Un paio di settimane fa, un grande gestore americano di pagamenti attraverso carte di credito, Global Payments, è stato “bucato”, e gli hacker sarebbero riusciti a sottrarre i numeri di un milione e mezzo di carte di credito.
Va detto che nonostante le dimensioni del furto informatico, i rischi dovrebbero essere ridotti, dato che gli hacker avrebbero sì sottratto i numeri, ma non i nomi dei proprietari né (forse) la scadenza, con il risultato che in realtà questi numeri non potrebbero essere usati per fare acquisti.
Global Payments è stato sospeso da Visa, e per tornare a trattare pagamenti dovrà prima dare prova della sicurezza dei suoi sistemi.
Nonostante apparentemente sia dunque tutto andato bene, l’episodio è utile per ricordare alcune buone regole di sicurezza che valgono sempre. Infatti, essendo stato compromesso il sistema di pagamento e non il singolo sito non bisogna cadere nell’errore di pensare che “se il sito è famoso è anche più sicuro di uno sconosciuto” (cosa di per sé comunque non automaticamente vera).
- Se fate spesso acquisti su internet tramite carta di credito, prendete in considerazione anche l’ipotesi di usare una carta prepagata, in modo che nel peggiore dei casi il danno si limiterebbe esclusivamente alla somma caricata sulla carta.
- Attivate i sistemi di sicurezza aggiuntivi che spesso sono previsti (es. Verified by VISA) che permettono di far sì che venga richiesta una password oltre al numero della carta di credito e al CVV. Tenete presente però che non è obbligatorio per il sito/sistema di pagamento di richiedere la password (che viene supportata solo dai siti/sistemi convenzionati), quindi non dà sicurezza al 100%.
- Attivate la notifica via sms delle transazioni. Diverse carte offrono la notifica via sms della transazione come un optional gratuito. In altri casi il costo dell’invio dell’sms è a carico del cliente (specie se la transazione è di importo ridotto, ad esempio sotto i 50 euro). Si tratta, a nostro parere del metodo di sicurezza più importante, dato che dà la possibilità di rendersi conto in tempo reale di anomalie, e quindi di contattare chi ha emesso la carta per segnalarle. Una segnalazione tempestiva, oltre a prevenire l’addebito (non serve quindi neppure attendere lunghi tempi per il rimborso), spesso aiuta anche ad individuare i colpevoli dell’abuso.
Banche e Risparmio [http://www.banknoise.com]
Verified by Visa da un punto di vista della sicurezza informatica non aggiunge niente, anzi introduce pericolosi elementi di facile hackeraggio come dimostra la vicenda di Global payments; in linea di massima tutte le informazioni di un utente nome,cognome,numero di carta di credito, pin si trovano nell’account di registrazione che viene protetta da una banale password alfanumerica registrata su di un server a cui è associato l’account ovvero tutto il profilo di ciascuno di NOI; ne consegue che una volta ottenuti i privilegi sull’account con varie tecniche di attacco dei server il ladro ha accesso a tutti i dati.
Il vero scopo della procedura Verified by Visa è quello di limitare la resp.legale/esposizione delle banche nei confronti dei furti, xchè statene certo se verranno fatti acquisto con la vs. c.di credito sarà più difficile per l’utente dimostrare l’ordinaria diligenza e addosserrano a Voi la colpa di non aver custodito bene la password cercando quindi di non risarcire nulla od applicare franchigie alte.
In pratica è come se in un contratto di assicurazione il cd. rischio dell’evento “alea” ricada sull’utente stesso che si assicura e non invece sull’assicuratore.
Spero che della questione “verified by Visa” se ne occupi qualche associaz. dei consumatori perchè la cosa così come è impostata oggi è palesemente un abuso nei confronti del consumatore che viene tutelato legalmente molto di meno rispetto alla procedura ordinaria (digitazione n.carta+pin cvv) ed inoltre introduce ulteriori perdite di tempo nella velocità delle transazioni/acquisti on line.
Se Vi dicono di registrarVi al servizio VerifiedbyVisa non fatelo, ricordateVi che quando un servizio è gratuito spesso nasconde delle insidie..