Carta di credito Contactless: come pagare in sicurezza

Utilizzare una carta di pagamento Contactless è molto semplice.
Avviene in pochi passaggi:
– il negoziante digita l’importo della transazione sul display del lettore contactless;
– il consumatore avvicina la carta di credito al lettore POS;
– il lettore emette un segnale luminoso e acustico confermando la lettura della carta e, di conseguenza, l’avvenuto pagamento.
I circuiti di pagamento senza contatto sono MasterCard PayPass, Visa payWave e American Express ExpressPay. Le condizioni economiche vengono definite dalle banche emittenti.
Come si riconosce una carta contactless? Sulla superficie di queste carte compare un simbolo con delle onde bianche che crescono verso destra.
 

Le migliori carte di credito Contactless del momento sono queste:
– UniCreditCard Flexia Classic
– BancoPosta Classic (Deutsche Bank)
– BancoPosta Più
– Montepaschi Classic
– Montepaschi Gold
– UniCreditCard Flexia Gold
– BNL Classic
– BCC Classic
– Carta Oro Intesa San Paolo
– Deutsche Bank Classic Visa
– Carta Blu Intesa San Paolo
– BCC Gold.
Leggi anche: qual è la migliore carta di credito

La carta di credito Contactless consente di pagare con semplicità e rapidità. E’ sicura?
Le carte contactless offrono le stesse garanzie delle migliori carte di credito classiche.
Sono sicure per diverse ragioni:
– La carta di credito deve essere massimo a 3 cm di distanza dal lettore POS;
– La transazione viene registrata una sola volta;
– La carta funziona soltanto se il lettore è attivo e pronto per il pagamento;
– Per importi superiori a 25 euro viene richiesto il PIN.
Le transazioni di debito e credito contactless sfruttano la stessa rete di chip e PIN delle vecchie schede: sono protette dalle stesse garanzie antifrode. Con il supporto del PIN, la parte senza contatto della card resta non funzionale finché non sia stata eseguita una transazione standard con chip e PIN.
Gli accorgimenti per usare le carte Contactless in sicurezza sono le stesse valide per le carte di credito tradizionali. Idem per le regole da seguire in caso di furto o smarrimento.
Per importi inferiori ai 25 euro non serve digitare il PIN. Questo dettaglio è un bene o un male per il rischio truffe?

Il sistema Contactless, in teoria, è vulnerabile e si presterebbe al rischio truffe.
Un hacker potrebbe rubare a distanza i dati una carta di credito dotata di chip RFID usando un lettore (un palmare) venduto online a pochi euro oppure usando determinate App. Potrebbe farlo stando a breve distanza in metro o in un tram affollato agendo in pochi secondi. Dovrebbe posizionarsi a meno di 3 cm dalla carta da clonare per ricevere i dati. In pratica, però, seppure riuscisse a leggere i dati, non potrebbe usarli.
Il chip RFID genera per ogni transazione criptata un codice di autorizzazione univoco, valido solo per quella transazione. Un codice perfettamente inutile per effettuare ulteriori acquisti.
Utilizzando la tecnologia NFC, la comunicazione radio viene disabilitata allo spegnimento del display.
A dirla tutta, l’unica vulnerabilità starebbe nel chip della carta che memorizza alcuni dati in chiaro: giorno e ora dell’ultima transazione, Pan (Primary account number), la serie di 16 cifre presente sul fronte delle card. Tali informazioni, però, non bastano per completare acquisti illeciti. Ad esempio, i maggiori portali di e-commerce, oltre al Pan richiedono la data di scadenza ed il codice di verifica della carta (Cw, Cvc o Cid) ovvero le 3 o 4 cifre non presenti nel chip ma solo sulla plastica della card.
Spesso, secondo il protocollo 3D secure, serve anche una one time password.
 

Per acquisti di importo inferiore ai 25 euro non è necessario digitare il PIN o firmare le ricevute. In questo modo, la mancanza di autenticazione fornisce una finestra durante cui si potrebbero effettuare acquisti fraudolenti nel caso in cui, ad esempio, il titolare della carta ignora di averla perduta.
Il punto è che al ladro non conviene effettuare acquisti fraudolenti.
Chi possiede un terminale POS deve comunicare nome, cognome, partita IVA, numero di conto corrente dove depositare i soldi. Se utilizzasse il POS per rubacchiare pochi euro, verrebbe scoperto subito con tanto di controllo dei conti e prova del furto. Verrebbe arrestato.
Certo è che, se i potenziali ladri decidessero di operare con un POS collegato ad un conto straniero, per loro sarebbe un gioco da ragazzi.
La legge italiana consente al correntista di contestare gli addebiti sul conto non autorizzati entro 60 giorni dalla data di ricezione dell’estratto. Il risarcimento della banca sarebbe fuori discussione visto che i pagamenti sono rintracciabili: le Forze dell’Ordine risalirebbero facilmente all’identità del truffatore.

Per sentirti più sicuro, potresti acquistare una custodia protettiva RFID o un portafogli schermato, rinforzato con sottili strati di alluminio che impediscono l’attivazione del contactless. Questa schermatura funziona. La domanda è: per quale motivo un ladro dovrebbe rubare dati cifrati inutilizzabili?
Al di là di portafogli e custodie protettive, di borselli, borse o giacche con tasche schermate che rendono illeggibile il segnale RFID, la soluzione va ricercata nell’adozione di livelli di sicurezza adeguati da parte di chi sviluppa le applicazioni di pagamento. L’utente, dal canto suo, deve mantenere un livello di sicurezza accettabile sul proprio dispositivo.
Il titolare di una carta Contactless dovrebbe tenere sempre aggiornato e protetto il proprio smartphone, nonché mantenere disattivata l’opzione NFC nel cellulare riattivandola solo se dovesse effettuare pagamenti contactless.
Per aumentare la sicurezza, è importante avvalersi del servizio di notifiche tramite SMS che tutte le banche offrono in modo tale da essere sempre informati su qualsiasi movimento in entrata e in uscita. In questo modo, à facile rilevare attività sospette con notifiche immediate.
E’ consigliabile evitare di servirsi di siti e-commerce non collaudati, semisconosciuti o di scarsa reputazione: meglio non affidare con leggerezza a certi siti i dati della propria carta.
MasterCard sostiene che una carta PayPass è sicura quanto una carta di credito tradizionale. Non è possibile pagare per sbaglio: la carta funziona soltanto se avvicinata al lettore, non si corre il rischio di un doppio addebito perché registra una sola transazione.
MasterCard e Visa utilizzano lo standard EMV, che prevede il rispetto di certi requisiti anche in termini di velocità di comunicazione tra carta e terminale.
Per potenziare la tutela del cliente, alcuni circuiti prevedono ulteriori livelli di sicurezza. Per esempio, MasterCard rimborsa le somme spese con carta di credito Contactless in caso di acquisti non autorizzati.