«Il codice PIN è praticamente inutile con queste carte» spiega un ricercatore dell'ateneo
ZURIGO - C'è una falla critica in un protocollo utilizzato dalla società di carte di credito Visa. Lo sostengono alcuni ricercatori del Politecnico federale di Zurigo (ETH), precisando che questa vulnerabilità consente a eventuali truffatori di ottenere denaro da carte che sono state smarrite o rubate. Ciò anche se per determinati importi è necessario inserire un codice PIN.
«Il codice PIN è praticamente inutile con queste carte», ha indicato il ricercatore informatico dell'ETH Jorge Toro Pozo, citato in un comunicato odierno dell'ateneo.
Per determinati importi - solitamente superiori a 40 franchi - è necessario inserire il PIN per procedere al pagamento, ma i ricercatori hanno trovato nel protocollo, tramite un complicato procedimento con una applicazione, un modo per aggirare il sistema di sicurezza della carta di credito. In questo modo, sebbene l'importo sia superiore al limite e richieda la verifica del PIN, non viene richiesto alcun codice.
Altre aziende come Mastercard, American Express e JCB utilizzano un protocollo diverso da Visa e dunque non sono colpite da questa lacuna nel sistema. Sussistono tuttavia sospetti su altri emittenti di carte di credito, ad esempio UnionPay e Discover.
L'ETH ha già avvisato Visa in merito alla falla nella sicurezza. Secondo i ricercatori, per risolvere il problema sono sufficienti tre aggiunte al protocollo, le quali potrebbero venir semplicemente incluse nel prossimo aggiornamento del software sui terminali di pagamento. «Non c'è bisogno di sostituire le carte», ha sottolineato Toro Pozo.