I controlli troppo blandi da parte degli enti emettitori delle carte di credito stanno dando il via a truffe con Apple Pay. È il The Guardian a parlare della vicenda che avrebbe dato la possibilità a bande di truffatori di comprare beni di consumo di grande valore anche negli Apple Store contando sulle falle aperte a monte, usando carte di credito rubate e collegate agli account.
La debolezza starebbe nel sistema bancario e del credito che gestisce le carte. In termini pratici non si tratta di una falla nel sistema di cifratura del dispositivo, ma nel percorso di autorizzazione che non riesce a fermare le identità rubate. Chi usa Apple ID per le frodi in pratica imposta nell’iPhone una identità rubata, poi chiede l’autorizzazione della banca, che la concede, ad usare Apple ID. Apple si limita a convalidare l’autorizzazione della banca tramite l’iPhone, mediando tra il commerciante e l’organismo che emette la carta di credito.
Quando il proprietario di un iPhone aggiunge i dettagli della sua carta di credito o debito in Apple Pay (indicando manualmente le informazioni o scattando una foto alla carta con l’iSight), questi sono inviati in modo cifrato ai server di Apple. Cupertino decifra i dati, determina il metodo di pagamento e ricifra i dati con una chiave sbloccabile solo dal network di pagamento selezionato. L’ente emittente si limita di volta in volta ad autorizzare o bloccare il pagamento, ricevendo per ogni transizione il nome dell’utente, dati sulla localizzazione e poco altro, quello che in gergo è chiamato “percorso verde”. Un’ulteriore verifica (“percorso giallo”) è in alcuni casi richiesta dalla banca, come prova dell’identità dell’utente, inviando un codice di verifica via SMS o una mail alla quale rispondere come conferma dell’effettivo acquisto. In alcuni casi le banche richiedono le ultime quattro cifre del numero di Social Security ma queste informazioni negli USA non sono difficili da ottenere (i ladri d’identità riescono a utilizzare il numero e il credito di cui gode il derubato persino per richiedere altre carte di credito).
Non è chiaro quanto sia grande il problema ma Apple potrebbe intervenire, complicando un po’ la vita dell’utente e impostando procedure di verifica più avanzate ma per fare questo sono necessari accordi con banche ed enti finanziari che a loro volta dovrebbero occuparsi di eseguire verifiche più stringenti con i titolari delle carte.
Il furto di identità è un fenomeno che negli ultimi è cresciuto diffusamente nel mondo online e nella vita reale. Sono moltissime le vittime di ogni età ed estrazione sociale alle quali ogni anno vengono stati sottratti dati personali o di carte di credito per poi eseguire acquisti, chiedere prestiti o aprire conti correnti a loro nome.
Kaspersky, società specializzata in sicurezza, evidenzia come il sistema di sicurezza delle carte di credito è ancora oggi quello degli anni settanta: la data sulle carte di credito è scritta in testo visibile, il PIN è molto corto e in quanto tale sensibile al furto, e in molti casi sono solo queste le misure di sicurezza che proteggono il nostro conto in banca. Il chip integrato in alcune carte in alcuni casi non basta e una buona idea potrebbe essere l’integrazione di nuovi livelli di sicurezza, come il doppio fattore di autenticazione ampiamente utilizzato su Internet; il meccanismo in questione potrebbe essere usato per le transazioni off-line quando vengono coinvolte grandi somme di denaro.
