Computer e modem: 500 euro.
Un mese di accesso a Internet: 20 euro.
Usarli per rubare i dati di 40 milioni di carte di credito: non ha prezzo.
Ci sono cose che non si possono comprare (come le figuracce di questo genere). Per tutto il resto, è proprio il caso di dirlo, c'è Mastercard.

Ma Mastercard non è l'unica società del suo genere coinvolta nello sconquasso. Secondo il New York Times, fra i dati sottratti risultano anche le coordinate delle carte di credito Visa, Citigroup, American Express, Discover e altre. Mastercard è stata semplicemente la prima ad avere il coraggio di denunciare pubblicamente il trafugamento di dati.

Come è potuta succedere una Caporetto informatica del genere? Molto semplice: è sufficiente approfittare delle incredibili falle nella catena di sicurezza del trattamento dei dati delle carte di credito e concentrare l'attacco sull'anello più debole. L'anello più debole, in questo caso, si chiama CardSystems Solutions, una società statunitense che gestisce l'elaborazione delle transazioni elettroniche fra utenti di carte di credito e venditori per molte delle carte più note.

Secondo le ultime dichiarazioni di CardSystems, i conti "compromessi", ossia ai quali l'intruso ha avuto probabile accesso, sono circa 40 milioni, di cui grosso modo 14 milioni sono Mastercard e gli altri appartengono ad altre società. I conti che invece sono stati sicuramente trafugati sono circa 200.000, distribuiti fra le varie marche di carte di credito (68.000 sono Mastercard, 100.000 sono Visa). Sulla base dei dati disponibili, è presumibile che anche gli utenti italiani delle varie carte possano essere a rischio, specialmente se hanno effettuato transazioni con società USA, via Internet o sul territorio statunitense.

E' in corso un'indagine da parte dell'FBI, per cui c'è un certo riserbo, ma le informazioni finora rese pubbliche permettono di ricostruire con ragionevole affidabilità la sconcertante meccanica del disastro. CardSystems conservava senza autorizzazione i dati di alcune transazioni in un file, al quale l'aggressore ha avuto accesso via Internet, scaricandolo. Secondo John M. Perry, boss di CardSystems, i dati erano conservati "a scopo di ricerca" per capire come mai alcune transazioni risultavano non autorizzate o non completate. Perry ha dichiarato che adesso, a buoi scappati, non lo faranno più.

Questo comportamento era in diretta violazione delle norme di sicurezza stabilite da Visa e Mastercard, oltre che dal buon senso, secondo le quali le società che elaborano i pagamenti non devono conservare informazioni relative ai titolari delle carte: devono semplicemente passarle alle rispettive banche.

Le medesime norme prevedono che i loro subappaltatori paghino un esperto indipendente certificato, affinché esegua una valutazione annuale della sicurezza; è obbligatoria anche un'autovalutazione trimestrale, abbinata a test di vulnerabilità della propria rete informatica.

Considerato che CardSystems gestisce oltre 15 miliardi di dollari l'anno di transazioni, questi test non dovrebbero essere economicamente così insostenibili da voler giocare al risparmio. Eppure nulla di tutto questo ha funzionato correttamente presso CardSystems, perché la falla è stata scoperta da tutt'altra fonte: Mastercard stessa, che si è accorta a metà aprile che c'era un aumento anomalo degli addebiti fraudolenti sulle proprie carte. Insieme a Visa, ha lanciato un'indagine che ha permesso di trovare presso CardSystems, a fine maggio, un "programma informatico non autorizzato".

Come se non bastasse questa violazione, il file non era neppure protetto da cifratura, pur includendo dati vitali come il numero della carta e soprattutto il relativo PIN o CVV (codice di sicurezza). L'ipotesi più probabile è che l'intruso sia entrato nel sistema CardSystems tramite una errata configurazione del sito Web della società.

Mastercard è per il momento l'unica società emettritrice di carte di credito che ha ammesso che vi sono stati dei casi di frode direttamente connessi al disastro CardSystems; Visa, invece, sta ancora monitorando la situazione. In ogni caso i titolari delle carte colpite verranno risarciti e tutelati.

E' chiaro a questo punto che ogni titolare di carta, di qualsiasi marca, farà bene a sorvegliare attentamente il proprio estratto conto. Ironicamente, chi ha sempre rifiutato di usare la propria carta di credito su Internet perché temeva frodi è comunque a rischio.

Chi pagherà per questa sconcezza? Si parla già di un'ammenda di 500.000 dollari a carico di CardSystems, ma alla fine saranno i venditori a pagare, tramite il prevedibile aumento dei costi di transazione.

La figuraccia è comunque ormai fatta, e il danno alle reputazioni delle società che si sono appoggiate a subfornitori così incompetenti non si riparerà tanto facilmente. In questo senso, dispiace notare che mentre Mastercard USA informa dettagliatamente dell'accaduto i propri utenti statunitensi, la versione italiana del sito non fa alcuna menzione dell'incidente. Eppure dovrebbe essere evidente che il primo passo per recuperare credibilità è offrire maggiore trasparenza.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: