposta una somma massima che se superata richiede l’inserimento manuale del PIN della carta. Dal 1° gennaio 2021 l’Italia ha aumentato questa soglia dai 25 ai 50 euro. Lo stesso vale per tanti pagamenti ripetuti a breve distanza l’uno dall’altro, oppure quando si supera la cifra cumulativa di 150 euro. Questo limite è in realtà una misura di sicurezza, in quanto se la carta dovesse finire in mani sbagliate, il criminale di turno senza codice PIN non potrebbe spendere più di 50 euro a transazione, e una volta superato un certo numero di pagamenti avrebbe comunque bisogno del codice per continuare.
Quanto sono sicuri i pagamenti contactless?
I pagamenti contactless sono concepiti per essere più sicuri rispetto alle loro alternative; tuttavia, esistono ancora timori sul loro funzionamento e sulla loro vulnerabilità ad attacchi informatici e frodi.
Rischi reali e rischi percepiti
La paura più diffusa è quella di un attacco Eavesdropping (intercettazione), ovvero che il segnale radio durante la transazione possa essere intercettato e modificato, oppure addirittura reindirizzato verso un altro terminale POS. Un criminale, se dotato di giuste apparecchiature, potrebbe intercettare i dati, addebitare un importo diverso rispetto a quello vero, o modificare il beneficiario del pagamento, indirizzandolo a sé stesso.
In aggiunta all’intercettazione, c’è il timore che qualcuno modifichi il terminale POS stesso e lo usi per raccogliere dati sui pagamenti NFC. Questo tipo di truffa, chiamata Skimming, prevede che un truffatore crei un terminale di pagamento fraudolento, o ne modifichi uno già esistente, per rubare informazioni dai dispositivi e dalle carte con cui questo interagisce. I dati raccolti potrebbero poi essere utilizzati per clonare carte o effettuare dei pagamenti.
C’è infine il rischio più concreto di tutti, ovvero che la carta venga smarrita o rubata, e che sia utilizzata da un malintenzionato per transazioni non autorizzate.
Protezioni delle banche e delle carte
Nonostante i falsi miti, i pagamenti contactless garantiscono un alto grado di affidabilità, e incorporano già diverse misure di sicurezza contro attacchi di vario tipo.
Ad esempio, proprio perché il contactless utilizza la tecnologia NFC, è praticamente impossibile che le sue transazioni vengano intercettate. Questo tipo di segnale è progettato per operare solo a brevissime distanze, e se per una carta è impossibile interagire con il POS a più di 10 centimetri di distanza, lo stesso vale per qualsiasi apparecchiatura che tenta di intromettersi nella transazione. Se un criminale volesse infiltrarsi tra i due dispositivi dovrebbe posizionarsi molto vicino, e verrebbe quasi sicuramente scoperto prima ancora che agisca.
Per quanto riguarda i dati della carta, invece, abbiamo visto che la tokenizzazione li rende invisibili al POS, e dunque impossibili da decifrare con qualsiasi dispositivo, autorizzato o meno. Nessun malintenzionato può creare un terminale POS in grado di rubarli, così come nessuno può riuscire a leggerli tramite un POS che ha già interagito con la carta. Le probabilità che la nostra carta venga clonata dopo un pagamento contactless sono quindi estremamente basse, se non nulle.
È possibile essere “scansionati” da un malintenzionato?
Spesso si sente parlare di “POS pirata” o “POS ballerino”: dei criminali che realizzano un POS fai-da-te e circolano per le città avvicinandolo ai portafogli degli sconosciuti, per sottrarre denaro con transazioni non autorizzate e perfettamente silenziose. Ma è realmente possibile essere derubati in questo modo, e con quanto successo?
La truffa del POS pirata può avvenire, ma è molto raro che funzioni. Il ladro dovrebbe avere con sé un dispositivo POS in grado di superare la criptazione della carta, e avvicinarlo alla nostra borsa, posizionandolo a meno di 3 centimetri di distanza dal chip. Questa operazione è estremamente improbabile, per diversi motivi. Quando si passa accanto a qualcuno il tempo di incrocio è troppo breve, e la distanza non è abbastanza ravvicinata perché la tecnologia NFC funzioni. Inoltre, se abbiamo monete o altre carte nel portafoglio, queste possono interferire e confondere il POS, rendendo impossibile la transazione.
Infine, come abbiamo già menzionato, le transazioni senza PIN possono essere effettuate solo sotto una certa soglia, il che significa che anche se la truffa dovesse “miracolosamente” andare a buon fine, il malintenzionato riuscirebbe a sottrarre al massimo 50 euro dalla nostra carta.
Come proteggersi e usare il contactless in modo sicuro
Anche se questi attacchi sono improbabili, è comunque importante continuare a proteggere le proprie carte e transazioni con misure di sicurezza quotidiane.
Buone pratiche per la sicurezza quotidiana
La prima è sicuramente quella di non rivelare il PIN e assicurarsi che nessuno lo veda mentre viene digitato, così da scongiurare grandi transazioni in caso di furto. Per pagamenti da cellulare, è bene scaricare la app richiesta solo dagli store ufficiali, e attivare il servizio di notifiche della propria banca per monitorare tutti i movimenti in entrata e uscita. Anche il posizionamento della carta può fare la differenza: tenere le carte una vicina all’altra o vicino ad altri documenti impedisce ai criminali l’uso dei POS portatili. Per una protezione ancora più completa, si può acquistare un portafoglio, portacarte o zaino anti-RFID/NFC, che agisce come schermatura alle onde radio e impedisce ai dispositivi POS di instaurare uno scambio.
Se nessuno di questi accorgimenti dovesse bastare, sarà necessario mettersi in contatto con la propria banca, bloccare la carta smarrita, rubata o intercettata, e chiedere il rimborso per le operazioni non autorizzate.
Il consiglio di Mister Credit
Vuoi accertarti che i dati della tua carta contactless siano al sicuro e non circolino sul dark web? Scegli SICURNET, il servizio di Mister Credit che monitora costantemente i tuoi dati e ti avvisa in caso di rischio o se finiscono in cattive mani.
I contenuti di questo articolo sono diretti esclusivamente a fornire informazioni di carattere generale; Mister Credit non garantisce l'assenza di errori ed omissioni, anche derivanti da eventuali modifiche legislative.
