Carte di pagamento, come proteggersi dalle frodi

Tra le tecniche di acquisizione dei dati delle carte, la manomissione degli ATM e dei POS continuano a essere le più diffuse, assieme al furto e all’utilizzo di carte smarrite dal legittimo titolare.

Mara Mignone
Criminologa, presidente di RiSSC
Centro Ricerche e Studi su Sicurezza e Criminalità

Negli ultimi anni, le carte di pagamento - dette anche plastic cards per distinguerle dalle banconote e dalle monete - sono diventate a tutti gli effetti un valido ed efficiente sostituto del denaro contante.
L'innovazione tecnologica ha interessato tanto le loro modalità di funzionamento quanto i contesti in cui è possibile utilizzarle.
Inoltre, sono state adottate tecnologie sempre più avanzate a garanzia della sicurezza delle carte e delle transazioni.
In particolare, in seguito all migrazione verso lo standard tecnologico globale EMV (conosciuto come il sistema “CHIP&PIN”), è in corso una sorta di avvicinamento delle carte di credito alle modalità di funzionamento delle carte di debito.
Infatti, le carte di nuova generazione sono dotate di un microchip - in sostituzione della banda magnetica - e prevedono la digitazione di un PIN a quattro cifre per la conclusione della transazione, in sostituzione della firma della ricevuta.
In questo modo, le carte non diventano solo “multifunzione” - ovvero può essere memorizzato nel microchip un numero molto più consistente di dati rispetto alla banda magnetica - e più rapide nell'effettuazione dei controlli e nella convalida della transazione, ma sono più sicure rispetto al rischio di clonazione e di utilizzo fraudolento.
Infatti, tra le altre funzioni, il terminale POS deve identificare la carta come genuina, mentre la carta stessa registra ogni transazione e, in base ai parametri di gestione del rischio predefiniti, manda un alert al verificarsi di certe condizioni di anomalia.

Alcune misure
per contrastare i frodatori

La standardizzazione dei sistemi di pagamento, tra circuiti di debito e di credito, è favorita anche dal SEPA - Single Euro Payments Area - il mercato comune europeo dei servizi di pagamento che consente ai cittadini, alle imprese e alle Amministrazioni pubbliche di ottenere incassi ed effettuare pagamenti in euro con modalità, diritti e obblighi analoghi in tutti gli Stati Membri.
Per quanto riguarda gli acquisti online, invece, è ormai prassi consolidata, per tutti i siti di e-commerce affidabili, prevedere l'inserimento - accanto alle generalità del titolare (nome e cognome), al numero della carta e alla data di scadenza - di un codice di sicurezza a tre cifre, stampato sul retro della carta.
Tale codice viene identificato con la sigla CVV-Card Verification Value per le carte emesse da American Express, mentre viene denominato CVC-Card Verification Code per le carte Mastercard, Visa e Diners Club.
La richiesta di questa ulteriore informazione presuppone che la transazione venga effettuata con la contestuale presenza materiale della carta e riduce così le possibilità di riutilizzo fraudolento dei dati relativi a carte clonate.
In aggiunta, sempre per utilizzare le carte di credito via Internet in modo più sicuro, sia Visa sia Mastercard hanno attivato rispettivamente i sistemi VerifiedbyVisa e Securecode.
Il VerifiebyVisa si compone di due livelli di protezione, per i quali è necessario registrarsi sul sito Visa di riferimento (per l'Italia il sito è http://www.visaitalia.com/carteperte/acquistionline/verifiedbyvisa/main.jsp); il primo livello prevede l'invio di un sms al numero di cellulare associato alla carta, in tutti i casi di utilizzo della carta stessa per una transazione (disponibile anche per le transazioni offline); il secondo consiste nell'identificazione di una password personale, scelta dal titolare al momento della registrazione, che verrà richiesta quale informazione supplementare in tutti i siti di e-commerce che aderiscono al sistema, al momento della conclusione dell'acquisto.
Nel caso in cui la password digitata dovesse risultare errata, la transazione non verrà autorizzata.
In questo modo, il titolare della carta ha un'ulteriore possibilità di autotutela, che rende sostanzialmente impossibile l'utilizzo fraudolento della carta online nei siti aderenti, in assenza di questa informazione che, diversamente dagli altri dati, non è ottenibile attraverso la clonazione.
Il sistema Mastercard SecureCode si basa sulla stessa logica di funzionamento, con la sola differenza che la password dispositiva scelta dal titolare è sostituita da un codice numerico (PIN).
Infine, ulteriore importante strumento di protezione individuale, disponibile sia per le carte di credito (di regola gratuitamente) sia per quelle di debito (in molti casi a pagamento), è il sistema sms alert: il titolare può aderire al servizio e ricevere sul proprio numero di cellulare un messaggio attestante il luogo, la data, l'ora e l'importo della transazione per cui la propria carta ha richiesto l'autorizzazione al pagamento.
Il beneficio di questa soluzione consiste nel poter identificare tempestivamente l'utilizzo fraudolento della carta stessa e, di conseguenza, nella possibilità di effettuare la segnalazione immediata alla banca, di richiedere nel caso il blocco della carta stessa e di presentare denuncia alle forze di polizia.
Esiste, quindi, un “sistema” di sicurezza delle carte di pagamento che vede coinvolti tanto gli operatori dell'industria dei pagamenti (issuers, acquirers, commercianti…) quanto i titolari, ovvero i cittadini.
Un sistema che, anche grazie al modo in cui sta raccogliendo la sfida tecnologica, si sta rivelando in grado di contrastare i “frodatori di professione” - o quantomeno di renderne più difficile il lavoro - sempre molto abili nell'architettare schemi di frode complessi e sofisticati, tecnologicamente avanzati, spesso difficili da investigare e da prevenire.

