25 Gennaio 2022
I pagamenti digitali nel corso degli anni hanno registrato una crescita esponenziale, complice anche la pandemia che, almeno inizialmente, ha portato con sé una rinnovata diffidenza verso il contante, e anche il Cashback di Stato.
Al centro di questa transizione ci sono le carte di pagamento, secondo una ricerca Mastercard utilizzate già lo scorso anno da 8 italiani su 10, seguite da quelle contactless, ormai parte delle abitudini consolidate per il 78% degli italiani. Il contactless regna anche per quanto riguarda i pagamenti con gli smartphone, che sono in crescita seguiti dai pagamenti con app dedicate e da quelli effettuati attraverso app bancarie.
Tuttavia, il contactless è salito agli onori della cronaca anche per via di una truffa a cui si presta per via della propria natura: secondo alcuni, basterebbe avvicinare un POS portatile alla tasca di qualche ignaro utente per sottrargli importi al di sotto di una certa soglia, quella per cui non è necessario digitare il PIN. Ecco spiegato come funziona, quanto c'è di vero e come difendersi.
COME FUNZIONA LA TECNOLOGIA CONTACTLESS
Innanzitutto, un po' di contesto: il pagamento contactless, come suggerisce il nome, consente di pagare senza contatto, ovvero senza dover inserire la tessera all'interno di un terminale di pagamento ma semplicemente avvicinandola al lettore per portare a termine una transazione, velocizzando così le operazioni sia per l'acquirente che per il venditore.
Questo sistema di pagamento sfrutta l'RFID: l'acronimo sta per Radio Frequency IDentification, ovvero identificazione a radio frequenza, che può essere integrata nelle carte di credito, nelle carte di debito e nelle prepagate (per scoprire la differenza, ecco qui un articolo dedicato). Per capire se una carta è abilitata ai pagamenti contactless, basta controllare se presenta l'apposito simbolino simile a quello della rete WiFi.
La tecnologia RFID esiste da diversi decenni, sviluppata come derivazione a scopi civili del sistema militare a radiofrequenza di Identification friend or foe; ma la diffusione su larga scala è avvenuta a partire dagli anni '90, passando da applicazioni industriali per poi entrare nell'uso quotidiano, lavorativo e domestico. Ad esempio, è RFID quella utilizzata nei badge di accesso al lavoro, ma anche nei tag anti-taccheggio.
Da questa deriva lo standard NFC che si trova ormai sempre più spesso sugli smartphone: la Near Field Communication, che significa letteralmente comunicazione di prossimità, è una tecnologia che fornisce connettività senza fili bidirezionale a corto raggio, fino a un massimo di 10 cm, con velocità di trasmissione di circa 424 kbps.
Dunque, ecco perché è possibile effettuare transazioni contactless anche attraverso gli smartphone: per poter pagare con questa modalità, basterà registrare la propria carta sul telefono e al momento del pagamento avvicinarlo proprio come si farebbe con una carta. Nota bene: questo tipo di pagamento non va confuso con i pagamenti mobili, che invece sfruttano internet - sia rete cellulare sia WiFi - per connettersi e autorizzare la transazione sul conto del venditore.
Tornando a noi, nella pratica il pagamento contactless è semplice: l'esercente digita l'importo della transazione sul terminale di pagamento o POS (Point of Sale), a cui poi il consumatore avvicina la carta per permettere la lettura e la conferma dell'avvenuto pagamento.
Con questa tecnologia si possono effettuare transazioni di qualunque importo, ma per spese al di sopra di una certa soglia è necessario digitare un PIN; fino a qualche tempo fa era di 25 euro, ma recentemente alcuni emittenti di carte l'hanno alzata a 50 euro. Dunque, al di sotto di questa cifra le transazioni sono davvero agili, e non richiedono alcuna forma di verifica ulteriore.
FURTO A DISTANZA RAVVICINATA: I RISCHI DEL CONTATCLESS
E proprio qui si annida la possibilità delle truffe basate sul contactless: basterebbe dotarsi di un POS portatile, di quelli che non necessitano di stare collegati alla rete elettrica, e avvicinarsi alla tasca dove la vittima tiene la carta per effettuare una transazione a sua insaputa. L'importante è che l'importo sia inferiore alla soglia oltre cui è necessario il PIN.
Un evento che potrebbe verificarsi in luoghi particolarmente affollati, come mostrano diversi video pubblicati nel corso degli ultimi anni. Qualcuno potrebbe obiettare che queste situazioni siano quasi sempre un ricordo, date le norme di distanziamento che hanno cambiato le nostre uscite in società.
