di

Carta di pagamento contactless: cosa sapere e come tutelarsi

Un sistema di pagamento contactless (senza contatto) prevede l’utilizzo di carte di credito a tecnologia RFID, acronimo che sta per Radio Frequency IDentification (Identificazione a Radio Frequenza). Si tratta di una soluzione che consente di effettuare transazioni senza introdurre le carte nei tradizionali POS (Point of Sale) e senza digitare il PIN (Personal Identification Number). I pagamenti senza contatto possono realizzarsi anche attraverso telefoni cellulari che supportano la tecnologia NFC (Near Field Communication). Lo smartphone diventa pertanto un borsellino elettronico. 

Carta di pagamento contactless: cosa sapere e come tutelarsi

La tecnologia RFID (Radio Frequency IDentification) può essere integrata nelle carte prepagate, nelle carte di debito, nelle carte prepagate multiservizi, nelle carte di credito tradizionali. Gli istituti finanziari hanno fissato a 25 euro l’importo massimo per ciascun pagamento contactless (senza contatto). Se si supera tale cifra, si dovrà firmare lo scontrino o digitare il codice PIN (Personal Identification Number).

Confronta le carte di credito

Come funziona

Utilizzare una carta di pagamento contactless è semplice:

  • l’esercente digita l’importo della transazione sul display del lettore contactless
  • il consumatore avvicina la carta al lettore
  • il lettore contactless emette un segnale luminoso e acustico a conferma della lettura della carta, ovvero dell’avvenuto pagamento

I circuiti di pagamento contactless

MasterCard PayPass, Visa payWave e American Express ExpressPay sono i principali circuiti di riferimento per i sistemi di pagamento contactless. Le condizioni economiche riguardanti le carte di pagamento a tecnologia contactless sono definite dalle banche emittenti.

I consumatori devono quindi rivolgersi alla propria filiale per conoscere le condizioni di contratto e d’uso delle carte di pagamento abilitate ai circuiti.

Gli esercizi commerciali che aderiscono ai circuiti MasterCard PayPass, Visa payWave e American Express ExpressPay espongono in vetrina i marchi di accettazione.

La tecnologia contactless in Italia

In Italia, le sperimentazioni per l’utilizzo di carte di pagamento contactless sono state avviate alcuni anni fa. Per esempio, il Credito Valtellinese, in collaborazione con Visa Europe e Key Client Cards & Solutions, ha dato il via nel maggio del 2008 alla prima sperimentazione Visa in Europa del prodotto di debito V PAY, impiegato in combinazione alla tecnologia contactless integrata nella carta TellCard.

Banca Popolare di Sondrio e Visa Europe, in partnership con il Politecnico di Milano e l’Università degli Studi di Milano Bicocca, hanno lanciato il progetto Carta di Ateneo: una carta di pagamento prepagata per studenti con applicazione contactless.

Pagovelox è l’iniziativa firmata Banca Marche e lanciata in collaborazione con MasterCard e CartaSi nelle città di Pesaro, Fano, Cattolica e Gabicce Mare. MasterCard PayPass è il circuito di riferimento anche per CartaSi FreeTouch e per Postepay NewGift Contactless. Altro esempio di sistema di pagamento contactless è costituito da Vodafone Smart Pass.

Carte di pagamento contactless e sicurezza

Le carte di pagamento contactless promettono semplicità, rapidità e sicurezza. Che il funzionamento del sistema sia semplice e che le operazioni di pagamento siano rapide è fuori discussione. È il tema della sicurezza che necessita, invece, di accurate verifiche. Gli allarmi, infatti, non mancano. Secondo Sportello Dei Diritti, associazione fondata da Giovanni D’Agata, per esempio, i sistemi di pagamento dotati di tecnologia contactless sono vulnerabili.

«Un malintenzionato equipaggiato con un palmare che è venduto su Internet e costa pochi euro, può copiare agevolmente i dati di una carta contactless direttamente dalle tasche del titolare mentre il possessore della carta passeggia in strada», riferisce Sportello Dei Diritti. «È stato un grave problema in America per un po’ ed arriverà ad esserlo anche in Italia. Infatti le carte possono essere protette solo se avvolte in stagnola o essere conservate in portafogli rivestiti con una speciale lamina. Nessuno vuole davvero questo tecnologia impostaci dal settore bancario che espone tutti ad aumento delle truffe», conclude l’associazione.

