Verified by Visa è davvero sicuro?

Chi fa solitamente acquisti online, si sarà probabilmente imbattuto nell'invito -più o meno insistente e a seconda della carta di credito utilizzata- ad iscriversi al sistema Verified by Visa o al SecureCode di Mastercard. Si tratta, come è oramai noto, in entrambi i casi di una sorta di seconda “linea di sicurezza” nelle maglie anti-frode dei circuiti di pagamento, che prevede la digitazione di un'ulteriore password personale di sicurezza in aggiunta alla comunicazione delle tradizionali informazioni (intestatario, numero di carta, data di scadenza e codice CVV), sullo strumento usato per pagare online.

Entrambi i sistemi hanno rapidamente preso piede in tutto il mondo, tanto che oggi sono registrati al 3D Secure (questo il nome della tecnologia che ne è alla base) oltre 200 milioni di utenti. La stessa Visa -originaria promotrice del 3D Secure- ha definito questa tutela aggiuntiva come la migliore barriera contro le frodi, arrivando a dichiarare nel proprio sito web che “non esiste un modo più sicuro per fare acquisti online” (affermazione da noi evidenziata in rosso nell’immagine a seguire estratta dal sito ufficiale di Visa Italia - clicca per ingrandire).


Tuttavia, stando a quanto sostengono nelle ultime ore due ricercatori dell'Università di Cambridge, Ross Anderson e Steven Murdoch, il sistema 3D Secure non sarebbe così impenetrabile come sostiene Visa. O, per lo meno, non offrirebbe garanzie di protezione maggiori rispetto a quelle fornite da altri schemi alternativi, ma meno diffusi, come l'OpenID o l'Infocard.
A sostegno di queste convinzioni, oltre a una serie di spiegazioni circa le fondamenta tecniche del 3D Secure, che presterebbero il fianco a non nuovi tentativi di phishing, i due ricercatori inglesi ricordano la facilità con la quale sia possibile azzerare le stesse password di sicurezza, per reimpostare le quali sarebbe sufficiente fornire alcune informazioni piuttosto basilari sul titolare della carta, come la sua data di nascita.

Ma allora perchè nonostante tutto il sistema 3D Secure è così diffuso?
Per i due studiosi di Cambridge la risposta andrebbe principalmente ricondotta alle forte pressioni presenti per la sua adozione, che lo hanno trasformato in un “must” per venditori e acquirenti. Ad ogni modo, Anderson e Murdoch hanno predisposto un documento molto interessante, nel quale suggeriscono agli istituti di credito alcune mosse per migliorare gli schemi ora applicati, e al quale vi rimandiamo per ulteriori informazioni in merito (v. link a seguire).

http://www.cl.cam.ac.uk/~rja14/Papers/fc10vbvsecurecode.pdf

Roberto Rais