Tuttavia, folla o non folla, quello che viene presentato come un furto facilissimo da perpetrare ha comunque qualche riserva, a partire dalla distanza necessaria per effettuarlo - bisogna essere davvero a un paio di centimetri dalla tasca con la carta, al punto che forse sarebbe più semplice un borseggio - fino alla tracciabilità dell'operazione.
Ogni pagamento effettuato con strumenti elettronici lascia un segno indelebile, perché il trasferimento del denaro viene registrato sui circuiti bancari con un addebito a carico del titolare della carta e un contestuale accredito a chi gestisce il POS (per capire meglio le commissioni, qui avevamo spiegato come funzionano); il che renderebbe semplice, per le forze dell'ordine, risalire al responsabile della truffa.
A fronte di questo dato di fatto è anche vero che l'addebito sul conto non compare immediatamente e trattandosi di somme di piccola entità potrebbero passare inosservate, lasciando campo libero al responsabile per parecchio tempo; inoltre, non sarebbero magari molte le persone disposte a sostenere le spese legali necessarie per arrivare ad ottenere giustizia per cifre così esigue.
TRUFFE ANCHE SENZA POS: LE APP PER SMARTPHONE
Le truffe contactless possono avvenire anche senza POS ma semplicemente tramite l'utilizzo di uno smartphone con NFC dotato delle app giuste. Un esempio è l'app Lettore carte di credito: liberamente scaricabile dagli store, permette di leggere i dati pubblici sulle carte di pagamento compatibili con NFC e standard EMV.
Basta avvicinare la carta alla parte posteriore dello smartphone per visualizzare i relativi dati, dal circuito di appartenenza all'istituto emittente, senza dimenticare la cronologia dei movimenti con i relativi importi, il tipo di transazione e il Paese.
In questo caso si può stare relativamente tranquilli perché l'app non accede a internet e non mostra il numero della carta a meno che non immettiate alcune cifre mostrando di averla tra le mani, ma non è difficile immaginare possano esisterne altre versioni simili ma meno rispettose della privacy, per dirla con un eufemismo.
Risale a parecchi anni fa ad esempio l'allarme lanciato da un esperto di sicurezza che aveva messo a punto un software per "copiare" i dati di una carta tramite NFC e poi riproporli a un terminale di pagamento proprio con lo smartphone. Lo scoop era stato ripreso da Forbes, ed è una lettura sempre interessante; si trova riportato tra le fonti di questo articolo.
COME CORRERE AI RIPARI
Niente panico però: per tutelarsi da questo tipo di truffe ci sono vari rimedi, oltre al consiglio sempreverde di prestare attenzione a dove si ripone la propria carta e a chi la maneggia. E proprio a proposito del primo punto, una soluzione per impedire la lettura delle carte è quella di foderare i propri portatessere con fogli di alluminio che impediscono la trasmissione di dati.
Se non si è portati per le soluzioni artigianali, è possibile trovare sul mercato un'ampia gamma di portafogli dotati di blocco RFID in grado di schermare qualsiasi tentativo di far funzionare le carte contactless custodite all'interno.
Altrimenti, un'altra via potrebbe essere quella di bloccare i pagamenti contactless su una determinata carta direttamente dall'app, come ormai molti istituti bancari e fintech consentono di fare. Oppure, in extremis, si potrebbe anche decidere di lasciare a casa la carta e importarla su Google Pay, Apple Pay e affini che, se supportati, evitano qualsiasi rischio relativo al contactless perché per abilitare il pagamento NFC bisogna sbloccare lo smartphone o lo smartwatch con un pin o un sensore biometrico.
In ogni caso, al moltiplicarsi delle tessere contactless nei nostri portafogli deve corrispondere una presa di coscienza sul loro funzionamento e sui possibili conseguenti rischi, al fine di difendersi meglio: non bisogna dimenticare che la tecnologia RFID è alla base del funzionamento anche di altri documenti che contengono informazioni sensibili, dalla carta d'identità elettronica al passaporto biometrico.
Contenuto in collaborazione con Skrill
Prezzo e prestazioni al top? Xiaomi 13, in offerta oggi da Phoneshock a 644 euro oppure da eBay a 699 euro.
Commenti
So good, man!
la sesta? si vocifera nei primi mesi del 2022 e che verrà divisa in due parti come hanno fatto anche altre reti per tirarla un altro po'...
Fatto ;)
Quando esce l'ultima stagione?!
https://www.emvco.com/wp-content/uploads/2017/05/A_Guide_to_EMV_Chip_Technology_v2.0_20141120122132753.pdfCHE COGLI0_=NE CHE SEI AHAHHAHAHAH
"lo tengo attivo solo su iphone": COSA? il cogli00:nazz000 che sei?!?
