La situazione di emergenza che l’intero globo sta vivendo porterà nel prossimo futuro a profondi cambiamenti nel tessuto socioeconomico e nelle relazioni interpersonali. Tra questi, sicuramente l’aumento esponenziale dei pagamenti elettronici. Negli ultimi anni essi hanno facilitato ogni tipo di acquisto attraverso la rapidità che l’uso del contante non consente. Se questa semplificazione ha agevolato la vita delle persone, ha però portato nuovi rischi e nuove minacce cyber nella vita delle persone. Il maggiore utilizzo di pagamenti elettronici porterà a un aumento delle potenziali minacce, secondo il capability/vulnerability paradox.
Perché preferire i pagamenti elettronici
Come osservato da diverse ricerche in ambito microbiologico, è possibile che l’uso del contante possa favorire la diffusione del Coronavirus. Ciò che ancora non è chiaro è come esso possa essere evitato. Se da un lato i pagamenti elettronici possono rappresentare una soluzione auspicabile, è necessaria una differenziazione all’interno della stessa categoria. L’European Banking Authority, nel report “Statement on consumer and payment issues in light of COVID-19” del 25 marzo, ha incoraggiato i provider di servizi di pagamento (PSPs) a facilitare l’utilizzo di sistemi di pagamento contactless. Molti pagamenti elettronici, infatti, prevedono l’utilizzo del POS per l’inserimento di un PIN, passaggio che potrebbe contribuire alla diffusione di virus e batteri.
Sarà necessario evolvere i sistemi di pagamento digitale verso il cosiddetto “full contactless”.
Una soluzione efficace potrebbe essere il “Contactless Payments on COTS”. Esso permette i pagamenti effettuati attraverso carte contactless o con digital wallet, con l’onere da parte del commerciante di installare un’applicazione sul proprio cellulare, che dovrà essere dotato di tecnologia NFC (near-field communication).
La cosiddetta Strong Customer Authentication (SCA), cioè la digitazione di un codice segreto al momento del pagamento è, purtroppo, necessaria nella maggior parte dei pagamenti elettronici. La Payment Service Directive (PSD2), adottata dal Parlamento Europeo nel 2015, delinea alcune deroghe all’obbligatorietà della SCA. Tra queste:
- pagamenti c-less fino a 50 euro, a condizione che non sia stato superato l’importo cumulativo di 150 euro o siano stati effettuati 5 pagamenti consecutivi dall’ultima volta in cui è stata applicata la SCA;
- in caso di micropagamenti. Il PSP può essere esentato nell’applicazione della SCA per i pagamenti iniziati tramite un Mobile Remote Payment o un sistema di Mobile Proximity Remote Payment, purchè il pagamento non superi i 30 euro e non sia stato superato l’importo cumulativo di 100 euro dall’ultima applicazione della SCA.
Quali sono le maggiori minacce cyber
Una rilevazione eseguita da Sumup, fintech che permette alle aziende di ricevere pagamenti in modo semplice e veloce, ha evidenziato come in Italia, nella settimana tra il 4 e il 10 maggio, si sia verificato un incremento del 55% delle transazioni digitali in pub e ristoranti per servizi di take away.
Se è vero che in questo modo i pagamenti vengono resi più facili e più veloci, è altrettanto vero che aumentano i pericoli per i consumatori.
Una ricerca del 2019 della società Private Security mostrava come nel Regno Unito le frodi ai danni di utilizzatori di carte c-less fossero in aumento vertiginoso, registrando nella prima metà del 2018 una perdita di 8.4 milioni di sterline. In particolare, i ricercatori hanno evidenziato la possibilità di bypassare i limiti e le garanzie di sicurezza imposte da alcune banche che avevano terminali fuori dal Regno Unito. In caso di pagamento di un importo maggiore di 30 sterline, la carta avrebbe dovuto richiedere un’autenticazione come un PIN o l’impronta digitale (in caso di digital wallet). Questi controlli sono stati aggirati attraverso un proxy che si frapponeva fra il terminale di pagamento e la carta, un attacco “man in the middle” (MITM); in questo modo, la comunicazione arrivava al proxy che comunicava alla carta che la verifica non era necessaria. “Questo attacco”, riportavano i ricercatori, “è possibile perché Visa non richiede che gli emittenti e gli acquirenti dispongano di controlli che blocchino i pagamenti senza presentare la verifica minima.”
