Perché le carte di credito hanno il loro numero e il codice CVC stampato su di esse per tutti?

In definitiva, voi non sopportate il rischio di frode, quindi non stabilite la tolleranza al rischio. Il codice a tre cifre, l'intero numero della carta, chip e pin, chip e firma, la firma su una ricevuta, le informazioni nella striscia magnetica ecc. La tua banca ti dirà che sono tutti molto segreti e che dovresti proteggerli, ma te li tatuerebbero in faccia se potessero.

Il nome del gioco è il più basso attrito di transazione possibile rispetto ai costi di frode accettabili.

Perché il numero di tre cifre è stampato sulla carta? Perché presumibilmente hai la carta in mano quando vuoi usarla. Questo codice “segreto” è nato per combattere e/o prevenire le frodi di basso livello legate principalmente al pigro skimming delle strisce magnetiche e ai vecchi tempi in cui le ricevute erano impronte della carta. Questo numero non fa parte dei dati della striscia magnetica, ed è stato pensato solo per essere un segreto per la striscia magnetica e per le persone che potrebbero trovarsi in possesso di un gran numero di impronte di ricevute (nei primi tempi delle carte di credito) o di un database pieno di numeri di carte di credito. È stato solo inteso per offrire una prova di basso livello della presenza della carta per combattere i casi in cui sono stati presi grandi quantità di numeri di conto; non autentica o protegge le transazioni, non è un checksum, è solo un numero che non è nella striscia magnetica o nell'impronta. Interessante, anche se non sorprendente, il numero non è semplicemente casuale, è derivato dal numero di conto primario in modo crittografico in un modo noto solo all'emittente della carta.

Perché la banca non si impegna di più per proteggere il numero? Perché la banca vuole che tu usi la carta senza dover ricordare un numero.

Perché il numero “segreto” di quattro cifre dell'American Express è sulla parte anteriore della carta, non è nemmeno nascosto in modo sicuro sul retro, chi lo sa; ma chiaramente il numero non è destinato ad essere sicuro per chiunque possa avere accesso fisico alla carta.

Perché la carta non è nuda ma per il marchio con le informazioni immagazzinate in modo sicuro da qualche altra parte? Perché due posti sono più posti e potresti non usare la carta se hai bisogno di tirar fuori il pezzo di carta che ti è stato spedito separatamente con il codice a tre cifre stampato sopra, ovviamente mai inteso come sicuro.

L'incentivo della banca è che tu usi la carta. Se non usi la carta, o usi la carta di un concorrente, la banca non fa soldi.

Se volete proteggere i vostri metodi di pagamento meglio del livello con cui la banca è a suo agio, siete liberi di farlo. Raschiate via i numeri, togliete la banda magnetica, qualsiasi cosa; anche se probabilmente alterare la carta è una violazione del vostro accordo con i membri della carta. La banca non lo fa perché alla banca non interessa.

Lo scopo del codice di sicurezza non è un PIN segreto. Lo scopo è quello di “provare” che hai la carta fisica in tuo possesso al momento dell'acquisto. Si usa solo quando il commerciante non può confermare che hai la carta fisica in tuo possesso. Si usa quando si acquista qualcosa da un sito web, ma si usa anche in un negozio fisico quando la carta non può essere scannerizzata e il numero deve essere digitato manualmente.

La ragione per cui è stampato sulla carta è che qualcun altro oltre a te potrebbe aver bisogno di leggerlo. Se la consegnate a un cassiere e per qualche motivo non è in grado di scansionare la carta e deve digitare il numero, può girare la carta e digitare il codice di sicurezza, dimostrando al computer che ha la carta in suo possesso. Non è mai stato pensato per essere memorizzato, e se gli utenti della carta memorizzano il codice, perde la sua efficacia come prova del possesso fisico della carta.

Si può sostenere che avere il codice stampato sulla carta rende la carta meno sicura, e alcuni hanno suggerito di raschiare il codice dalla carta dopo averlo memorizzato, ma questo in realtà impedirebbe solo un tipo specifico di frode con carta di credito che non è così comune come altri metodi di frode.