:D :D :D
Vai in un centro commerciale e fai più transazioni, non ci vuole molto, in poche ore ciaone...
Ho disattivato il contactless delle mie carte.
Certo che qua sopra ci sono solo analfabeti funzionali eh...
E non li beccati visto che c'è la traccia elettronica e si vede dove vanno i soldi.. .
E bisogna anche trovare la tasca, e sperare che il tutto sia a distanza di ricezione...a me me pare parecchio difficile.
Comunque il cappello di alluminio lo mettiamo lo stesso vero?
Con transazioni multiple al di sotto della soglia magari?
il contactless è solo un passaggio temporaneo per migrare tutto su pagamento tramite nfc e li i rischi sono 0
Come hanno fatto a fregargli 200€ senza pin?
storiella che ogni tanto viene riproposta ma se andate a cercare, ciclicamente riappaiono degli articoli del genere ma si tratta sempre di timori e mai di reati effettivamente commessi. E' come se ciclicamente ci fosse un articolo sugli squali che hanno imparato a camminare sulla terra e vanno in giro a mangiare gli umani, paura comprensibile ma non è mai successo
Finalmente un articolo decente, mi mancava
Tranquillo, grazie!
Scusa, non sapevo :)
Cpu integrata nella carta? Ed il liquido di raffreddamento di questa cpu è con il vino?
Ah ho capito! Vino alla carta!
L'applicazione funziona bene ed arrivano le notifiche.
quale è il soggetto dell'articolo?
No, mi hanno detto che le carte di credito le danno solo a chi ha reddito, e io non ce l’ho, essendo studente universitario. E purtroppo di Nexi loro hanno solo le carte di credito
Mi sembra un articolo scritto per boomer.
veramente il nexi ha un costo fisso (le commissioni li hanno tutti: banche, nexi, sum up, eccetera, indipendentemente dal pos usato. Nexi inoltre ti da gratis il secondo pos, oltre altri vantaggi come non pagare commissioni sotto i 10 euro - ma dal primo gennaio dovrebbe tornare a 5 euro)
scarpamondo, scarpe e scarpe, zalando, eccetera
ma non ti sei fatto dare la carta Nexi? E' gratis (io ho WeBank, gruppo BPM, e ce l'ho)
Inoltre alcuni emittenti (tipo Nexi) permettono di ricevere SMS in caso di acquisto per qualsiasi cifra si desideri (minimo 1€)
Per fare una truffa del genere:
devi avere un pos su rete gprs
ingropparti quello/a che vuoi truffare
sperare che non abbia un portafogli a prova di RFID (tipo il mio)
sperare che la o le carte in possesso della persona non avvisino via SMS della spesa (più carte in contemporanea, tipo CC e Bancomat, potrebbero mandare in tilt il pos)
In pratica fai prima con un vecchio e classico scippo
sisi ovvio
con la carta non fai il codice oltre la soglia di spesa?
In effetti mi aspettavo che questo particolare l’articolo lo chiarisse.
Non lo sapevo, grazie mille
Che cretinata di un articolo
Tu sei in tempo per toglierti il palo dal cuIo.
Ma se disattivo la funzione contactless della carta dall'app N26, posso comunque continuare ad utilizzare senza problemi Apple Pay? Tanto quest'ultimo dovrebbe simulare l'immissione della carta fisicamente nel POS, o sbaglio?
Se non arrivi al significato il problema è serio. :)
Sei in tempo...per sanare le lacune.
A Chuck McGill piace questo articolo
" il contactless è salito agli onori della cronaca anche per via di una truffa a cui si presta per via della propria natura"
No, è salito per colpa dei giornalettai e dei social. Se preoccuparsi di tutto questo valesse 1, preoccuparsi di uno scippo o di una rapina dovrebbe valere 10. Però ovviamente non c'è un prodotto da sponsorizzare anti rapina o anti scippo, così come non fa notizia tra gli analfabeti funzionali, quindi il 90% della popolazione, la pericolosità di essere borseggiato in metro.
Se hai Apple Watch ti sblocca senza codice ;)
io per prevenire ho messo la carta in una speciale contenitore piombato e si anche avvicinando la carta al pos non funziona piu il contless per i pagamenti
Come detto da Enrico su Android c'è NFC tools pro che dovrebbe permettere di leggere e poi emulare da telefono la carta...da prendere con le pinze sia il funzionamento che il fatto che al parcheggio privato vada bene ;)
si, ma se ti beccano sul posto son dolori perchè comunque TUTTE le transazioni sono registrate nel POS.
Quindi non verrai solo incriminato di 1 transazione ma di tutte le restanti perchè appunto, sono registrate.