Bancomat con microchip – Se lo clonano o sei un truffatore o sei un complice
La prime carte BANCOMAT (o l'equivalente BancoPosta) immesse sul mercato sono dotate solo di una banda magnetica.
La vulnerabilità di sicurezza delle carte Bancomat dotate di banda magnetica
La prime carte BANCOMAT (o l'equivalente BancoPosta) immesse sul mercato sono dotate solo di una banda magnetica.
Nella banda magnetica vengono memorizzati i dati di addebito: tipicamente l'identificativo del cliente, quello dell'intermediario emittente (l'istituto bancario o Poste Italiane) ed il numero di conto corrente, visto che uno stesso cliente può essere intestatario di più rapporti presso il medesimo intermediario. A questa terna di informazioni corrisponde uno ed un solo PIN che è la sequenza di cinque cifre (segreta) fornita all'utilizzatore per autorizzare il prelievo di banconote dal distributore automatico (ATM - Automated Teller Machine).
La banda magnetica della carta Bancomat è facilmente clonabile. Al malfattore basta inserire nel lettore o "card reader" (in pratica, la fessura dove bisogna introdurre la carta) uno "skimmer", un piccolo dispositivo, cioè, in grado di leggere i dati della banda magnetica. Per conoscere il PIN, e quindi poter prelevare le banconote, diverse sono le tecniche disponibili: una tastiera sottilissima che ricopre quella vera e registra i tasti premuti o una videocamera che riprende la digitazione. Con la tecnologia wireless, poi, i dati necessari alla clonazione (contenuto memorizzato nella banda magnetica e video sequenza di digitazione del PIN) possono essere trasmessi a breve distanza, ad esempio ad un computer posizionato all'interno di un'auto in sosta.
Gli ingenti costi a carico del sistema interbancario per il rimborso degli addebiti disconosciuti in seguito a clonazione
Si può immaginare quanto elevati siano stati i costi supportati dal sistema bancario e da Poste Italiane per far fronte ai prelievi effettuati con carte BANCOMAT clonate e ai conseguenti rimborsi per gli addebiti disconosciuti.
La legge e la giurisprudenza (sia quella di legittimità che dell'Arbitro Bancario Finanziario) infatti, parla chiaro: fin quando l'intermediario (la banca o Poste Italiane) non riesce a dimostrare la mala fede del cliente o la sua specifica responsabilità nel consentire a terzi l'uso improprio della carta (aver custodito, ad esempio, la carta Bancomat insieme all'indicazione del PIN), si presume che l'addebito disconosciuto sia riconducibile a clonazione e, quindi, alla scarsa sicurezza del circuito interbancario Bancomat e della tecnologia adottata per autorizzare l'erogazione delle banconote.
Le carte Bancomat con microchip e le esigenze di compatibilità con gli ATM a banda magnetica
E stato allora introdotto il microchip: i dati di addebito continuano ad essere memorizzati nel dispositivo ma per estrarli occorrono tempi assai più lunghi (con le tecnologie attualmente disponibili) della manciata di secondi in cui la carta Bancomat staziona nell'apposito lettore durante la transazione. Il malfattore può ancora rilevare il PIN, è vero, ma non può servirsene, non disponendo delle altre informazioni registrate nel microchip. In pratica, il microchip è considerato non clonabile.
Tuttavia, bisognava salvaguardare gli ingenti investimenti profusi nell'acquisto e nell'installazione capillare dei distributori di banconote di vecchia generazione (quelli che funzionano solo con Bancomat dotato di banda magnetica, per capirci). Senza contare il fatto che era anche necessario assicurare i prelievi all'estero, considerando che il circuito interbancario non poteva certo imporre a tutte le banche del mondo la sostituzione degli ATM di vecchia generazione con quelli capaci di leggere i dati dal microchip.
La soluzione? Da qualche tempo le carte BANCOMAT vengono consegnate ai clienti nella versione "doppia funzione", dotate, cioè, sia di microchip che di banda magnetica. E, in grado di leggere sia il microchip che la banda magnetica sono anche gli ATM di recente installazione e quelli che, gradualmente, vanno a rimpiazzare i vecchi dispositivi obsoleti e non funzionanti.
I nuovi distributori ATM sono, pertanto, compatibili sia con le carte Bancomat dotate esclusivamente di banda magnetica che con quelle equipaggiate anche con microchip. Leggono la banda magnetica nel primo caso, il microchip nel secondo. I vecchi distributori, naturalmente, quando viene introdotta una carta bancomat con doppia funzione (microchip e banda magnetica) leggono la banda magnetica.
La sicurezza delle carte Bancomat dotate di microchip - Falsi miti e ambigue verità
A ben guardare, però, la soluzione retro compatibile così individuata vanifica le caratteristiche di non clonabilità proprie del microchip, rendendo ancora possibili prelievi fraudolenti sul conto corrente di chi dispone di una carta Bancomat dotata di microchip. Se una carta con microchip viene utilizzata in un dispositivo ATM di vecchia generazione, la transazione è esposta agli stessi rischi di una vecchia carta dotata esclusivamente di banda magnetica (sottrazione dei dati e del pin con skimmer e telecamera).