Rfid Italia ha chiesto lumi ad Alice Moroni e Serena Sposato, rispettivamente NFC Team Coordinator e NFC&Mobile Team Technical Coordinator presso CATTID (Centro per le Applicazioni della Televisione e delle Tecniche di Istruzione a Distanza) di Sapienza – Università di Roma.

Spiegano Moroni e Sposato che «non è vero che i pagamenti contactless ed NFC siano più vulnerabili rispetto ai pagamenti fatti tramite le più tradizionali carte a contatto: tutto dipende da come l’applicazione di pagamento viene implementata».

Secondo le esperte del CATTID, inoltre, avvolgere il portafogli o le carte di pagamenti contactless con una stagnola o una lamina di protezione non è la soluzione: «Quale utente andrebbe in giro con una carta avvolta nella stagnola? Per essere accettata dagli utenti una nuova tecnologie deve semplificare l’interazione e non complicarla. Crediamo invece che la soluzione vada ricercata da una parte nel garantire dei livelli di sicurezza adeguati da parte di chi sviluppa le applicazioni di pagamento e dall’altra nell’educare l’utente a mantenere un livello di sicurezza accettabile sul proprio device».

Come tutelarsi

«Prima di tutto va sottolineato che tutta una serie di attacchi, sebbene tecnologicamente ipotizzabili, diventa impraticabile quando si tratta di uno scenario reale, e questo grazie alla breve distanza operativa della tecnologia. Una persona sconosciuta che si avvicina arrivando a pochi centimetri da noi fa quantomeno sorgere qualche sospetto», spiegano Moroni e Sposato. «Senza contare che la comunicazione radio viene disabilitata allo spegnimento del display», aggiungono le esperte in riferimento ai pagamenti contactless tramite cellulare, quindi attraverso tecnologia NFC.

In merito alle carte di pagamento contactless, e non riguardo ai pagamenti senza contatto tramite dispositivi mobili, MasterCard sostiene che una carta PayPass è sicura al pari di una tradizionale carta di credito. Inoltre, evidenzia MasterCard, è impossibile pagare “per sbaglio” in quando la carta funziona solo se avvicinata al lettore, e non c’è alcun rischio di doppio addebito, perché anche nel caso di ripetuti avvicinamenti al lettore, questo registra una sola transazione. MasterCard e Visa impiegano lo standard EMV, che prevede il rispetto di determinati requisiti anche per la velocità di comunicazione tra la carta e il terminale.

Pagare con lo smartphone

Oltre che con le carte, i pagamenti contactless possono essere effettuati con anche gli smartphone dotati di tecnologia NFC (Near Field Communication). Un chip NFC integrato in un cellulare intelligente altro non è che un sistema RFID di lettura e scrittura incorporato nel telefono che permette appunto di effettuare transazioni senza contatto. Per il funzionamento di questo sistema e per conoscere i servizi sinora attivi in Italia, si rimanda a un focus riguardante i vantaggi di pagare con smartphone.

NFC e sicurezza

Il tema della sicurezza sembra farsi ancora più delicato in materia di NFC, stando a quanto spiegato da Raoul Chiesa, ethical hacker che ha fondato Security Brokers, azienda specializzata nella fornitura di servizi di ICT Security e Cyber Defense.

Nel protocollo NFC «esiste un baco che permette di rubare facilmente dati sensibili, movimenti bancari e soldi delle persone», ha detto Chiesa in un’intervista concessa di recente al Corriere della Sera. «Non sembra esserci un identikit della vittima tipo e per essere esposti al furto basta passare vicino al cybercriminale dotato di un apposito lettore. Quindi ad esempio metro, stazioni, aree di sosta e aeroporti diventano chiaramente luoghi a rischio», ha aggiunto l’esperto.

Secondo Chiesa, il problema, in Italia, è che il protocollo NFC è stato applicato alle transazioni economiche senza aver implementato la criptatura. «Senza autenticazione né cifratura è possibile rubare in chiaro tutti i dati e poi con quelli ad esempio effettuare acquisti su Amazon il CVV (Card Verification Value, ndR)».

Per approfondire la questione della sicurezza dei pagamenti NFC, si consiglia di fare riferimento a un intervento di Giorgio Porazzi, esperto della materia, riguardante le soluzioni Host Card Emolution e Hardware Chip Embedded.

Commenti Facebook: