Ascoltavo Digitalia e sono rimasto colpito da alcune considerazioni su un fenomeno di cui avevo sentito parlare ma che non avevo approfondito. E ho deciso di riportare qui il succo del discorso.
Tutto parte dall’entusiasmo di aver ricevuto per la prima volta una carta di credito. Lo si vuole dire agli amici e, dato che oggi tutto si condivide, si postano le foto sul web. C’è addirittura un profilo su Twitter, @NeedADebitCard, che raccoglie queste foto!
Ovviamente di primo acchitto verrebbe da dire – ed è stato detto – che questi ragazzi sono degli irresponsabili.
Rendere pubblici i dati sensibili della carta di credito: numero di serie, nome, cognome, data di scadenza, permette a dei malintenzionati di poter poi clonare le carte. Stupidità terminale secondo Paolo Attivissimo, sempre in prima linea sui temi della sicurezza.
E a questo punto si inserisce un interessante articolo di AgileBits, la società che produce 1Password, software di protezione dei nostri dati sensibili su computer e smartphone. E da quello spunto le considerazioni che seguono cambiano un po’ la questione.
Intanto, come sempre, bisogna ragionare con un attimo di calma. Caliamoci in due situazioni diverse, con protagonista la nostra adorata carta di credito. Nella prima situazione, come già detto, fotografiamo il fronte della carta e carichiamo la foto su Twitter. Nel secondo caso siamo al ristorante e diamo la carta fisicamente ad un cameriere mai visto prima per pagare il conto. Quale delle due situazioni è più rischiosa? In foto abbiamo reso pubblici molti dati sensibili, ma non il codice di controllo sul retro. Quello chiamato CCV. Dandola al cameriere costui, se disonesto, può copiarsi non solo i dati sul fronte della carta, ma anche il codice di controllo e la nostra firma.
Ecco che, con un po’ di sangue freddo, ci rendiamo conto che forse rischiano meno questi giovani che condividono la foto della loro carta rispetto a noi che l’affidiamo a volte a degli sconosciuti.
Ma come tutelarsi nel caso dell’esempio? Nel caso del cameriere disonesto? Se quello ha tutti i dati della carta potrà mettersi su Amazon e fare shopping con i nostri soldi.
E si, perché il commercio elettronico ha reso fragie quello che era il concetto di sicurezza delle carte istituito al tempo in cui furono inventate. Il sistema si basava su due concetti: identificazione ed autenticazione. Un po’ come i più recenti user name e password per accedere a siti e profili. Nella carta di credito il numero lungo lungo era l’identificazione, mentre il possesso della carta stessa e la firma erano l’autenticazione. Poi, come accennato, arrivarono le transazioni telefoniche e dopo ancora quelle via web e la distinzione tra identificazione ed autenticazione scomparve per poter portare a buon fine le transazioni stesse.
E’ quindi il sistema delle carte di credito stesso ad essere fragile se esposto al commercio elettronico. Come ovviare? Come si sta facendo, aggiungendo un ulteriore livello di autenticazione. In caso di transazione elettronica si viene reindirizzati su una pagina intermedia dove inserire una password per perfezionare la transazione stessa. E’ molto tempo che CartaSi ha implementato questa ulteriore sicurezza. Ed è molto tempo che personalmente l’ho attivata. E consiglio a tutti di farlo, anche se il proprio circuito non lo rendesse obbligatorio.