Il ruolo dei cittadini:
l'esperienza britannica

Tra le tecniche “tradizionali” di acquisizione dei dati delle carte, la manomissione degli ATM e dei POS continuano a essere le più diffuse, assieme al furto e all'utilizzo di carte smarrite dal legittimo titolare.
Online, invece, sono particolarmente insidiosi l'accesso abusivo alle banche dati dei siti di e-commerce, finalizzato proprio al furto dei dati delle carte, sia il phishing.
Con riferimento al 2007, il valore delle frodi in danno delle carte di pagamento, a livello mondiale, è stato stimato in 5,5 miliardi di dollari, su un totale di 11,8 trilioni di acquisti di beni e servizi e di anticipo contante (fonte: Nilson Report, Issue 915, Novembre 2008).
In Europa, il valore economico delle frodi è valutato in leggera diminuzione, essendo passato dallo 0.7 allo 0.6 per mille del totale del transato (fonte: Payments Cards&Mobile, Inside Fraud, Settembre-Ottobre 2009).
In Gran Bretagna - dove è stata dichiarata una vera e propria guerra alle frodi - soprattutto a causa della migrazione verso il sistema CHIP&PIN (diventato obbligatorio a partire dal 2006), è stata registrata tra il 2008 e il 2009 una diminuzione del 28% del valore complessivo delle frodi in danno delle carte di pagamento, stimato in £ 440,3 milioni (con una flessione di £ 170 milioni rispetto agli anni precedenti).
Nel dettaglio, le cosiddette card-not-present fraud (le frodi realizzate nelle transazioni online, in assenza della presenza materiale della carta) sono diminuite del 19%, la contraffazione delle carte (attraverso lo skimming, ovvero la clonazione delle bande magnetiche) del 52% e le frodi in danno delle carte smarrite o rubate dell'11%.
E' stato rilevato, invece, un aumento delle frodi bancarie, dovuto soprattutto alla vulnerabilità dei PC utilizzati per l'Internet banking, troppo spesso “contagiati” da virus e programmi malevoli, a causa dell'assenza o del mancato aggiornamento di programmi di protezione (antivirus, antispyware, firewall).
L'esperienza britannica rimanda e conferma il ruolo cruciale dei cittadini e l'importanza centrale della loro corretta educazione finanziaria, così come di un maggiore coinvolgimento attivo nella protezione delle proprie posizioni economico-finanziarie (siano esse carte di pagamento o account di Internet banking).
In questo senso, le dinamiche che caratterizzano il contesto italiano sono particolarmente interessanti perché evidenziano importanti contraddizioni nell'atteggiamento e nel comportamento dei cittadini, che troppo spesso si traducono in opportunità di frode per criminali senza scrupoli.