In assenza di un vero PIN, sta diventando sempre più comune usare il codice postale di fatturazione come un'altra convalida, poiché è un numero che il proprietario della carta ha già memorizzato e non è stampato sulla carta.

Lo scopo principale del codice di sicurezza è quello di impedire che le informazioni della carta violata vengano riutilizzate. Il modo principale in cui questo viene realizzato è requisire che i processori di pagamento non memorizzino questo codice

I commercianti, i fornitori di servizi e altre entità coinvolte nell'elaborazione delle carte di pagamento non devono mai memorizzare i dati sensibili di autenticazione dopo l'autorizzazione. Ciò include il codice di sicurezza di 3 o 4 cifre stampato sul fronte o sul retro di una carta, i dati memorizzati sulla banda magnetica o sul chip di una carta (chiamati anche “Full Track Data”) - e i numeri di identificazione personale (PIN) inseriti dal titolare della carta. Questo capitolo presenta gli obiettivi di PCI DSS e i 12 requisiti correlati Fonte - slide 11

Lei chiede perché il numero della carta e il codice di sicurezza sono stampati sulla carta. In entrambi i casi, rivediamo un po’ di storia:

Il numero della carta

Il numero della carta (chiamato PAN nel settore) è solo un identificatore, non ha motivo di essere segreto. È necessario per qualsiasi transazione, in modo che un addebito possa essere… addebitato sul relativo conto, sia:

• in un punto vendita fisico (POS), usando il vecchio metodo “imprinter” (non so se è ancora in uso da qualche parte). Questa è la ragione per cui il numero è effettivamente impresso, non solo stampato (insieme agli altri dettagli richiesti per la transazione: data di scadenza, nome del titolare della carta).

• in un punto vendita, usando un terminale POS (“credit card machine”), che legge la banda magnetica o il chip della carta, che forniscono entrambi il PAN e il resto dei dati senza alcuna autenticazione o crittografia.

• per telefono o su carta (ciò che nell'industria è conosciuto come “MOTO”: mail order / telephone order), quando si leggono semplicemente i dettagli al telefono o si scrivono sul modulo d'ordine.

• su internet, dove devi leggere il numero dalla tua carta e inserirlo in un modulo. Come puoi ordinare qualcosa se non puoi leggere il numero della carta?

Il PAN non è mai stato considerato un segreto. È solo un numero di conto, esattamente come il tuo numero di conto appare sugli assegni cartacei, per sapere da quale conto devono essere presi i soldi.

Alcuni pensano che la chiave (l'ultima cifra) sia una (scarsa) caratteristica di sicurezza, mentre in realtà serve solo a proteggere da errori di inserimento (cifra cambiata, cifre scambiate…).

Al giorno d'oggi, la gente comincia a pensare che un PAN debba essere segreto, e questo ha portato all'introduzione della “tokenizzazione”: invece di inviare il numero effettivo della carta, viene inviato un altro numero di carta, che è limitato a un canale specifico (e possibilmente a un dispositivo), o anche a una singola transazione.

Questo è il caso per esempio di Apple Pay: quando si registra la carta con il suo vero PAN, la banca rimanda indietro un token (PAN “falso”) che viene usato al suo posto, e può essere usato solo per i pagamenti effettuati con Apple Pay su quel dispositivo. Se mai qualcuno intercettasse quel PAN, non sarebbe in grado di fare nulla con esso: non sarà accettato per aggiungere una carta ad Apple Pay, non sarà accettato in negozio, online, al telefono, o in qualsiasi altro posto.

È davvero utile? In un mondo perfetto in cui tutte le transazioni sono autenticate con altri mezzi, non dovrebbe davvero avere importanza, un PAN da solo dovrebbe essere inutile. In pratica, dato che ci sono canali che permettono l'uso di metodi di autenticazione piuttosto insicuri, è una linea di difesa aggiuntiva.

Notate che la necessità della tokenizzazione è probabilmente leggermente più importante con l'introduzione del contactless: potete leggere il PAN di qualsiasi carta contactless senza nemmeno toccarla, è solo una questione di avvicinarsi abbastanza.

