Shopping e saldi invernali più sicuri con i pagamenti elettronici

di Pier Luigi Rotondo



Siamo nel pieno dalla stagione degli acquisti. Tra regali natalizi e saldi invernali spenderemo una parte considerevole del nostro budget annuale. Si stima che il solo Natale 2019 inciderà sulla famiglia media italiana per €549, e questo posiziona l’Italia al terzo posto tra i paesi europei che spendono di più in acquisti natalizi. Gli italiani continuano a prediligere l’acquisto presso i negozi tradizionali, ma il divario con l’online si assottiglia. Con i dati correnti si può ipotizzare che già nel 2020 ci sarà un sorpasso di acquisti natalizi online rispetto al negozio.

Che sia acquisto online, oppure in negozio tradizionale, il pagamento elettronico diventa sempre più diffuso tra gli italiani. Sono quasi 100 milioni le carte di pagamento attualmente attive, e nel corso del 2018 le famiglie italiane le hanno usate per saldare il 37% dei pagamenti, con una crescita del +9% rispetto all’anno precedente.

Grazie al costante lavoro degli operatori bancari, e le efficaci normative recentemente entrate in vigore, il pagamento elettronico diventa sempre più sicuro. Secondo i più recenti dati europei, il 73% delle frodi su pagamenti elettronici è avvenuto nei pagamenti con carta di credito su Internet, mentre il rimanente 27% delle frodi è ha colpito i pagamenti ai terminali POS all’interno di un negozio, e il prelievo di contante.

Come possiamo usare in tutta tranquillità le nostre carte di pagamento, senza rischi ne preoccupazioni?

Sicurezza nelle transazioni da remoto

Per le transazioni su Internet, come quelle che facciamo ogni qualvolta compriamo qualcosa dal nostro sito di eCommerce preferito, il rischio di frode è più elevato, in quanto l’acquisto si conclude senza mostrare fisicamente la carta al commerciante, ma piuttosto inserendo solo i numeri identificativi della carta. Queste transazioni sono chiamate card-not-present (CNP). Chi ha buona memoria non ha neanche bisogno di tirare fuori la carta dal portafogli per digitare il numero di carta, la scadenza e il codice di sicurezza.

Negli acquisti su Internet all’interno dell’Unione Europea, traiamo vantaggio dei benefici dell’autenticazione forte del cliente, o Strong Customer Authentication (SCA), introdotti dalla direttiva Europea PSD2 sui servizi di pagamento. L’autenticazione forte del cliente impone che tutte le operazioni con un potenziale rischio di frode, come i pagamenti elettronici a distanza e altre operazioni sui conti online, siano autorizzate usando due o più fattori di autenticazione, scelti combinando qualcosa che solo chi effettua l’operazione conosce (ad esempio un PIN o una password), qualcosa che solo chi effettua l’operazione possiede (un’app su un dispositivo mobile), o una caratteristica biometrica che contraddistingue l’utente (l’impronta digitale, o un’altra caratteristica biometrica).

Il mercato sta sviluppando, proprio per i pagamenti remoti con carta di credito, diverse soluzioni antifrode, come il protocollo 3D Secure v2 (3DS2) e il Risk-Based Authentication (RBA).

Ogni volta che effettuiamo un pagamento con la nostra carta di credito su Internet, il negoziante invia al gestore della carta di credito oltre 100 elementi caratteristici della transazione (data point), analizzati all’istante per valutare il livello di rischio della transazione. La valutazione del rischio comporta l'analisi dei dati contestuali inviati dal commerciante, della cronologia delle transazioni del titolare della carta, e numerose caratteristiche della transazione come importo, identificativo univoco del dispositivo e la sua posizione. Ciascuna transazione è analizzata singolarmente, e alla fine la maggior parte delle operazioni saranno di tipo frictionless, autorizzate senza eccessive formalità o ritardi. Nei casi più incerti, il gestore della carta introduce elementi aggiuntivi di verifica dell’operazione, ad esempio inviando una OTP (One Time Password) via SMS al nostro cellulare, oppure una notifica tramite l’app bancaria.

