di Pierluigi Paganini*
Nuova cifratura con la crittografia quantistica
La computazione quantistica (quantum computing) applicata alle carte di credito introduce un nuovo tipo di cifratura (crittografia quantistica) che renderà obsolete le attuali tecnologie a banda magnetica e le soluzioni EVS.
Oggi entrare in possesso dei dati relativi alle carte di credito non è difficile. Non bisogna possedere competenze tecniche specifiche, ma è sufficiente navigare nel deep web. Questa possibilità, però, potrebbe venir meno in futuro grazie alla computazione quantistica.
Le carte di credito sono esposte a molte minacce informatiche, tra cui phishing e malware. Proprio i codici malevoli sono tra gli strumenti privilegiati nell’ecosistema criminale per rubare alle istituzioni finanziare ingenti somme di denaro.
Negli Stati Uniti, le carte di credito si basano sulla tecnologia a banda magnetica malgrado questa sia notoriamente considerata non sicura in base agli standard EMV e da MasterCard e VISA, che oltre a questa soluzione mettono a disposizione anche carte dotate di chip.
Le carte della EMV cifrano i dati di ciascuna transazione rendendole presumibilmente più sicure. Persistono tuttavia problemi di sicurezza evidenziati a più riprese dalle comunità di esperti.
Quali sono i miglioramenti che verranno introdotti grazie alla computazione quantistica?
L’idea che sta dietro all’uso della computazione quantistica nelle carte di credito è l’adozione di un nuovo tipo di cifratura chiamata crittografia quantistica. L’obiettivo è rendere obsolete le bande magnetiche e le soluzioni proposte da EVS.
I ricercatori propongono di adottare l’Autenticazione e Sicurezza Quantistica (QSA), che usa una striscia di nano-particelle nelle carte di credito in sostituzione della banda magnetica.
Queste nano-particelle vengono esposte e irradiate con un laser per creare una condizione utilizzabile per i processi di autenticazione, ovvero una configurazione univoca per ciascuna transazione che sia impossibile da clonare.
I vantaggi della computazione quantistica
I ricercatori sostengono che questa soluzione renderà le carte di credito inattaccabili dagli hacker. Ciò permetterà al settore di evitare perdite di 14 miliardi di dollari l’anno, dovute alle attività criminali nei soli Stati Uniti.
Un altro effetto collaterale potrebbe essere la riduzione dei malware finanziari usati dalle bande criminali. Personalmente non sono d’accordo con questo scenario perché non ho informazioni sufficienti sulla modalità con cui il sistema gestirà i dati degli utenti.
Sebbene la strada per ottenere carte di credito a prova di hacker sia ancora lunga, lo sviluppo di questa tecnologia potrebbe avere ripercussioni positive in altri ambiti. Si potrebbero sviluppare passaporti non falsificabili, una carta di identità o una patente più sicuri, e persino incidere in maniera decisiva sul furto di identità, attualmente una delle principali minacce per gli utenti.
Come ho detto, dovremmo aspettare che questa tecnologia si sviluppi e venga adottata dai principali attori in ambito finanziario. Nel frattempo esistono molte tecnologie che possono essere usate per proteggere gli utenti da frodi e truffe online.
Cosa sono i Dynamic CVV
Tra le contromisure più efficaci possiamo trovare i Dynamic CVV, sviluppati dall’azienda Oberthur Technologies, che combina i token di sicurezza alle carte di credito.
Per autenticare le transazioni effettuate con carte di credito di prossimità, i marchi più importanti come Visa e MasterCard hanno inserito dei codici di sicurezza CVV dinamici. Per ogni transazione effettuata da una carta di credito di prossimità è generato un nuovo codice di sicurezza. Se un aggressore ottiene la carta non sarà in grado di usarla, perché non sarà in grado di generare il codice dinamico.
Prestate attenzione, i Dynamic CVV codes sono utili per le transazioni che usano la tecnologia Near Field Communication (NFC). Potrebbero non risultare efficaci per la protezione delle transazioni effettuate tramite “point of sale” (PoS), cioè per i pagamenti al terminale presso esercizi commerciali. Se un criminale è in grado di rubare i dati di una carta di credito leggendo la banda magnetica o rubandola, sarà comunque in grado di usarla. La soluzione “Dynamic CVV”, che entrerà in commercio nel 2017, è particolarmente interessante per gli utenti che effettuano molti acquisti online.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef