I dati delle carte di credito con chip NFC, per i pagamenti di prossimità , possono essere facilmente sottratti. Il network britannico Channel 4 News ha scoperto che le carte del noto istituto bancario Barclays sono davvero a rischio poiché le comunicazioni wireless del rispettivo chip non dispongono di un sistema di codifica adeguato. Il problema è che Barclays e il partner Visa rispettano tutti gli standard di sicurezza esistenti, quindi è evidente che qualcosa non torna.
Gli esperti di ViaForensics, che hanno collaborato al servizio giornalistico, hanno dimostrato che è sufficiente disporre di uno smartphone (Galaxy Nexus) con chip RFID e un particolare software - per altro neanche troppo sofisticato - per sottrarre in pochi secondi tutti i dati principali della carta di credito. Nello specifico si parla dello "sniffing" di nome e cognome dell'intestatario, il codice della carta e la data di scadenza. Praticamente gli stessi dettagli che si possono rilevare guardando la zona frontale di una carta.
Sniffing via smartphone
"Tutto quello che ho fatto è stato toccare con il mio telefono il tuo portafoglio e usare il lettore wireless del telefono per estrarre i dati dalla tua carta, quindi il codice esteso, la data di scadenza e il tuo nome. Nessuno di questi era codifica, si è trattato semplicemente di elementi provenienti dall'etere", ha spiegato il consulente ViaForensics al giornalista di Channel 4 News.
I 13 milioni di clienti Barclays dovrebbero legittimamente sentirsi preoccupati, ma gli altri? Secondo l'indagine di Channel 4 News il sistema parrebbe funzionare solo con le carte di questo istituto; per altro la UK Card Association sostiene nelle sue linee guida che il nome dell'intestatario non dovrebbe essere trasmesso.
Barclays e Visa hanno già risposto sostenendo di non aver violato alcuna normativa e che tutti i dati wireless sono quelli presenti sulla carta, ad esclusione del codice di sicurezza (CVV) posto nel retro delle carte. Ecco, proprio questo ultimo dettaglio pare essere responsabile di un'ulteriore preoccupazione.
Normalmente per effettuare qualsiasi transazione online c'è bisogno anche del codice di sicurezza, ma alcuni store non lo richiedono. I guasconi di Channel 4 News e ViaForensics sono riusciti infatti a fare un acquisto su Amazon.com con i dati "sottratti" dalla carta di credito usata nel test. Quei tre numeri stampati dietro a ogni carta di credito sono di solito una piccola difesa in più contro gli sguardi indiscreti: possibile che Amazon non li richieda?
Abbiamo scandagliato a fondo i siti ufficiali di Amazon (Italia e USA), non trovando alcun riferimento al CVV. A questo punto non ci resta che attendere il commento del noto e-tailer: siamo in attesa di riscontro.