Ho avuto più volte modo di parlare bene a proposito di alcuni meccanismi utilizzati per la sicurezza delle carte di credito, primo fra tutti l’SMS di avviso, ma questa volta sono seriamente perplesso. Mi riferisco al SecureCode di Mastercard, la cui attivazione è sostanzialmente necessaria dal primo febbraio per chi vuole fare acquisti su Internet, almeno con alcuni gestori (fra cui il mio).
Cos’è il SecureCode? Gira e rigira, essenzialmente si tratta della cara vecchia password ripetibile. E com’è possibile che una password ripetibile sia presentata come meccanismo di protezione contro le frodi? Il motivo è molto semplice: finora, se pensiamo all’uso delle carte di credito su Internet, l’autenticazione non c’era, c’era solo una sorta di identificazione. Ovvero, io fornisco il mio numero di carta di credito, che chiunque può conoscere e di principio fornire al mio posto, e solo in fase di verifica a posteriori (estratto conto o SMS) contesto eventualmente l’addebito. Di fatto, solo per i prelievi di contante c’è un PIN come per il Bancomat. Ci sono alcuni meccanismi aggiuntivi, ma funzionavano principalmente nel mondo reale di alcuni anni fa. In più, ci sono delle verifiche, sempre più diffuse per fortuna, sulla ragionevolezza del contesto, ad esempio riguardo ad acquisti per importi o da luoghi anomali. Ma come autenticazione, di fatto non c’era assolutamente niente.
Adesso c’è il SecureCode, ovvero la password, almeno su Internet. Nonostante le apparenze, sarebbe un miglioramento significativo, dato che molte delle frodi che si concretizzano in perdite per il titolare partono dal mondo reale, dove viene clonata la carta di credito per essere usata nel mondo reale, e producono poi anche danni nel mondo virtuale dove la stessa carta viene utilizzata per acquisti vari. La clonazione della carta di credito non permette di ottenere il Securecode, e quindi paradossalmente a quel punto da questo punto di vista è più sicura Internet rispetto al mondo reale (nel quale peraltro continuano a valere altre protezioni e deterrenti, prima fra tutti la presenza fisica). Fin qui, quindi, alla fine il Securecode rappresenterebbe comunque un miglioramento.
Insieme al Securecode arriva un meccanismo in più, che si chiama “Personal Greeting”. Vediamo come funziona. Va detto prima di tutto che il Securecode non viene ovviamente fornito direttamente al Merchant (venditore), altrimenti il meccanismo sarebbe troppo debole. Invece, quando si deve effettuare un pagamento viene presentata una specie di finestra o frame (non ho indagato) gestito in realtà da un gestore autorizzato, e solo in questa finestra si inserisce il Securecode. Questo gestore autorizzato comunicherà poi al merchant, immagino, che la transazione ha avuto successo. In molti casi del resto il pagamento con carta di credito funzionava già così. Come proteggersi dal phishing, che potrebbe facilmente sottrarre al titolare il suo Securecode, visto che è appunto una password? In fase di attivazione del securecode, il titolare inserisce una frasetta (il Personal Greeting appunto). Quando deve effettuare un pagamento, nella finestra che gli viene presentata c’è il personal greeting, a “testimoniare” che la finestra viene dal gestore autorizzato e non da un terzo. Qui c’è naturalmente il primo problema: chiunque abbia il numero di carta di credito è in grado di vedere il personal greeting e quindi poi di presentarlo. Dal punto di vista del phishing quindi sembrerebbe aggiungere solo qualche minima difficoltà in più:
1) al titolare viene presentata una pagina fasulla; il titolare inserisce il numero di carta di credito;
2) il phisher (un programma, in realtà) prende il numero di carta di credito, si connette a un qualsiasi sito legittimo e tenta un acquisto; fornisce il numero di carta di credito e ottiene la finestra con il personal greeting;
3) il phisher presenta il personal greeting al titolare, che fornisce quindi il Securecode.
Un classico man in the middle. Sembrerebbe quindi che la sicurezza aggiuntiva data da questo meccanismo sia veramente minima, specialmente considerando che una volta obbligatorio l’uso del Securecode, questa pratica diventerà necessariamente abituale, e che il man in the middle è il futuro prossimo del phishing, se non già il presente. Tuttavia, fino a qui abbiamo visto dei meccanismi che aumentano di poco la sicurezza nell’uso della carta di credito, ma comunque la aumentano: le frodi sono più difficili, titolare e gestore potrebbero essere contenti così. Invece no. Perché con l’attivazione del Securecode, io ho dovuto accettare un regolamento che al punto 3 dice: “Il Titolare ha l’obbligo di mantenere segreti gli Elementi di Sicurezza nonché di custodirli, avendo cura di non conservarli insieme ai dati della Carta, né di annotarli insieme ai medesimi, restando responsabile di ogni conseguenza dannosa che possa derivare dall’uso illecito degli Elementi di Sicurezza da parte di terzi a seguito del loro smarrimento o furto.“. Per come la vedo io, questo per il titolare è un grosso peggioramento. Finché l’unico dato era il numero di carta di credito, non c’era niente da rubare o smarrire (se non il PIN, che normalmente non si usa), tutto quello che era richiesto al titolare poteva essere una ragionevole cautela, e in sostanza l’onere della prevenzione delle frodi era a carico del gestore. Adesso le cose stanno diversamente: se per gli acquisti negli esercizi su Internet convenzionati diventa necessario il Securecode, è chiaro che qualsiasi frode su Internet non può che essere conseguenza del furto o dello smarrimento del codice, a meno di clamorosi fallimenti del meccanismo, e quindi finisce in carico al titolare. Si noti anche che abbiamo visto che il meccanismo non ha una reale protezione contro il phishing. Mentre il meccanismo potrebbe costituire quindi un seppure limitato miglioramento nella sicurezza complessiva, di fatto una buona fetta di rischio aggiuntivo viene trasferita contrattualmente sul titolare, che potrebbe legittimamente chiedersi a questo punto per cosa si fa pagare il gestore. Il problema è un problema di sicurezza multilaterale: i meccanismi di sicurezza devono tutelare gli interessi di più parti (titolare, esercente, gestore) potenzialmente in contrasto fra di loro; in questi casi, se una delle parti ha la possibilità di definire quali saranno i meccanismi di sicurezza, è probabile che il sistema alla fine risulti sbilanciato a suo favore. Dal mio punto di vista di titolare, sicurezza non è qualche strana definizione tecnologica: vuole dire che io non ci rimetto soldi, non importa che sia perché le frodi non ci sono o perché il gestore della carta copre le frodi con la percentuale che si prende su ogni transazione. Se si riduce la probabilità di frodi, ma nello stesso tempo il gestore ha la possibilità di non coprirle più, per me la sicurezza non è aumentata, è diminuita. In definitiva, la maggiore sicurezza del meccanismo viene di fatto trasformata in uno svantaggio. Miracoli dei contratti.
