Dal Regno Unito arriva una storia molto educativa a proposito della sicurezza delle transazioni elettroniche. Qualcuno ha trovato il modo di taroccare i lettori delle carte di credito e dei Bancomat dei benzinai Shell e usarli per acquisire tutti i dati delle carte, compreso il PIN. Con questa tecnica sono stati frodati circa 1,5 milioni di euro.

La truffa è talmente diffusa da aver costretto seicento dei mille distributori Shell britannici a tornare al vecchio sistema della firma, come riferisce la BBC, dopo che con tanta enfasi l'intero Regno Unito si era convertito al Chip & PIN, ossia alla carta di credito dichiarata "sicura" perché autenticata tramite un chip incorporato e la richiesta del PIN al posto della firma.

In realtà il sistema si è rivelato un colabrodo e ha causato maggiori danni agli utenti, perché mentre la firma è contestabile, la digitazione del PIN non lo è, per cui per gli utenti è molto più difficile dimostrare di essere stati frodati e quindi si trovano derubati e impossibilitati a contestare gli addebiti fraudolenti. Doppia fregatura, insomma.

Questo è un sistema ancora più raffinato di quello in uso in Italia, dove viene applicata ai Bancomat una mascherina contenente un lettore supplementare e il PIN viene registrato da una microtelecamera. Col metodo inglese, né il cliente né il rivenditore hanno modo di accorgersi della frode in atto, perché tutto il meccanismo è all'interno del normale lettore.

L'unico modo in cui possono accorgersi della buggeratura è verificare le credenziali di ogni persona che si presenta come tecnico della manutenzione. L'assenza, finora, di questo controllo è una falla ovvia nella catena di sicurezza, secondo i più classici criteri dell'analisi di vulnerabilità: si pensa solo alla tecnologia e si dimentica il fattore umano.

I clienti si trovavano addebiti illeciti sul proprio estratto conto, ma non riuscivano a contestarli perché risultava digitato il PIN, e le condizioni di contratto prevedono che il PIN debba essere tenuto segreto sotto la responsabilità del cliente, per cui gli addebiti (teoricamente) dovevano essere stati autorizzati dal cliente.

Il lettore per carte di credito è il punto debole tecnologico di questo tipo di transazione, perché è il luogo nel quale convergono tutti i dati del cliente (numero della carta, scadenza e PIN) e perché in molti casi non utilizza il chip presente sulla carta, come discusso su SnakeOilLabs. Proprio per questo, i lettori sono dotati di dispositivi antimanomissione, che però nel caso del modello di lettore preso di mira (un Trintech Smart5000) evidentemente non ha funzionato.

La polizia britannica ha già effettuato otto arresti nel sud dell'Inghilterra, e l'indagine continua. Nel frattempo, chiunque abbia un lettore di carte di credito nel proprio negozio farebbe meglio a diffidare di chi si presenta come tecnico alla manutenzione e a verificarne l'identità telefonando alla società di gestione dei lettori... ovviamente senza usare eventuali numeri forniti dal "tecnico".