La lunga strada verso un mobile payment davvero sicuro

F5_Networks_Arcagni_PaoloPrima che il mobile diventi il principale veicolo di pagamento al mondo, esiste una serie di problemi di sicurezza da superare.
Torna a ribadirlo Paolo Arcagni, Systems Engineer Manager Italy&Malta di F5 Networks, attento a sottolineare come: “Indipendentemente dall’approccio scelto o dalla soluzione che alla fine sarà trovata, i provider dovranno dimostrare di possedere un livello d’innovazione e attenzione alla sicurezza tale da garantire che il passaggio al mobile payment avanzato avvenga in modo graduale e sicuro”.

Il lancio entro la fine di questo mese in Inghilterra di Apple Pay, che già negli Stati Uniti è supportato da oltre 380 istituti bancari, renderà finalmente reale, sempre secondo Arcagni, il sogno di non dover più andare a caccia del portafogli e della carta di credito nella borsa.
Con lo smartphone sempre in mano, ipotizza il manager, “tutto quello che dovremo fare sarà toccare lo schermo del telefono puntandolo verso l’apparecchio ricevente”.

Resta, tuttavia, una grande incognita su cui Arcagni riporta giustamente l’attenzione: mentre le carte di credito sono dotate di una sicurezza intrinseca, con funzioni di protezione supplementari come il Secure Cryptographic Element che, inserito nel chip della carta viene utilizzato per garantire che i dati siano al sicuro durante la transazione, i dispositivi mobili non possono dirsi altrettanto sicuri.

Sistemi operativi a confronto
Per rendere più sicuro il mobile payment, Apple ha incluso un Secure Element nella soluzione Apple Pay disponibile per iPhone 6, iPhone 6+ e Apple Watch il cui token con la crittografia che lo accompagna è isolato da iOS, mai memorizzato sui server di Apple Pay e mai salvato su iCloud.
Ma cosa accade, si chiede il manager di F5 Networks, nel mondo frammentato di Android e Windows, quando gli smartphone sono realizzati da una moltitudine di aziende?
La risposta è che, in genere, questi dispositivi non comprendono un Secure Element, dato che ogni produttore tende a utilizzare il proprio hardware e sarebbe molto difficile includere le librerie software richieste nel sistema operativo di tutti i diversi modelli.
Inizialmente, spiega ancora Arcagni, l’idea era utilizzare le Sim per verificare che i pagamenti venissero processati correttamente. In linea di principio, sembrava una buona soluzione. Tutti hanno una scheda che può essere utilizzata per memorizzare le chiavi crittografiche e che può essere richiamata dall’app di pagamento mobile nel momento in cui serve durante la transazione. Cosa ancor più importante, in questo modo le chiavi possono essere isolate dal sistema operativo, e quindi, potenzialmente, da qualsiasi malware attacchi il dispositivo. Purtroppo gli operatori mobile detengono le Sim e controllano la loro assegnazione e quali software possono essere installati su di esse.
Come se non bastasse, in un momento in cui i loro ricavi tendono a calare, con un forte consolidamento del mercato, “vorrebbero anche loro poter accedere a un pezzetto della torta del mobile payment, con il risultato è che l’approccio Sim non è mai realmente decollato”.

Guardando a Google in cerca di una soluzione
Google, proprietario del sistema operativo più diffuso al mondo per i dispositivi mobili, ha ideato una soluzione potenzialmente valida sviluppando un sistema software-based che emula un Secure Element su un dispositivo che non lo ha.
Il processo, prosegue Arcagni, viene chiamato Host Card Emulation e fa sì che un telefono cellulare si comporti in modo simile a una smart card. Permette, infatti, che possa essere utilizzato per una transazione di pagamento nel punto vendita al posto di una smart card contactless.
Si potrebbe pensare che questa soluzione di Android segni un punto di svolta, rendendo i pagamenti mobili disponibili per tutti, non solo per i proprietari di telefoni Apple, suggerisce il manager.
Tuttavia, scavando più a fondo, la situazione non è così rosea come sembra. “Android è notoriamente segnalato come il sistema operativo mobile più attaccato al mondo, tanto che un recente rapporto di Symantec afferma che una applicazione per Android su cinque contiene del malware. La soluzione Hce citata si basa sul software ed è accessibile dal sistema operativo principale attraverso una serie di chiamate Api. Se abbiamo imparato qualcosa dalle tante violazioni alla sicurezza informatica - conclude Arcagni - è che tutto quello che viene eseguito da un software è vulnerabile”.

 

Il ruolo delle banche
Quindi, cosa si può fare? Oggi la responsabilità legale di una frode nel pagamento è demandata all’emittente della carta, nella maggior parte dei casi la vostra banca. La conseguenza è che proprio gli istituti bancari, in prima fila, stanno studiando nuove metodologie sicure di utilizzo delle applicazioni di online banking da parte degli utenti per pagare direttamente dal proprio conto, bypassando la necessità di un servizio di intermediazione.
Perché ciò avvenga in modo efficace, il comportamento dell’utente deve essere preso in considerazione tanto quanto la tecnologia, visti i rischi sopra citati.
L’identificazione out-of-band del dispositivo implica l’analisi di informazioni aggiuntive, come la segnalazione di ogni transazione sospetta ma senza ostacolare l’esperienza del cliente. Le applicazioni per i pagamenti mobile devono, ad esempio, essere in grado di monitorare lo stato del dispositivo, ricercando i malware o altri comportamenti sospetti che potrebbero manipolare il processo Hce per rubare dei dati. L’applicazione, a quel punto, potrebbe inviare queste informazioni tramite la connessione Internet del dispositivo, al di fuori del processo di pagamento, all’ente responsabile.
In questo modo, è l’ulteriore suggerimento, la validità della transazione potrebbe essere determinata utilizzando pattern storici, dispositivi fingerprinting o altro ancora.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here