BANCA CAPASSO ANTONIO S.p.A.
Sede Legale Piazza Termini, 1 81011 Alife (CE)
Tel. 0823 78 31 25 – Fax 0823 91 82 31
info@bancacapasso.it

Contactless per le carte di pagamento, la sicurezza prima di tutto

Le carte di debito della Banca Capasso Antonio SpA non sono abilitate all’operatività e-commerce.

Contactless per le carte di pagamento, la sicurezza prima di tutto

26 Dicembre 2015

Facciamo seguito ad alcune richieste di chiarimento relativamente alla presunta vulnerabilità delle carte contactless evidenziata da servizi televisivi recentemente trasmessi dal telegiornale satirico “Striscia la notizia”. In particolare le immagini mostravano come sarebbe possibile copiare i dati delle carte contactless mentre il possessore della carta passeggia tranquillamente per strada. Il presunto truffatore, dopo avere attivato una particolare APP sul proprio dispositivo mobile (smartphone), sarebbe in grado di captare i dati delle carte contactless semplicemente avvicinandosi al titolare, senza che questi se ne renda nemmeno conto.

Successivamente i dati catturati verrebbero utilizzati per effettuare transazioni e-commerce.

Preme sottolineare che la tipologia di frode presentata, ancorché potenzialmente realizzabile, è caratterizzata da un rischio più teorico che non effettivo e reale.

A tale proposito ricordiamo che dal punto di vista tecnico le operazioni contactless sono processate utilizzando gli stessi parametri di sicurezza e le medesime infrastrutture di una operazione tradizionale a chip o a banda (crittogrammi univoci, chiavi di cifratura, ecc.).

L’unica differenza riguarda la modalità di ingaggio e di colloquio tra la carta ed il terminale POS: interazione fisica diretta tra carta e terminale per le operazioni a contatto, ovvero interazione a brevissima distanza tra carta e terminale per le operazioni contactless.

Si evidenzia pertanto una difficoltà oggettiva nella fase di cattura dei dati determinata dalla distanza  estremamente ridotta che si rende necessaria per innescare il colloquio tra la carta contactless e dispositivo mobile (la carta deve sfiorare il terminale).

Inoltre, le informazioni scambiate tra carta e terminale riguardano esclusivamente i dati pubblici della carta, ovvero PAN e data scadenza. Non vengono in alcun modo scambiate ulteriori informazioni, quali ad esempio il PIN della carta o i “Card Validation Codes”.

Occorre comunque considerare l’aspetto più importante: le carte di debito della Banca Capasso Antonio SpA non sono abilitate all’operatività e-commercepertanto possiamo affermare con assoluta certezza che tali prodotti sono esenti dalla tipologia di rischi summenzionati.