I Pos e le insidie on line: «La sicurezza dipende anche dagli esercenti»

Carte di credito, pagamenti digitali e contactless sono ormai parte della vita di tutti i giorni per milioni di italiani. Spesso, però, la comodità e la facilità d’uso portano con sé delle controindicazioni, che nel mondo delle tecnologie finanziarie riguardano soprattutto la sicurezza informatica. Il passaggio dai Pos tradizionali a quelli moderni - questi ultimi basati sul sistema operativo Android - si sta rivelando molto più delicato del previsto proprio perché i dispositivi più avanzati sono (paradossalmente) quelli meno sicuri. «I Pos tradizionali sono stati sviluppati per svolgere una funzione molto specifica, ovvero processare i pagamenti elettronici. La loro architettura chiusa - sia dal punto di vista hardware che in termini software - rende difficile ampliarne le funzionalità: consentire nuove forme di pagamento è impossibile, per esempio», spiega Jacopo Jannone, Senior Security Engineer per Secure Network. «I Pos Android, invece, sono basati su un sistema operativo completo e generale: essi sono facili da aggiornare e da arricchire con nuove funzionalità, ma richiedono accorgimenti molto rigorosi per minimizzare i rischi a cui sono esposti i pagamenti». Proprio su questo tema, Jannone terrà la conferenza «Esplorare e sfruttare un terminale per pagamenti ‘Smart POS’ Android» nel corso del «No Hat 2024», evento nazionale in programma a Bergamo il 19 ottobre.

«I Pos tradizionali sono stati sviluppati per svolgere una funzione molto specifica, ovvero processare i pagamenti elettronici. La loro architettura chiusa - sia dal punto di vista hardware che in termini software - rende difficile ampliarne le funzionalità: consentire nuove forme di pagamento è impossibile, per esempio», spiega Jacopo Jannone, Senior Security Engineer per Secure Network

«Più un dispositivo è complesso, più è probabile che celi vulnerabilità non ancora identificate. I sistemi Android spesso raggiungono livelli di complessità notevoli: assicurarsi che tutte le vulnerabilità siano state trovate e risolte può diventare difficile. Tuttavia, Android ha dalla sua l’estrema versatilità: per questo, pur essendo nato per gli smartphone, oggi lo usiamo ovunque, dai distributori automatici alle Tv, dalle automobili ai Pos», continua Jannone, che aggiunge: «La scelta dei produttori di migrare dai dispositivi ad hoc a quelli basati su Android, insomma, è dettata dalla comodità».

Hackerare un Pos non è poi così difficile, almeno in teoria: l’esperto di sicurezza informatica, infatti, riporta che «un attore malintenzionato può acquistare un device del modello che vuole attaccare e analizzarne il software o l’hardware. L’obiettivo è quello di trovare qualche peculiarità che, nelle giuste circostanze, possa provocare un malfunzionamento. Alcune vulnerabilità possono essere sfruttate da remoto, altre invece richiedono un accesso fisico: non si può escludere nulla».

Il rischio furto carta di credito

Ma cosa si rischia se un Pos viene “bucato”? «La minaccia più probabile è il furto della carta di credito con cui si sta pagando. Le tecnologie moderne non consentono più di “clonare” fisicamente una carta, ma il suo numero può essere utilizzato per effettuare acquisti on line. Fortunatamente, stanno diventando sempre più comuni i sistemi di “autenticazione forte” (Sca), che inviano notifiche o codici monouso allo smartphone dell’utente prima di approvare qualsiasi transazione in rete», continua Jannone. In ogni caso, la sicurezza dei Pos dipende (anche) dagli esercenti: esistono infatti delle buone norme che i venditori possono seguire per ridurre i rischi per i propri clienti.

«Innanzitutto, è importante assicurarsi che gli aggiornamenti software vengano sempre installati, poiché contengono rimedi ai problemi di sicurezza che emergono di tanto in tanto. Poi, è bene prestare attenzione alla sicurezza fisica del Pos: mai lasciarlo incustodito in un luogo accessibile al pubblico», conclude l’esperto.