29_02_2016_nfc_carte_creditoBuongiorno a tutti, settimana scorsa è apparso un servizio in televisione dal titolo abbastanza allarmante: “Carte di credito a rischio”. La  mattina seguente, il mio collega me ne parla e da lì nasce la mia volontà di fare chiarezza relativamente alle informazioni trasmesse durante il servizio del famoso programma “Le Iene”. In aggiunta vorrei io dare dei consigli inerentemente a come cercare di cautelarsi da truffe e furti di identità, senza ricorrere a pratiche anacronistiche o che richiedono acquisti.

Partiamo spiegando velocemente di cosa stiamo parlando. Un sistema di pagamento contactless è un sistema che grazie all’utilizzo di carte di credito che supportando la tecnologia RFID nelle frequenze classiche della sottocategoria NFC permette di eseguire transazioni economiche senza bisogno di introdurre la carta nel POS (Point Of Sale) e senza la necessità di digitare il classico PIN (Personal Identification Number). Questo genere di pagamento può anche essere eseguito tramite telefoni cellulare che supportano la tecnologia NFC (Near Field Communication).

Il video in questione parte mostrando la tipica situazione di una tasca posteriore gonfiata dalla presenza al suo interno di un portafogli. Il servizio continua mostrando gli stessi pantaloni in coda a uno sportello e si vede la mano che infila la carta di credito nella tasca ma stavolta senza portafogli. Il “malvivente” si avvicina e avvicinando lo smartphone, dotato di antenna NFC e di una app apposita per le letture dei dati, alla suddetta tasca viene mostrato come i dati vengono letti. Ed ecco che scatta il panico.
Particolare importantissimo è il fatto che la carta di credito sia stata posizionata nella tasca senza essere messa in un portafogli o in una borsetta. La cosa è importantissima in quanto fisicamente, una carta di credito in un portafogli o in una borsetta, non può in alcun modo essere letta per due motivi:

  1. distanza eccessiva carta-antenna nel caso di utilizzo di borsette o di portafogli;
  2. presenza di metalli nelle vicinanze del portafogli nel caso di borse o borsette;
  3. presenza di monete nel portafogli;
  4. presenza di altre carte magnetiche nel portafogli in scomparti tipicamente vicinissimi l’uno all’altro

Il servizio continuava con la spiegazione della tecnologia e delle sue eventuali falle da parte di un consulente, il quale non dice nulla di sbagliato o incompleto.

Il problema vero è che poi tutti i test eseguiti dal reporter, sono stati fatti con una carta di credito libera da portafogli o borsette.

Se una carta viene avvicinata (parliamo sempre di al massimo di 2-3 cm in condizioni estremamente favorevoli) da uno smartphone dotato di app per la lettura delle informazioni, questa verrà letta senza problemi. Tutto gira perfettamente se la carta di credito in questione è sempre libera da portafogli o borsette. I test eseguiti dal reporter sono simili ai test eseguiti in laboratorio. Si sa che i test eseguiti in un ambiente come quello di un laboratorio raggiungono performance che poi nella realtà difficilmente si vengono a manifestare.
Io di lavoro implemento la tecnologia RFID a livello operativo e ho personalmente a che fare con le diverse frequenze operative e so benissimo la differenza tra ciò che viene riportato nei datasheets a fronte di test in laboratorio e quello che poi avviene nella realtà.

Il servizio proseguiva con i consigli relativamente all’acquisto di portafogli schermati o al più l’utilizzo di alluminio per coprire le carte NFC. Ognuno è libero di prendere quello che gli pare, ma onestamente non mi ci vedo mentre mi avvicino a uno sportello, apro il portafogli, tiro fuori la mia carta di credito e la spacchetto come fosse un cioccolatino.

Personalmente reputo utile, se non indispensabile, attivare la funzione di comunicazione delle informazioni su avvenute transazioni via sms (servizio se non sbaglio gratuito che tutte le carte di credito posseggono). Questa funzione tempo fa mi avvertì che la mia carta di credito era stata clonata (la mia carta non è NFC) e che gli acquisti in giro per il mondo erano iniziati. Letto il messaggio, ho comunicato l’avvenimento alla compagnia della carta e tutto è finito con il classico rimborso da parte loro delle spese sostenute dai malviventi con la mia carta.

Questo secondo me è l’unica vera soluzione al problema della clonazione della carta, indipendentemente che essa sia NFC o meno.

Quindi vorrei chiudere questo articolo cercando di tranquillizzare i possessori di carte di credito NFC ready sulla sicurezza dello strumento, oppure sull’insicurezza dello strumento carta di credito a livello generico, che sia o meno dotata di chip Near Field Communication.