Le contraddizioni
comportamentali dell'Italia

In particolare, l'analisi delle tendenze delle frodi in danno delle carte di pagamento e la vittimizzazione dei cittadini evidenziano come sia fondata la teoria criminologica secondo cui, molto spesso, la paura di subire un reato sia inversamente proporzionale all'effettiva incidenza di quel reato e alla possibilità di concreta di poterne diventare vittima. In altre parole, tanta paura (quasi) per nulla…
Secondo le rilevazioni effettuate da RiSSC - Centro Ricerche e Studi su Sicurezza e Criminalità - nell'ambito del Progetto ALIAS, attraverso la prima indagine di vittimizzazione italiana in materia di furto di identità e frodi in danno delle carte di pagamento, il numero delle frodi è molto più contenuto di quanto i cittadini generalmente ritengano.
Su un campione rappresentativo di 2.519 persone, con riferimento al periodo 2007-2009, sono stati rilevati complessivamente 53 casi di frode su carte di pagamento (pari al 2,1%).
Dal punto di vista delle dinamiche criminali, la clonazione è risultata prevalere in modo deciso (73%) rispetto all'utilizzo della carta smarrita/rubata (11%), all'utilizzo fraudolento del PIN e dei codici di internet banking (8%) e agli acquisti via internet (8%).
Eppure, come confermato anche dai risultati del Progetto NESSUNO, condotto da RiSSC in collaborazione con CPP Italia nel 2007, la diffidenza degli italiani verso le carte di pagamento, in particolare verso le carte di credito, è palpabile.
Il 64% circa dei cittadini italiani possiede sia la carta di debito sia la carta di credito; l'88 per cento possiede un bancomat. I titolari dei bancomat sono tanto gli uomini (55%) quanto le donne (45%) e la maggiore diffusione si registra tra le persone di età compresa tra i 30 e i 50 anni; le carte di credito, invece, sono più diffuse tra gli uomini (60%) e la loro titolarità è proporzionale all'aumentare dell'età.
Tra titolarità - quindi legittimo possesso della carta - ed effettivo utilizzo, però, ci sono sensibili differenze, che diventano ancora più marcate se si considera la tipologia specifica di carta.
Infatti, con riferimento al bancomat, il 72% lo utilizza con una frequenza piuttosto alta (8% “tutti i giorni”, 33% “più volte a settimana”, 31% “più volte al mese”. Il 28% lo usa “ogni tanto”).
Di contro, il ricorso alle carte di credito è per lo più occasionale (la metà dei cittadini usa la carta di credito “ogni tanto”, il 28%“più volte al mese”, il 14% “più volte a settimana”. Solo l'8 ne fa un uso regolare, “tutti i giorni”).
Il 22% dei titolari delle carte di credito, poi, non ricorre mai alla propria carta, pur possedendola: il 7% per motivi correlati alla paura e al senso di insicurezza, il restante 15% per la “poca confidenza” con lo strumento o per i costi.

Il bisogno di un'efficace
educazione finanziaria

I dati riportati delineano uno scenario abbastanza chiaro: i cittadini non hanno una conoscenza quantomeno sufficiente tanto del “sistema carte” - ovvero delle modalità di funzionamento delle carte di pagamento e delle regole che definiscono i diritti e i doveri sia dei titolari sia degli istituti e delle società emittenti - quanto dei rischi effettivi a cui possono essere concretamente esposti.
Altrimenti, ad esempio, con buona probabilità non sceglierebbero le carte di debito, ma preferirebbero quelle di credito.
Sicuramente non utilizzerebbero le carte revolving, ma farebbero ricorso ad altre forme di finanziamento.
In altre parole, c'è urgente bisogno di una reale ed efficace educazione finanziaria dei cittadini, che non può continuare a fondarsi su documenti dal linguaggio tecnico, spesso incomprensibile, ma che deve alimentarsi e svilupparsi attraverso iniziative diversificate e mirate, capaci di interagire con le persone di diversa età e livello culturale.
Inoltre, i cittadini difficilmente possono sapere che la scelta di rimanere ancorati ai pagamenti mediante denaro contante è per certi veri una forma di sostegno a diversi fenomeni criminali, alimentati proprio sia dalla presenza stessa del denaro (ad esempio, furti, rapine, estorsioni) sia dalla non tracciabilità delle transazioni (es. riciclaggio di denaro sporco, reati di traffico, evasione fiscale).
Basti pensare che, negli ultimi anni, le rapine riguardano sempre più spesso non tanto le banche - che si sono attrezzate in diversi modi per ridurre l'incidenza di questi reati - quanto esercizi commerciali più vulnerabili quali le tabaccherie, le cartolerie, le farmacie, i piccoli supermarcati, tutti contesti che vivono per lo più di micro-pagamenti, effettuati, proprio in quanto tali, senza l'ausilio delle carte di pagamento.
Contesti che attirano non solo i criminali professionisti, ma anche rapinatori improvvisati che, per le loro necessità imminenti (soprattutto l'acquisto di droga), sono pronti a tutto e si accontentano di qualunque somma disponibile.
Altro esempio utile a spiegare i rischi criminali determinati dalla presenza del denaro è quello degli assalti ai furgoni portavalori, sempre più cruenti e organizzati con tecniche di guerriglia.
Senza dimenticare che in tutti questi casi, come confermato dai fatti di cronaca, la stessa incolumità dei cittadini è seriamente a rischio.
In conclusione, perché le carte di pagamento possano realmente, anche in Italia, ridurre il ricorso al denaro contante, è indispensabile che si crei un nuovo scenario, capace di garantire i cittadini e al contempo di raccogliere le continue sfide poste dalla necessità di rendere effettiva la sicurezza di questi sistemi.

Pubblica i tuoi commenti