Apple Pay vittima del suo stesso successo e bersaglio di preoccupanti frodi. Negli ultimi giorni non si fa che parlare di sistemi di pagamento mobili dopo gli annunci al MWC 2015 di Samsung Pay e Android Pay che ci indicano, senza mezze misure, che questo 2015 sarà proprio l’anno del boom di questa tecnologia con pericoli annessi.
La crescita esponenziale di determinati servizi come Apple Pay significa anche scatenare lusinghiere attenzioni da parte di “criminali” organizzati che tentano di sfruttare il servizio per facili guadagni. In quest’ottica, The Guardian ci mette in guardia dalle ultime frodi legate al servizio di pagamento contactless che stanno avendo una crescita esponenziale negli Stati Uniti.
Il pericolo è reale e quantificabile: di contro allo 0,1% di frodi che di solito coinvolgono le tradizionali carte fisiche di credito o di debito, la percentuale del servizio by Cupertino si aggira intorno al 6%. Ma cosa succede esattamente e soprattutto, del problema è responsabile il software deputato alla transazione o piuttosto il sistema di verifica delle banche?
Cercherò di spiegarlo in parole semplici. Il buco non sta nella transazione vera e propria in cui il livello di sicurezza è garantito dl lettore di impronte digitali ma nell’associazione della carta di credito al servizio. Cyber criminali assocerebbero carte false o rubate al sistema: Apple in prima battuta, invia alla banca dettagli come l’ID del telefono, le ultime quattro cifre del numero di telefono, anche informazioni sulla sua geolocalizzazione del dispositivo. A questo punto, dovrebbe essere la banca a fare le sue verifiche, effettuando chiamate ai clienti per ulteriori controlli. Ebbene, i call-center abilitati non sarebbero pronti ad garantire il giusto grado di sicurezza, procedendo solo con richieste pre-formulate reperibili da qualunque criminale come le ultime cifre della polizza di previdenza sociale.
L’esperto Cherian Abraham ha esaminato il problema e ha messo in luce proprio la falla di sicurezza presente nel sistema Apple Pay ma evidenziando come la responsabilità maggiore, questa volta, sia delle banche. Resta un dubbio però: Cupertino in quanto ideatrice del servizio, non dovrebbe indicare la corretta procedura agli istituti finanziari o a monte o creare un’ulteriore step che non consenta l’associazione di carte?