Un’altra grande minaccia è costituita dal phishing, ormai sempre più diffuso. I principali obiettivi di questi attacchi sono i dati bancari, ottenuti attraverso l’inserimento in un sito web creato ad hoc, che richiede l’autenticazione. Gli attacchi di tipo phishing sono, purtroppo, aumentati esponenzialmente, in quanto facili da attuare e difficili da contrastare.
Come riporta il sito della Polizia Postale: “Un pericolo più subdolo arriva dall’utilizzo dei virus informatici. Le modalità di infezione sono diverse. La più diffusa è sempre il classico allegato al messaggio di posta elettronica; oltre i file con estensione .exe, i virus si diffondono celati da false fatture, contravvenzioni, avvisi di consegna pacchi, che giungono in formato .doc .pdf . Nel caso si tratti di un c.d. “financial malware” o di un “trojan banking”, il virus si attiverà per carpire dati finanziari. Altri tipi di virus si attivano allorquando sulla tastiera vengono inseriti “userid e password”, c.d. “keylogging”, in questo caso i criminali sono in possesso delle chiavi di accesso ai vostri account di posta elettronica o di e-commerce.”
È chiaro come, con l’aumento dell’utilizzo di pagamenti elettronici, crescano anche i potenziali rischi. Questo è un palese esempio del capability/vulnerability paradox di cui parla Jacquelyn Schneider nell’articolo The capability/vulnerability paradox and military revolutions: Implications for computing, cyber, and the onset of war, pubblicato sul volume 42, 2019 del Journal of Strategic Studies. Sebbene Schneider faccia riferimento a tecnologie militari, il concetto è applicabile anche al caso dei pagamenti elettronici. Le maggiori capacità tecnologiche, la semplificazione e la velocizzazione di alcune operazioni hanno portato a un aumento esponenziale delle vulnerabilità. La dipendenza da alcuni strumenti tecnologici, quali il digital wallet o le carte contactless, rendono alcuni attacchi cyber più efficaci e attuabili su un maggior numero di consumatori.
Alcune ricerche hanno smentito la trasmissibilità del Coronavirus tramite le banconote e, come sostenuto da Fabio Panetta, membro del Comitato esecutivo della Banca centrale, le banconote non rappresentano un rischio di infezione. Questo non significa, però che i pagamenti elettronici non siano destinati ad aumentare, come hanno già fatto nella scorsa settimana.
Possibili soluzioni per la cybersecurity
L’European Banking Authority nel documento Key tips to protect yourself when choosing online or mobile banking services, ha sottolineato alcuni importanti accorgimenti che potrebbero prevenire eventuali incidenti cyber:
- leggere e comprendere i termini e le condizioni, prima di firmare per un servizio di online banking;
- prestare attenzione alle tasse e alle commissioni;
- pensare alla sicurezza (capire come verranno utilizzate le informazioni personali, controllare l’identità del provider, scegliere provider che utilizzano metodi di Strong Authentication, monitorare attività sospette sul proprio conto);
- utilizzare i moduli disponibili sulle piattaforme dell’European ODR e FIN-NET network per presentare un reclamo.
Se, da una parte, sarà necessario facilitare i pagamenti elettronici, attraverso l’introduzione di nuovi sistemi o di adozione più estesa di quelli già esistenti, quali il “full contactless”, è altrettanto vero che sarà necessario dare una risposta immediata alla crescita degli attacchi, tanto al Man in the middle, quanto al phishing. Sicuramente la PSD2 è stata un passo in avanti in questo senso, ma gli attacchi non sono, tuttavia, diminuiti.
È auspicabile, quindi, un intervento dapprima a livello nazionale, e in un secondo momento anche a livello europeo per garantire al consumatore una maggiore trasparenza e una maggiore consapevolezza dei rischi, che sono aumentati e aumenteranno ulteriormente.
