La sicurezza dei pagamenti su smartphone e cellulare

12 Settembre 2013
Roberto Bonfatti

Perchè la sicurezza dei pagamenti su smartphone e cellulare? perchè svegliarsi una mattina con il conto in rosso, perché qualcuno ha usato il nostro cellulare per fare incetta di acquisti sul web è un incubo che nessuno vorrebbe vivere ma che, nell’età degli smartphone e di tecnologie sempre più all’avanguardia, rappresenta un rischio reale.

Ecco perché per evitare spiacevoli sorprese è opportuno proteggere i telefonini, sempre più simili a dei personal computer, per impedire che i propri dati sensibili (coordinate bancarie, numeri di carta, password e pin) possano finire nelle mani di malintenzionati ed essere impiegati per acquisti non autorizzati.

Sono sempre di più gli utenti che acquistano servendosi degli smartphone

Carte, portafogli virtuali e “contactless”: la giungla dei nuovi mezzi di pagamento – Acquistare un paio di scarpe, i biglietti del concerto, prenotare un volo o semplicemente pagare una bolletta: operazioni che quotidianamente vengono svolte su milioni di smartphone in tutto il mondo ricorrendo a un ampio ventaglio di sistemi di pagamento, più o meno avveniristici: dal classico numero di carta ai pagamenti di “prossimità” basati su tecnologia Near Field Communication.

Carta di credito: il mezzo più diffuso, prevede l’inserimento delle sedici cifre che contraddistinguono la carta seguite dalla data di scadenza, il nominativo dell’intestatario e un codice di tre cifre di sicurezza, stampigliato sulla carta stessa. Alcuni istituti, per aumentare la sicurezza, forniscono codici aggiuntivi inviati al cliente via posta e dedicati agli acquisti sul web (es. CartaSì).

  • Pro: semplicità di utilizzo
  • Contro: l’acquisto, se effettuato attraverso connessioni non sicure (es. postazioni pubbliche) o su siti-truffa, può compromettere la sicurezza della carta o consentire a malintenzionati di operare acquisti all’insaputa del titolare.

Carta di credito virtuale: alcune banche forniscono, su richiesta del correntista, un codice temporaneo di 16 cifre con un budget di spesa prefissato. Una sorta di carta di credito prepagata, vincolata ad uno o più acquisti su siti autorizzati dal richiedente.

  • Pro: elevata sicurezza, il vincolo all’acquisto su uno o più siti riduce drasticamente il pericolo di frodi e il furto del numero di carta, inutilizzabile al di fuori degli accordi presi con l’istituto di credito emittente.
  • Contro: praticità. Per attivare il codice di pagamento provvisorio è necessario recarsi fisicamente o telefonare alla propria banca, concordando i dettagli del pagamento.

Paypal: uno dei sistemi più diffusi e giudicato tra i più sicuri dagli utenti del web. Tutti gli acquisti passano attraverso il sistema di pagamento dell’azienda lussemburghese, caratterizzato da elevati standard di sicurezza, che fornisce ai propri clienti un conto online ricaricabile attraverso carta di credito o conto corrente.

  • Pro: sicurezza, praticità
  • Contro: sulla Rete esiste un gran numero di falsi siti che ricreano la grafica di Paypal. Un acquisto incauto su uno di questi portali può fornire a malintenzionati nome utente e password per accedere al conto e operare acquisti non autorizzati.

Sistemi OTP (one time password): un numero sempre maggiore di banche fornisce ai propri clienti un dispositivo simile alle chiavette usb, in grado di emettere codici numerici temporanei con validità variabili dai 10 ai 30 secondi. Veri e propri “codici dispositivi” che restano fisicamente in possesso dell’utente, senza dei quali pin e numeri di carta risultano inutilizzabili sulla Rete.

  • Pro: elevata sicurezza
  • Contro: è necessario avere sempre con sé il dispositivo OTP

Pagamenti “one click”: spesso utilizzati dai grandi shop online (es. Amazon), richiedono all’utente la registrazione del numero di carta e dei codici dispositivi sui database aziendali. Una volta effettuato l’accesso al sito da parte dell’utente, è sufficiente inserire un prodotto nel carrello e cliccare sull’apposito tasto per perfezionare l’acquisto, senza dover reinserire i dati di pagamento.

  • Pro: estrema praticità, pagamenti immediati
  • Contro: i dati sensibili vengono inseriti all’interno di un database online, con i conseguenti rischi legati alla sicurezza degli stessi.
Diverse attività commerciali offrono ai clienti servizi di pagamento NFC

QR Code: un metodo di pagamento in rapida ascesa in Italia. Previa installazione di un’app e la sua sincronizzazione con la banca emittente della carta di credito, è sufficiente scattare una foto ai prodotti dotati di apposito QR Code per avviare la relativa procedura di pagamento. All’utente non resta quindi che autorizzare la transazione dal display dello smartphone.

  • Pro: grande comodità e rapidità dell’operazione
  • Contro: in caso di furto del terminale aumenta il rischio di acquisti non autorizzati

Near Field Communication (mobile wallet): tecnologia in rapida ascesa in Italia, recentemente adottata da alcune catene della grande distribuzione. Si basa sull’inserimento di un apposito chip all’interno del telefono o della sim, sul quale vengono registrati i dati bancari dell’utente. Avvicinandosi al lettore della cassa il chip crea un collegamento wireless temporaneo che trasmette al lettore le coordinate del cliente per l’addebito degli acquisti. Per confermare la spesa è sufficiente toccare lo schermo dello smartphone, autorizzando la transazione.

  • Pro: non viene richiesta nessuna azione da parte dell’utente, se non la conferma del totale di spesa sul display del telefonino.
  • Contro: in caso di furto del terminale è necessario bloccare immediatamente il servizio per evitare acquisti non autorizzati

Digital wallet: altro sistema che sfrutta la tecnologia NFC ma in questo caso i dati di pagamento dell’utente non vengono memorizzati all’interno del dispositivo mobile ma sulla piattaforma cloud dell’azienda che eroga il servizio. Ne è un esempio il sempre più diffuso Google Wallet, che memorizza dati di pagamento, storico delle transazioni e statistiche in remoto isolando il terminale dal rischio di attacchi informatici.

  • Pro: nessuna registrazione dei dati di pagamento sullo smartphone
  • Contro: in caso di furto del terminale è necessario bloccare subito il servizio

La sicurezza dei pagamenti su smartphone e cellulare
Proteggere i pagamenti mobili è possibile unendo a precauzioni che dovrebbero far parte delle nostre abitudini validi programmi specifici per il mondo mobile.

– Poca fiducia.
Prima di tutto, un principio generale da tener sempre bene in mente prima di effettuare qualsiasi acquisto sulla Rete: usate la vostra testa. Diffidate sempre da chi vi propone prodotti di tendenza a prezzi stracciati o da siti sconosciuti che promettono offerte da record. Spesso dietro mirabolanti promesse si nascondono truffe belle e buone, per non cadere nel tranello a volte è sufficiente fermarsi per qualche minuto a pensare evitando acquisti potenzialmente rischiosi.

Controllate la reputazione.
Prima di operare un qualunque acquisto, spendete una decina di minuti sul web alla ricerca di opinioni, commenti, feedback lasciati da altri utenti che hanno realmente sperimentato un’esperienza di acquisto da quel determinato sito. Il passaparola è un buon modo per scremare i siti truffaldini da quelli attendibili.

Protezione dei dati sensibili.
Numeri di carta, password, codici dispositivi di pagamento non devono MAI essere registrati nella memoria dello smartphone. Molti utenti, incautamente, salvano password e numeri nella rubrica telefonica o peggio ancora nelle note del telefono, mettendoli così alla mercè di un qualsiasi pirata informatico. Tutti i dati sensibili devono essere inseriti esclusivamente all’interno di siti attendibili.

