Domenico Aliperto
Tutto ciò che è Apple fa notizia, e quindi non c’è da stupirsi se da una parte all’altra della blogosfera un report del Guardian fa tremare i possessori dei Melafonini iscritti al servizio Apple Pay. Il giornale britannico ha infatti messo in evidenza il numero crescente di frodi legate al sistema di pagamento ideato da Cupertino, sottolineando però come il problema non riguardi la piattaforma in sé, tutt’ora giudicata una delle più sicure sulla piazza, quanto piuttosto la mancanza di adeguati processi di verifica dei dati dei sottoscrittori del servizio da parte delle banche e delle società che emettono le carte di debito e credito.
Il meccanismo che usano i frodatori, infatti, prescinde dai controlli crittografici e biometrici (riconoscimento delle impronte digitali) dei dispositivi Apple: è sufficiente caricare su qualsiasi iPhone 6 o 6 plus (gli unici device per ora abilitati al servizio avviato a ottobre 2014) dati bancari rubati ed effettuare acquisti a scapito dei legittimi possessori degli account. E, ironia della sorte, sono proprio gli Apple store i negozi in cui avviene la maggior parte di questi acquisti fraudolenti. Sia perché i negozi sono, come tutti sanno, riforniti di referenze costose, sia perché – specialmente negli States – i pagamenti Apple Pay sono grandemente incoraggiati da solerti commessi dotati di POS che si aggirano tra banchi e scaffali per intercettare gli acquisti d’impulso, permettendo ai clienti di pagare l’oggetto dei desideri senza nemmeno doversi recare alla cassa. Chi pensa che il fenomeno abbia dimensioni ridotte dovrà ricredersi. Il Guardian, citando non meglio precisate fonti provenienti dall’industry, parla di operazioni per svariati milioni di dollari. E considerando che ormai negli Stati Uniti i pagamenti effettuati in negozio con smartphone muovono un transato di circa 5 miliardi di dollari – con Apple Pay che si è già affermata come la più utilizzata delle piattaforme – la cifra non sembra inverosimile. Non va dimenticato che oltre alla piattaforma Apple ci sono quelle di Samsung, degli OTT e delle telco, che con i loro wallet ambiscono a entrare in un mercato che si prospetta assai più redditizio di quello in cui hanno operato finora come semplici service provider.
Interpellati dal Guardian, i vertici di Cupertino ribadiscono che il sistema in sé è sicuro e che spetta eventualmente alle banche potenziare le verifiche sui dati e sulle carte che vengono associati agli account Apple Pay, in quanto sono gli istituti che, di fatto, autorizzano le carte a entrare nel circuito. La tesi dell’azienda è surrogata anche dagli addetti ai lavori: Patrick Nielsen, senior security researcher di Kaspersky Lab, per esempio, conferma che che la piattaforma Apple Pay garantisce ottimi standard di sicurezza, ma i malintenzionati possono trovare altri anelli deboli in una catena che col diffondersi di questi strumenti diverrà inevitabilmente più interessante ed esposta ad attacchi.
In un post pubblicato sul Gartner blog network, Avivah Litan, vice president and distinguished analyst della società di consulenza, rileva tuttavia che le banche, dal canto loro, lamentano scarsa collaborazione da parte di Apple nel fornire i dati necessari a identificare i clienti. Ma di fatto Apple, secondo l’analista, trasmette un’infinità di informazioni sui profili dei propri clienti: dal nome alla posizione attuale del device, passando per la cronologia delle transazioni che l’utente ha effettuato su iTunes. “Piuttosto”, nota Litan, “a quanto mi risulta all’appello mancano gli operatori mobili. Le telco potrebbero essere particolarmente utili per verificare le corrispondenze tra i dati anagrafici inseriti nei propri database e quelli associati alle carte di pagamento”.
Dalle pagine del suo blog, Cherian Abraham, consulente finanziario e specialista dei pagamenti digitali, dice sarà necessario integrare i call center con processi automatici, invisibili ma sicuri, in grado di certificare l’identità dei sottoscrittori. Ma al di là delle responsabilità e delle competenze dei singoli player, l’unica strada da intraprendere, secondo Avivah Litan, è l’adozione di sistemi che raccolgano dati dinamici anziché statici quando si tratta di PII (Personal identifiable information). In altre parole tutti i player della nuova filiera del mobile payment per ottenere corrispondenze univoche dovrebbero puntare sull’analisi di reputazione, comportamento e relazioni dei propri clienti, ancor più che sui loro dati anagrafici. Un approccio che implicherebbe la costruzione di piattaforme analitiche capaci di raccogliere e confrontare in tempo reale enormi quantità di informazioni sparse per la Rete. Le parole d’ordine? Big data e naturalmente Cloud. Bisogna vedere cosa ne pensa Apple, che sulla on-device security ha puntato tutto. “Una filosofia su cui si è fatto troppo affidamento”, sentenzia Cherian Abraham.