Per favorire la Risk Based Authentication è buona norma registrare presso la nostra banca un numero di telefono o e-mail certificata, e attivare le notifiche sulle transazioni di più alto importo.

La chiave che genera token OTP, cioè numeri che hanno validità di poche decine di secondi, è ancora un valido elemento di autenticazione, diventa però sempre meno diffuso in favore di app per smartphone che generano codici OTP, e che consentono di portare a termine il pagamento elettronico o di effettuare un bonifico utilizzando un unico dispositivo.

Le app bancarie consentono inoltre le push notifications, codici di conferma mostrati a schermo attraverso l’app stessa, e che contribuiscono in maniera robusta all’autenticazione, essendo più difficili da catturare rispetto agli SMS. E’quindi buona pratica abilitare le app bancarie, allontanandosi velocemente dagli SMS, suscettibili sia ad attacchi Man-in-the-Middle (MitM) da parte di malware specializzato, che di tipo SIM swap. Quest’ultimo attacco si basa su una nuova SIM, richiesta a insaputa della vittima usando un suo documento contraffatto o rubato, e che consente di ricevere gli SMS PIN inviati dalla banca. La vittima di un attacco SIM swap solitamente vede il suo cellulare non in grado di collegarsi più alla rete telefonica, e contattando il gestore telefonico questo ci dice che qualcuno ha richiesto la sostituzione della SIM.

Sul cellulare dove è installata la app bancaria è importante disabilitare la sequenza di sblocco dello schermo, facilmente visibili agli occhi indiscreti di un vicino, e optare per uno sblocco biometrico, con impronta digitale o volto.

Tutte le carte di credito in questo periodo, all’atto dell’acquisto online, ci permettono di inserire il negoziante in una lista di beneficiari di fiducia. Questa è una buona pratica, senz’altro da adottare per i negozi online sui quali facciamo spesso acquisti, e ci consente di far autorizzare più velocemente gli acquisti futuri. Questa modalità deriva direttamente dal concetto di elenco di beneficiari di fiducia, anch’esso introdotto dalla PSD2.

Sicurezza nei pagamenti al POS e nei prelievi

Se analizziamo cumulativamente le frodi sulle carte di debito (ad esempio il bancomat), sia come carta di prelievo che come carta di pagamento in negozio, troviamo principalmente frodi con carte smarrite o rubate, e frodi con carte contraffatte o clonate. In tutti questi casi, vige la regola della buona custodia della carta che non deve mai essere affidata nelle mani di estranei durante il pagamento, assieme ad una attenta custodia del PIN, protetto dalla vista dei vicini mentre lo digitiamo, e che non deve in alcun modo essere conservato trascritto assieme alla carta.

Buone spese!

Riferimenti

[0] Deloitte Christmas Survey 2019 Deloitte, November 2019
[1] Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security Online Shoppers Demand SecurityIntelligence.com, January 2019
[2] Directive (EU) 2015/2366 of the European Parliament and of the Council Official Journal of the European Union, November 2015
[4] Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of Electronic Payments? SecurityIntelligence.com, September 2019
[5] Pier Luigi Rotondo, Domenico Raguseo Elementi sul cybercrime nel settore finanziario in Europa in Rapporto CLUSIT 2019 sulla sicurezza ICT in Italia CLUSIT, Marzo 2019
[6] Fifth report on card fraud European Central Bank – Eurosystem, September 2018
[7] Rapporto statistico sulle frodi con le carte di pagamento MEF Dipartimento del tesoro, 2017
[8] Osservatorio Carte di Credito e Digital Payments Assofin, Nomisma, Ipsos e Crif, 26 Settembre 2019

21 dicembre 2019

Pier Luigi Rotondo, cyber security architect, IBM Italia
@pgrotondo

Visit us on LinkedIn