Antivirus.
Sottoponete periodicamente il terminale dal quale si effettuano gli acquisti a scansioni con programmi specifici per il rilevamento di spyware e malware. In commercio esistono numerosi programmi, anche free, utili a tale scopo in modo da non incorrere in sorprese spiacevoli, come addebiti non autorizzati sulla propria carta di credito da parte di terzi.

Dotare il proprio smartphone di sistemi di sicurezza è il primo passo per acquistare sicuri sul web
Unire pratiche e abitudini ai software di sicurezza è il mix giusto per mantenere il controllo

Scelta delle password.
Preferite sempre composizioni alfanumeriche di almeno 8 caratteri, contenenti cioè lettere e numeri per aumentare la sicurezza e diminuire la possibilità che la password possa essere intercettata da estranei.

Evitate, come spesso accade, di scegliere come password nomi o date legate alla propria vita personale (il nome del figlio, la propria data di nascita) o termini troppo banali ( Pippo, Pluto, Topolino). Per aumentare la sicurezza, assegnate password diverse per ogni singolo sistema di pagamento utilizzato e provvedete periodicamente a modificare le stesse.

Link nelle mail.
Diffidate sempre dai link contenuti nelle mail. Newsletter e offerte promozionali truffaldine puntano spesso a siti di e-commerce costruiti ad hoc per carpire i dati personali degli utenti e i codici delle carte di credito. Con promesse di offerte sensazionali e sconti da capogiro, molti utenti dimenticano di verificare l’attendibilità del servizio ed inseriscono incautamente le coordinate di pagamento incorrendo così in spiacevoli sorprese.

Social network.
Evitate di inserire password, numeri di conto o di carta sui social network o sui link contenuti negli stessi. Spesso dietro la promessa di grandi affari si celano truffe architettate ad hoc.

Occhio al “lucchetto”.
Evitate di acquistare da siti che propongono sistemi di pagamento non tracciabili, attraverso i quali non è possibile risalire all’identità del venditore. Le piattaforme di pagamento sicure sono contrassegnate dalla presenza di un lucchetto a fianco della barra degli indirizzi del browser.
Molti truffatori propongono esclusivamente pagamenti attraverso carte prepagate (es. Postepay) rubate o registrate sotto falso nome, o tramite sistemi di invio di denaro contante (Western Union) per poi volatilizzarsi non appena ricevuto il denaro. Senza quindi lasciare alla vittima della truffa la possibilità di recuperare i soldi incautamente spesi.

Carte con sistemi di sicurezza aggiuntivi.
Per gli acquisti online, preferite carte di credito e sistemi di pagamento che forniscono misure di sicurezza aggiuntive, quali ad esempio la registrazione del vostro numero di cellulare al quale inviare via sms i codici dispositivi del pagamento. In questo caso anche a fronte di un furto dei dati personali, risulta impossibile procedere al pagamento. In caso di furto dello smartphone, è sufficiente bloccare la sim per evitare la ricezione dei codici inviati dalla banca.

Altre banche offrono invece apposite tessere con casellari (es. CheBanca) simili a quelle della “battaglia navale”. Ogni pagamento, per essere autorizzato, richiede l’inserimento un codice contenuto in un punto specifico del casellario. Un altro valido aiuto è fornito dalle banche che inviano, via sms o mail, notifica in tempo reale di tutti i movimenti bancari: in caso di addebiti impropri è possibile richiedere immediatamente il blocco della carta.

Tastiera virtuale.
Alcuni degli smartphone in commercio (es. Blackberry) utilizzano tastiere fisiche che, al pari dei normali pc, possono essere controllate da truffatori per mezzo di programmi keylogger. Per evitare che occhi indiscreti possano leggere ciò che viene digitato sulla tastiera, inclusi numeri di carta e password, è preferibile utilizzare sempre tastiere “virtuali” visualizzate sullo schermo del dispositivo.

