Bastano una dozzina tentativi e non migliaia come universalmente ritenuto, per indovinare, in particolari condizioni, il codice a quattro cifre che consente di prelevare dagli sportelli automatici denaro contante usando una carta di credito.
A rivelare che è molto più facile del previsto azzeccare la combinazione segreta del “denaro di plastica”, uno studio condotto all’Università di Cambridge da un professore di informatica specializzato in sicurezza e crittografia, Ross Anderson.
Il presupposto da cui è partito Anderson, in collaborazione di altri ricercatori, è l’intrusione di un malintenzionato ai database informatici degli istituti di credito. Messe le mani su di essi, secondo l’indagine, basterebbero pochi minuti (appunto, quindici tentativi in media), per indovinare il codice PIN delle carte di credito. In teoria, con mezz’ora di permanenza davanti ad un terminale bancario, si potrebbero scovare settemila codici e fare un bottino interessante.
Anderson ha studiato una disputa legale avvenuta in Sud Africa tra la Diners Club SA e i coniugi Singh che hanno trovato una falla nel loro conto di 80.000 dollari grazie a 190 prelievi fantasma “phantom withdrawal”, effettuati in un solo week end in ATM inglesi.
Secondo Anderson la “falla” starebbe nel modo con cui i PIN vengono assegnati. Non si tratterebbe, infatti, di numeri casuali ma legati in modo matematico al numero della carta di credito, il che rende il sistema molto vulnerabile.
I matematici, fino a ieri, contavano in circa 5.000 i tentativi mediamente necessari per trovare il codice esatto ma con lo studio del professor Anderson sconvolge ogni considerazione su questo argomento ed è in grado di mettere in allarme più di un ente e di una società . Tra queste Diners Club, coinvolta in prima persona, e che volendo calmare le acque, ufficialmente per non aiutare possibili malfattori, ha chiesto il silenzio sull’argomento. Peccato che gli studi del professor Anderson siano pubblici e reperibili sulla rete (223 KB) da chiunque.
