di Maurizio Pimpinella
Il PCI, Consiglio per gli standard di sicurezza del settore delle carte di pagamento, è un’organizzazione globale che promuove standard e best practices finalizzati a garantire la sicurezza dei dati dei titolari e degli utenti di carte di pagamento. Una vera e propria task force del mondo dei pagamenti elettronici che monitora costantemente le minacce e le frodi più innovative offrendo contestualmente gli strumenti in grado di affrontarle.
È del 5 dicembre la pubblicazione dell’ultimo standard di sicurezza inerente i sistemi che consentono agli esercenti di accettare pagamenti contactless tramite dispositivi mobili dotati della near field communication (NFC), la tecnologia per la comunicazione a corto raggio e senza fili che permette di sincronizzare in maniera rapidissima dati di pagamento provenienti da due dispositivi differenti. Volendo utilizzare termini più comuni, a fini esemplificativi, parliamo di uno smartphone che attraverso un app ci permette di pagare la colazione al bar o il biglietto della metropolitana senza mettere mano al portafogli e, soprattutto, senza che il commerciante o il circuito vengano a conoscenza dei dati riportati sulla carta di pagamento. I chip presenti sugli strumenti dotati di NFC, infatti, non forniscono i dati identificativi del conto sul quale la carta si “appoggia” proprio per impedire a chi riceve il pagamento la creazione di profili comportamentali dell’utente e, a quest’ultimo, di essere soggetto ad un più alto rischio di frode.
Parliamo di riduzione del rischio di frode e non della sua eliminazione in quanto uno degli assunti caratterizzanti tale settore è quello secondo cui tale rischio risulta sostanzialmente ineliminabile e, pertanto, ogni sforzo rivolto in tal senso appare propriamente diretto più ad una sua diminuzione. Il risultato a cui il PCI Security Standards Council è, difatti, diretto con il suo ultimo Contactelss Payments on COTS (CPoC™) è proprio questo: «[…] fornire ai merchants soluzioni di accettazione contactless sviluppate e testate in laboratorio per proteggere i dati di pagamento»[1].
Il richiamo al concetto di protezione conferma la crescente consapevolezza ad indirizzare il trattamento dei dati in una direzione conforme al “principio di minimizzazione” tanto auspicato all’interno del GDPR, pur considerando che già di per sé la tecnologia NFC consente di scambiare dati con una velocità di trasmissione al massimo di 424 kbps. Una caratteristica, quest’ultima, che rende questo strumento un abito disegnato a misura di pagamento elettronico contactless dove il quantitativo di dati scambiati è minimo.
Il tema della sicurezza gioca un ruolo assolutamente centrale nell’accrescere la fiducia degli utilizzatori e la diffusione dei pagamenti elettronici, è fondamentale pertanto che alla pubblicazione di nuovi standard ne consegua anche una pratica e idonea attuazione da parte degli operatori del settore. Evitare il ritardo verificatosi ad esempio durante l’attuazione degli standard tecnici di “autenticazione forte” (SCA) potrebbe già essere un segnale rassicurante in questo senso.
[1] http://www.ansa.it/sito/notizie/economia/business_wire/news/2019-12-05_1052054491.html