Mai fuori dalla piattaforma di pagamento.
Se durante un acquisto vi si chiede di uscire da un sito o da un’app per perfezionare l’acquisto altrove, con ogni probabilità vi trovate di fronte a una truffa. Sulla Rete esistono siti, app, piattaforme dedicate allo shopping che reindirizzano gli incauti acquirenti verso non meglio specificate pagine dove vengono richiesti dati personali e bancari. Utilizzate sempre piattaforme di pagamento conosciute.

Nel dubbio, telefona.
Vi trovate di fronte a un sito sospetto? Non sapete se fidarvi dell’offerta? Cercate il numero di un servizio clienti o di un centralino e chiamate: spesso questo semplice accorgimento aiuta a capire la professionalità del venditore o, nel peggiore dei casi, a confermare i vostri sospetti salvandovi da brutte sorprese.

Specie per piattaforme Android, vale la pena di investire per antivirus dedicati a smartphone

Antivirus: la protezione prima di tutto
Gli smartphone sono a tutti gli effetti dei piccoli computer. Come tali devono essere protetti contro le minacce informatiche per evitare che occhi indiscreti vadano a spiare i nostri movimenti.

In commercio esistono numerose e potenti soluzioni, anche free, utilissime per evitare ai malintenzionati di inserirsi all’interno dello smartphone e per tutelare le operazioni di pagamento, indicando all’utente i siti web non sicuri e le piattaforme di pagamento truffaldine.

Av-Test, l’istituto indipendente per l’IT Security, ha testato i 20 programmi più diffusi sui sistemi Android e valutato i migliori sotto i profili della sicurezza e della facilità d’uso.

Lo studio ha promosso a pieni voti (con un rotondo 6.0/6.0 per entrambi i parametri di valutazione) Mobile Security 1.3 della californiana TrustGo. La suite di sicurezza fornisce piena protezione contro il download di app potenzialmente dannose e segnala i siti a rischio ancor prima che questi vengano aperti sul terminale dell’utente, fornendo protezione in tempo reale contro spyware e malware.

Punteggio pressochè analogo per Antiy AVL  che nei test ha riportato il punteggio di 6.0/6.0 nella protezione da software dannosi e di 5.5 per la facilità di utilizzo del programma. Particolarità di questo software è la funzione di ricerca malware attraverso i server cloud dell’azienda, rendendo ancor più difficile a terzi disattivare le misure di protezione dello smartphone.

A pari merito ma con punteggio invertito (5.5 per la protezione e 6.0 per l’usability) figura Lookout Antivirus & Security  che integra, fra l’atro, un sistema per la localizzazione gps in caso di furto del terminale e un controllo completo dei dati sensibili a cui hanno accesso le app installate sul dispositivo.

Punteggio di alta classifica anche per Bitdefender con Mobile Security  (5.5 protezione, 5.0 usability), capace di fornire un ventaglio di servizi dedicati alla protezione in tempo reale e un programma specifico contro i furti del dispositivo con avvisi in tempo reale via sms sulla posizione del device.

Più scarna invece l’offerta di programmi per la protezione dei device con sistema iOs. Sebbene l’invulnerabilità da minacce informatiche sia stata a lungo un cavallo di battaglia dell’azienda di Cupertino, le software house negli ultimi anni hanno dedicato versioni specifiche dei propri antivirus ad iPhone e iPad. Ne sono un esempio  Trend Micro (Mobile Security) McAfee (Wave Secure) che hanno inserito nello Store della mela, app dedicate alla sicurezza dei dispositivi di Cupertino.

Correlati

Attualità Guide Sicurezza

Intelligenza Artificiale: il rischio dell’auto formazione

29 Marzo 2024
Giacomo Crosetto
Attualità Guide Sicurezza

Figure 01 è un robot che può parlare e muoversi come un essere umano

28 Marzo 2024
Alex Trizio
Attualità Guide Sicurezza

Intelligenza artificiale. Quanta energia utilizza?

10 Gennaio 2024
Giacomo Crosetto
Attualità Guide Sicurezza

Scoperta di Kaspersky: vulnerabilità nascosta negli iPhone

27 Dicembre 2023
Laura Antonelli