La situazione è piuttosto curiosa: negli Stati Uniti la transizione a cui sono soggetti i commercianti in relazione alle carte con standard EMV, carte di credito che avevano lo scopo di combattere le frodi, sta inverosimilmente portando ad un loro aumento. Il termine EMV viene dal consorzio “Europay, MasterCard e VISA” che ha dato origine allo standard e si riferisce più comunemente alle carte di credito con chip e pin.
Il punto è che nonostante la deadline per i commercianti statunitensi rispetto al passaggio alle carte con chip e pin sia scaduta già da tempo, ci sono ancora un sacco di negozi che non sono ancora passati al nuovo standard. Secondo VISA, i primi 5 rivenditori che hanno adottato le smartcard con microchip appartenenti allo standard EMV hanno sperimentato una diminuzione dell’indice di frode pari al 18,3%. D’altro canto, i commercianti che non hanno dato il benvenuto al cambio hanno visto i propri livelli di frode aumentare un 11,4%.
La ragione principale è dovuta al fatto che i ladri sono disposti a fare di tutto per poter mettere le mani sui soldi mentre la transazione è in corso.
Are You Ready for Chip-and-PIN Credit Cards? Hackers Are! https://t.co/GLUnTnIfuK #infosec #itsecurity
— CBIZ Pivot Point Security (@pivotpointsec) April 22, 2016
Qual è la differenza tra le due tecnologie?
La banda magnetica della carta di credito contiene dati statici in plain text. Dato che i dati non sono criptati, non è difficile rubarli ed è possibile farlo usando hardware comuni e economici come gli skimmer. Inoltre dato che si tratta di dati statici, una volta rubati possono essere usati per clonare la carta di credito e rubare i soldi ivi contenuti.
Pensate a questi dati come se fossero delle password: se un ladro riuscisse a rubarle anche solo una volta, sarebbe in grado di eseguire il login al vostro account tutte le volte che vuole.
Al contrario, le nuove carte con chip e pin, come potete immaginare dal nome, contengono un microchip integrato e protetto crittograficamente. A differenza delle “password statiche”, questa nuova tecnologia usa delle “password dinamiche” generate in modo sicuro per ogni pagamento ed in modo individuale.
#Bank cards: hidden risks. https://t.co/6XuStklmOU #security #onlinepayments pic.twitter.com/RiR9nYDd38
— Kaspersky (@kaspersky) February 19, 2015
In realtà la questione è un po’ più complessa, ma per semplificarla l’idea centrale è molto simile alle password usa e getta inviate via SMS e che si usano per eseguire il login sulla pagina della vostra banca online, o sui vostri account Google o Facebook. Rubare una “password” usata per una particolare transazione non ha assolutamente senso e non serve a nulla: i ladri non potranno usarla una seconda volta.
Il microchip non è solo quell’elemento che immagazzina informazioni, ma un potente computer che può effettivamente comunicare con il terminale di pagamento e con gli sportelli bancari per provare la sua autenticità. Non può essere clonato. Beh, forse è possibile, dato che nulla è impossibile nel mondo digitale, ma per lo meno sarà più difficile clonare queste carte di credito rispetto a quelle con la banca magnetica.
Quantum plastic: an insight into credit cards of the future: https://t.co/Yj7Z4ud1Bm #cybercrime pic.twitter.com/DL3Y3E9Ybw
— Kaspersky (@kaspersky) February 5, 2015
Tutto sommato le schede con standard EMV rappresentano una nuova sfida per i ladri. Ecco perché in questo momento si sta verificando una corsa contro il tempo: gli imbroglioni stanno approfittando del poco tempo a loro disposizione prima del passaggio alle nuove carte per usare e manipolare le vecchie schede con banda magnetica.
Perché la transizione allo standard EMV è così lenta?
Ci sono due ragioni principali alla base della lentezza del processo: alti costi e cattiva organizzazione. Sapete quanti terminali di pagamento ci sono negli Stati Uniti? Per completare il passaggio alla nuova tecnologia, ognuno di loro deve essere sostituito con uno nuovo. Tutto questo costa una fortuna ai commercianti e a nessuno piace pagare quando non è ancora assolutamente necessario.
Il fatto è che fino al 1 ottobre 2015 non lo era. I commercianti non erano responsabili in caso di frode e le compagnie delle carte di credito coprivano le perdite economiche derivanti da acquisti fraudolenti. Quello che è cambiato dopo la data sopra indicata è che ora i commercianti che non accettano le carte con chip e pin sono loro stessi responsabili delle perdite.
What you need to know about card skimmers at #ATMs: https://t.co/Yvzw65SXFT #cybercrime pic.twitter.com/X4z4hEl7Mk
— Kaspersky (@kaspersky) January 21, 2015
Ora passiamo alla parte relative alla cattiva organizzazione: ci sono troppi commercianti che vogliono passare allo standard EMV. Il problema è che comprare le nuove apparecchiature è solo la prima fase, i sistemi di pagamento devono essere certificati per poter iniziare a lavorare correttamente. E ci sono troppi commercianti in coda per la certificazione, e questo fa sì che il processo di certificazione sia troppo lungo.
Ovviamente i criminali non faranno altro che approfittare di questo tempo per continuare a mettere a segno qualche colpo.
Incredibile ma vero! Il passaggio alle carte con chip e pin ha fatto aumentare i casi di frode negli USA
Tweet
Che significa tutto questo per me?
Usare le carte di credito di plastica non è mai stato sicuro, ma ora è ancora più pericoloso dato che negli Stati Uniti si sta verificando una vera e propria esplosione di frodi bancarie. Ecco perché occorre essere ancora più cauti e seguire questi semplici consigli:
- se non avete ancora una carta di credito o bancomat di tipo chip-and-pin, richiedetela alla vostra banca o compagnia di carte di credito;
- quando dovete prelevare ad uno sportello, sceglietene uno in un’area ben localizzata e sicura, meglio se all’interno della banca ed evitate di usare gli sportelli in aree isolate o in vicoli bui, specialmente quando siete soli;
- invece della firma, scrivete “chiedere carta di identità” nel retro della tua carta di credito: se usate una scheda che non adotta lo standard EMV, questo metodo vi conferirà un po’ più di protezione e vi farà vedere se il cassiere è al corrente delle misure di sicurezza;
- Controllate sempre l’estratto conto: se la vostra banca vi offre un servizio di notifiche via SMS, abilitate questa opzione, oppure (se disponibile) attivate gli avvisi via mail. Prima si scopre la prova di un furto, più facile sarà riavere indietro i soldi.