La clonazione di carte bancarie è un fenomeno sempre più diffuso in Europa, stando all'ultima ricerca effettuata da European ATM Security. Il cosiddetto card-skimming ormai riguarda Bancomat, distributori di benzina, parcheggi, etc.
In pratica da circa 10 anni bande di ogni nazionalità si muovono sul territorio europeo installando sui dispositivi di pagamento accessori più o meno evoluti capaci di registrare i codici delle carte di debito e credito. Si tratta di vera e propria criminalità organizzata che non si affida più ad apparecchiature artigianali ma a kit sempre più sofisticati, per altro disponibili sul mercato nero online.
Un classico card-skimmer
"Le attuali carte di credito (tipo Visa, Mastercard, etc.) e di debito (tipo Bancomat) usano una doppia tecnologia: hanno i dati registrati sia sulla banda magnetica sia sul chip. Il chip non si può clonare ma la banda magnetica è molto facile da copiare", ha spiegato Antonio Lioy, professore al Politecnico di Torino, esperto di Sicurezza Informatica, a La Repubblica.
"È quindi diffusa la tecnica di inserire sulla fessura (dove bisogna introdurre la carta) un cosiddetto skimmer, un piccolo apparecchio in grado di leggere i dati della banda magnetica e memorizzarli. In questo modo è possibile clonare la carta (solo la banda magnetica, non il chip) ma per usarla (a parte rari casi, come il pagamento dei pedaggi autostradali) occorre anche il PIN".
L'accrocchio
Per ottenere anche il PIN quindi vi è bisogno di una micro-videocamera oppure di una tastiera sottile da sovrapporre a quella originale. L'ultima modalità, forse più tradizionale, è quella di installare nella zona inserimento carte un piccolo dispositivo che ne blocchi il ritiro. A quel punto uno della banda si fa avanti con lo sfortunato per aiutarlo e ne approfitta per sbloccare il tutto e dare una sbirciatina mentre si procede con la fase di inserimento PIN.
"Con la tecnologia wireless è possibile per tutti questi componenti trasmettere a breve distanza le informazioni (ad esempio ad un computer posizionato all'interno di un'auto in sosta). Altrimenti i componenti hanno delle piccole memorie interne su cui registrano i dati ed i criminali leggeranno il contenuto di queste memorie quando preleveranno i dispositivi al termine di una sessione di attacco", ha aggiunto l'esperto.
Cosa può nascondere l'accrocchio?
Insomma, il PIN non è proprio così facile da ottenere, ma basterebbe che i negozianti usassero POS con rilevamento chip invece che solo banda magnetica. Già, ma chi paga?
Intanto per difendersi basterebbe qualche accortezza in più. "Controllare sempre il proprio estratto conto (meglio tramite Internet che aspettare il resoconto trimestrale) ed avvisare subito la propria banca in caso si notino operazioni illecite. Se la propria banca o gestore della carta di credito offre il servizio SMS (avviso ogni volta che la carta viene usata) attivarlo in modo da rilevare tempestivamente usi illeciti", ha ricordato Lioy.
In ogni caso ogni tanto qualche banda viene presa. La scorsa settimana la Polizia rumena in collaborazione con l'Europol ha effettuato 44 arresti e sequestrato software e hardware per l'intercettazione dei dati in transito nei distributori automatici. Avevano rubato i dati di 36 mila proprietari di carte elettroniche in ben 16 paesi diversi.