Un’inedita tecnica criminale venuta alla luce alcuni giorni fa ha fatto sorgere delle perplessità circa l’infallibilità degli standard di sicurezza dei sistemi di pagamento elettronici.
Ignoti malviventi hanno intercettato circa 4.200.000 transazioni avvenute all’interno di una grossa catena di supermercati statunitensi – circa 300 punti vendita – tra i primi giorni di dicembre dello scorso anno ed il 10 marzo.
Da queste, almeno 1.800 sembrerebbero essere state le carte di credito già utilizzate fraudolentemente.
I dirigenti di questi grandi magazzini, che erano al corrente della presenza di alcune anomalie nel loro sistema già verso la fine del mese di febbraio, hanno impiegato altre due settimane per accertarsi della fondatezza delle notizie in loro possesso e rendere pubblico l’accaduto
In questo periodo la clientela, inconsapevole del fatto, ha continuato ad effettuare compere ed a regolare tranquillamente i pagamenti con le carte.
La novità sta nel fatto che, piuttosto che manipolare il lettore di carte o duplicare un database contenente le preziose credenziali, queste sono carpite nell’istante in cui le tessere venivano “strisciate” nei POS ed i dati trasmessi all’istituto di credito per l’approvazione.
La nota curiosa è che l’azienda, mentre l’incursore operava indisturbato, è stata trovata in perfetta conformità con i requisiti di protezione richiesti dal PCI – Payment Card Industry -, gruppo fondato da diversi enti gestori di carte di credito.
Il PCI, stabilisce, tra le altre, le precauzioni da adottare contro ogni possibile intrusione telematica.
Le verifiche vengono demandate a controllori esterni a questa figura.
Nel caso in esame il verificatore non è stato reso noto.
Il fatto che le cautele impiegate dalla compagnia sono state considerate adeguate e con tutto ciò essere stata vittima del furto, ha sollevato numerose questioni circa gli allarmanti risvolti che potrebbero sorgere a seguito dell’errata convinzione di avere una rete solida ed impenetrabile.
La causa sarebbe da attribuire all’ambiguità dei parametri definiti dal PCI su quando un soggetto deve celare i dati dall’occhio indiscreto di qualche estraneo.
Nella fattispecie è prevista la cifratura di tutte quelle informazioni che devono transitare all’interno di una rete di elaboratori “che un hacker può facilmente penetrare”.
Secondo quanto affermato da alcuni esperti è evidente come questo limite sia decisamente rimesso ad una valutazione prettamente personale
Per altri, che sostengono, invece, come il modello delineato del PCI sia chiaro e stringente, la responsabilità sarebbe da attribuire al revisore che avrebbe prestato troppa attenzione al processo di custodia delle notizie sensibili piuttosto che al momento in cui queste sono veicolate all’interno di un network.
