Apple Pay: pagare con l’iPhone è sicuro?

Il 9 di settembre, Apple ha presentato alcuni nuovi dispositivi e il suo sistema di pagamento che si avvale della tecnologia NFC, sensore Touch ID e app Passbook. Vediamo come funziona e quanto questo nuovo sistema sia sicuro.

Durante l’evento, tenutosi il 9 settembre presso il Flint Center, in California, l’azienda di Cupertino ha presentato al mondo un paio di dispositivi nuovi; come da tradizione, il pubblico si è suddiviso in tre fazioni, ovvero: “I prodotti Apple non sono più come una volta”, “Sono tutte cose già viste su Android” e “Meraviglioso! Fantastico! Lo compro subito”. Ma non vogliamo rientrare in nessuna di queste categorie e preferiamo concentrarci su un aspetto in particolare: il nuovo sistema di pagamento Apple Pay, sviluppato dall’azienda in collaborazione con Visa, Mastercard e American Express e che si basa sulla tecnologia NFC, sul sensore Touch ID e sull’app Passbook. Grazie a questo sistema, l’iPhone dovrebbe svolgere le stesse funzioni di una carta di credito o del nostro portafoglio, ma si tratta di un metodo di pagamento davvero a prova di cybercriminale?

Apple Pay (sì, questa volta hanno tolta il prefisso i- che ha contraddistinto i prodotti dell’azienda) è un sistema di pagamento mobile, che combina le transazioni tradizionali con alcune soluzioni tecnologiche interessanti. NFC, Touch ID e Passbook funzionano insieme per rendere le transazioni più comode e sicure. Per lo meno, è quello che dice il comunicato.

Come funziona? Più o meno allo stesso modo di PayPass o PayWave: basta avvicinare il dispositivo (con il sistema NFC abilitato) al lettore e confirmare la transazione. Nel caso in cui la carta di credito abbia associato un codice PIN, con i nuovi iPhone con Apple Pay basterà usare il Touch ID e tenere premuto il dito sullo scanner durante la transazione ed attivare il riconoscimento.

Per far funzionare questo sistema, innanzitutto bisognerà scansionare le carte di credito con l’iPhone per passare tutti i dati come numero della carta, data di scadenza e simili all’applicazione Passbook. Ed è qui che arriva la parte più complicata e interessante della tecnologia Apple Pay. Invece di utilizzare i numeri delle carte di credito o debito durante il processo di pagamento, bisognerà utilizzare un Device Account Number unico che, alla sua creazione, viene assegnato al dispositivo. Tutti i dati delle carte di credito vengono immagazzinati (cifrati) su un chip apposito presente sui nuovi iPhone e Apple Watch. In questo modo, i pagamenti vengono effettuati utilizzando un codice senza ricorrere alle credenziali dell’utente.

Si tratta di un metodo intelligente per due motivi. Innanzitutto, né un negozio né un cybercriminale che tenta di intercettare i dati potrà appropriarsi dei dati della carta di debito o di credito durante la transazione. Nel peggiore dei casi, il cibercriminale entrerà in possesso di questo codice. In secondo luogo, anche se viene intercettato il codice, non sarà di alcuna utilità in quanto funziona solo quando viene trasmesso dal dispositivo su cui è stato creato. Se tale dispositivo viene rubato, arriva in aiuto la protezione Touch ID. In ogni caso, si può sempre utilizzare il servizio Find My Phone per bloccare l’iPhone o cancellare tutte le informazioni che contiene, comprese dati delle carte di credito. In questo modo, non sarà necessario bloccare le carte di credito o il conto bancario.

Ma si tratta di un sistema davvero sicuro? Abbiamo parlato con Dmitry Bestuzhev, esperto di Kaspersky Lab, del nuovo sistema Apple Pay e lui ritiene che il problema potrebbe esserci in un “malfunzionamento di Touch ID. Per questo motivo Apple consente di inserire il codice PIN. Ad esempio, il riconoscimento delle impronte non potrebbe funzionare correttamente se si hanno le dita bagnate. E i cybercriminali potrebbero approfittarne per ottenere l’autorizzazione di determinati pagamenti”. Bisogna considerare che, con Apple Watch, per i pagamenti non sono necessarie operazioni aggiuntive, per cui si potrebbe utilizzare questo dispositivo per svuotare i conti in banca degli utenti.

Presto potremo effettuare pagamenti con #iPhone #Apple Watch. Saranno pagamenti sicuri?

Tweet

C’è un altro problema e riguarda il modo in cui vengono immagazzinati i dati delle carte di credito. Sugli iPhone, quasi tutti i dati possono essere sincronizzati con un certo numero di dispositivi iOS di fiducia. E non parliamo solo di foto e risultati di ricerca di navigazione, ma anche di password, salvate sulla app Keychain. Se anche i dati delle carte di debito e di credito vengono immagazzinati in questo modo (rendendo possibile la sincronizzazione con altri smartphone), il rischio per il conto in banca è alto. Inoltre, un cybercriminale potrebbe accedere a Passbook e rubare tutti i dati delle carte di credito (a meno che Apple faccia qualcosa per rendere impossibile o molto difficile questa eventualità). Per saperlo dobbiamo aspettare ottobre, quando Apple Pay sarà disponibile su oltre 200 mila negozi (all’inizio negli Stati Uniti). Vi terremo informati.