Il codice di sicurezza

Il codice di sicurezza stampato sul retro della carta (o sul fronte, per le carte American Express) non era originariamente presente. È stato aggiunto per evitare i seguenti scenari di frode:

• una ricevuta della carta di credito con il numero completo della carta (e il nome e la scadenza) veniva scartata e ritirata da qualcun altro (questo era particolarmente vero quando erano in uso le stampanti, ma era anche vero prima che le reti delle carte decidessero finalmente che era vietato stampare il PAN completo sulla ricevuta del cliente).

• una carta viene “strisciata” per registrare il contenuto della banda magnetica, che contiene il PAN, la scadenza, il nome del titolare della carta e altro…). Questo permetteva alle persone che avevano accesso fisico alle carte (camerieri, cassieri…) di registrare un gran numero di carte abbastanza velocemente senza essere notati.

Per contrastare ciò, è stato aggiunto questo nuovo codice, che non si trova sulla ricevuta (non è in rilievo), e nemmeno sulla traccia magnetica.

Questo codice è richiesto solo per gli acquisti MOTO e online, dove non si può vedere se l'utente ha effettivamente la carta (una cosiddetta transazione “card not present”), e si vuole essere un po’ più sicuri che l'utente abbia la carta.

Questo è in effetti abbastanza facile da aggirare: basta fare una copia completa della carta (entrambi i lati) o prendere nota di tutti i dati. Ma in molti degli scenari di cui sopra, questo ha reso solo un po’ più difficile per un utente disonesto farlo senza essere notato.

(Anche l'introduzione di terminali portatili aiuta molto, dato che un utente può tenere gli occhi – e le mani – sulla carta in ogni momento, ma specialmente nei ristoranti negli USA, questa non è ancora una pratica standard).

Il codice di sicurezza aiuta anche nel caso in cui un sito memorizzi i dati della carta di credito, e qualcuno riesca ad accedervi: in teoria, nessuno è autorizzato a memorizzare il codice di sicurezza, quindi un hacker otterrebbe solo il PAN e la scadenza, e non sarebbe in grado di usarlo nuovamente, ma, in pratica, troppe persone memorizzano ancora il codice di sicurezza. L'industria è inseguendo quelli (è uno degli aspetti dell'iniziativa PCI DSS), ma c'è ancora molta strada da fare.

La vera protezione viene dalle nuove misure di autenticazione (3D Secure) che permettono un'altra modalità di verifica oltre a quei dati. A seconda della banca (o anche della carta), potrebbero comportare:

• una password
• una password monouso (OTP) inviata via SMS o altri mezzi
• un'autenticazione biometrica (impronta digitale, riconoscimento facciale, scansione dell'iride…)
• parlare effettivamente con il chip della carta tramite il lettore di carte collegato al computer (non sono sicuro che questo sia stato effettivamente implementato da qualche parte) …

Nota che il codice di sicurezza è usato solo per le transazioni online/MOTO (transazioni “carta non presente”). Le transazioni con carta presente useranno o:

• un altro codice di sicurezza che si trova sulla banda magnetica (anche se questo è facile da copiare)
• la comunicazione con il chip (sulle carte che ne hanno uno) in modo che la carta si autentichi.

Semplice, l'intenzione dietro il sistema di credito è utilizzare la fiducia tra lo scambio di diverse parti in modo tempestivo. Tuttavia, il mondo cibernetico è tutt'altro che a prova di proiettile. La maggior parte degli exploit sono di solito all'interno del design stesso e non altro. Il mio consiglio a chiunque stia cercando di arrivare da qualche parte nella vita usando i computer, è quello di attenersi a competenze commerciabili come la riparazione di schermi e schede logiche, invece del furto cibernetico. C'è molta più opportunità nel mostrare al mondo ciò che richiede tempo per capire, cioè l'ingegneria elettrica, invece di molestare gli altri prendendo da loro (furto di carte di credito). Sembra che la cybersicurezza nel futuro si affiderà a macchine pensanti che gestiscono decisioni ripetitive, da lì le persone possono decidere quale direzione è più vantaggiosa a lungo termine.

In precedenza c'era un sistema “Verified by Visa” in cui la carta di credito Visa aveva una password che il consumatore conservava. La password non era sulla carta. Il sistema “Verified by Visa” era usato nelle transazioni su internet. I commercianti avevano la possibilità di offrire il sistema.