Qual è, allora, il vantaggio conseguito da banche e Poste Italiane con l'introduzione del Bancomat dotato di microchip? Semplicemente quello di continuare ad intascare laute commissioni e scaricare sui clienti anche gli eventuali costi di clonazione. Cerchiamo di comprendere come. Il malcapitato utilizzatore dotato di carta con microchip, preleva le banconote da un distributore di vecchia generazione equipaggiato con lettore di banda magnetica; la carta gli viene clonata, il PIN sottratto. Passa qualche tempo e si scopre che un sostanzioso prelievo è stato effettuato nell'isola di Bali, in Indonesia (dove il poveraccio non si è mai recato). Il cliente chiede il rimborso, alla banca o a Poste Italiane, dell'importo equivalente all'addebito disconosciuto: sia la banca che Poste Italiane gli rispondono picche, perché, affermano, è impossibile clonare una carta Bancomat dotata di microchip e se clonazione c'è stata, questa è imputabile esclusivamente al possessore che non l'ha custodita come Cristo comanda, rendendo possibile, a terzi, la lettura della banda magnetica e la sottrazione del PIN lasciato scritto, magari, su un postit accanto alla carta.
Così, il cliente derubato si rivolge al giudice o all'Arbitro Bancario Finanziario per riaffermare il disconoscimento dell'addebito e chiederne il rimborso. La banca o Poste Italiane continuano ad eccepire, in giudizio, che la clonazione non è scientificamente realizzabile, nel breve tempo di durata della transazione, con le carte dotate di microchip e portano, a supporto di questa tesi, le testimonianze di università e centri di ricerca. Sia i giudici che gli arbitri se la bevono: basta leggere le loro sentenze e decisioni per capire come si dilunghino in fiumi di parole e abbondino di taglia e incolla da riviste scientifiche per dissertare sulla sicurezza della tecnologia microchip e sul fatto che sia materialmente impossibile leggere i dati dal circuito; senza mai porsi lo scrupolo di accertare, invece, una circostanza cruciale: se, cioè, quella magnifica e futuristica carta Bancomat con microchip sia stata, prima del prelievo disconosciuto, inserita in un lettore a banda magnetica.
Insomma, alla fine ciò che emerge, anche per i giudici e gli arbitri eventualmente aditi, è il messaggio relativo alla certificata ed incontestabile sicurezza del microchip e alla conseguente impossibilità di leggere i dati ivi memorizzati con uno skimmer. Poco importa se ciò è vero solo a condizione che la carta sia sempre ed esclusivamente inserita in un ATM di nuova generazione.
Una carta Bancomat dotata di microchip non è più sicura di una carta dotata di banda magnetica se può essere utilizzata in un circuito ibrido
Una catena non è più resistente dell'anello più debole, così come una carta Bancomat dotata di microchip non è più sicura di una dotata di banda magnetica, se poi è utilizzata in un circuito ibrido.
Sarebbe spontaneo domandarsi quale sicurezza possa mai avere una carta Bancomat con il super tecnologico e super sicuro, inviolabile microchip garantito al limone, se poi la stessa carta Bancomat è dotata anche di una giurassica banda magnetica e se l'utilizzatore può essere costretto, prima o poi, a servirsi di un distributore preistorico che legge solo carte magnetiche, magari con lo skimmer e videocamera già incorporati e l'immigrato indonesiano appostato a cinquanta metri; il quale poi spedisce i dati carpiti ad uno dei cinquanta figli rimasti a BALI (gli altri cinquanta stanno già in Italia) per portare a termine il prelievo fraudolento di un migliaio di rupie, bastevoli a sfamare la numerosa famiglia per almeno un paio di mesi.
L'importanza di chiedere e conservare la ricevuta di prelievo - C'è riportata l'indicazione della tecnologia con cui è stata eseguita la transazione
Peraltro, per demolire la disinformazione messa in piedi da banche e da Poste Italiane, nonché le granitiche certezze inculcate ad inconsapevoli giudici di pace ed arbitri bancari, sarebbe sufficiente che l'utilizzatore conservasse tutte le ricevute di prelievo. Infatti, in fondo alla ricevuta l'ATM, vecchio o nuovo che sia, dovrebbe obbligatoriamente indicare con quale tecnologia è stato autorizzata l'erogazione di banconote: microcircuito (o chip) oppure banda magnetica.
Ora, anche se una sola volta all'utilizzatore fossero state erogate banconote da un vecchio ATM funzionante con banda magnetica, ciò sarebbe sufficiente a dimostrare perchè, anche dopo un anno, una carta dotata di microchip possa ricomparire in versione clonata con banda magnetica ed essere utilizzata a Bali per prelevare rupie (ma anche in Italia, laddove siano in funzione i distributori che leggono solo la banda). E, dunque, con il pezzo di carta, a suo tempo messo da parte, il cliente derubato potrebbe contestare l'asserita assenza di falle di sicurezza nel sistema di prelievo automatico delle banconote e, quindi, riaffermare la responsabilità di banche e Poste Italiane, con il correlato obbligo di rifondere, comunque, l'addebito disconosciuto anche all'utilizzatore a cui sia stata rifilata la mitica carta Bancomat dotata di microchip.
Peccato che, il più delle volte, gli ATM la ricevuta non la rilasciano in quanto sprovvisti di carta e quand'anche fosse, quasi nessuno sa che quelle ricevute vanno conservate perché domani potrebbero salvare il tuo portafogli da una clonazione che per le banche, per Poste Italiane, per giudici ed arbitri sussiste solo nella malafede di clienti truffaldini o nelle giustificazioni ingenue di possessori distratti.
