Portafogli anti-RFID: servono davvero?
Sono in molti a domandarsi dell’utilità o meno dei portafogli anti-RFID e, più in generale, di tutti i prodotti che bloccano l’RFID. È ormai di dominio pubblico il tema relativo al cosiddetto skimming delle carte di pagamento.
Lo skimming è una procedura utilizzata dai più abili borseggiatori per intercettare le informazioni bancarie della carta di credito presente all’interno del portafoglio, oltre eventualmente anche ai dati del passaporto.
Le bustine anti-RFID
La soluzione non è però rappresentata dai portafogli anti-RFID, o da quella che viene chiamata RFID blocking card. Questi strumenti sono giudicati inutili dagli esperti. Oggi in commercio si trovano migliaia di prodotti che promettono di evitare lo skimming, tra cui anche camicie e jeans realizzati con speciali tasche anti-RFID. Vi sono anche i portafogli intelligenti, i quali integrano a loro volta la funzione che in linea teorica dovrebbe bloccare la carta.
Di cosa si tratta nello specifico? Questi strumenti di “blocco RFID” non sono altro che sottili fogli metallici. È risaputo nel settore RFID, infatti, che i materiali metallici impediscono la corretta trasmissione delle frequenze radio.
I prodotti che bloccano l’RFID sono uno spreco di denaro
A tal riguardo, il noto portale Digital Trends ha intervistato Roger Grimes della società KnowBe4, che si occupa della gestione dei problemi di sicurezza IT, tra cui ransomware, phishing e social engineering.
Secondo le dichiarazioni di Roger Grimes, i prodotti che bloccano l’RFID non sono altro che uno spreco di denaro. Grimes suggerisce agli utenti, senza mezzi termini, di investire altrove il proprio denaro. A sostegno della sua tesi, Grimes ha affermato come ad oggi non vi sia un solo caso in cui questi articoli si sono dimostrati efficaci contro le azioni criminali dirette a carpire le informazioni bancarie delle carte di credito o i dati personali del proprio passaporto attraverso un semplice lettore RFID. Roger Grimes non è il solo a ritenere inutili i prodotti che vengono sponsorizzati come soluzioni efficaci per contrastare il pericolo di skimming. Nonostante ciò, l’industria che realizza portafogli anti-RFID e altri prodotti simili è ad oggi in forte espansione.
Perché i portafogli anti-RFID sono inutili
Prima di capire il motivo per cui i portafogli anti-RFID sono inutili, è importante fare un passo indietro e spiegare in maniera semplice come avviene la tentata truffa da parte dei malintenzionati. Per prima cosa, i ladri si procurano sul web un lettore RFID per meno di 100 euro. In seguito avvicinano il loro lettore RFID alla borsa della persona individuata come potenziale vittima, sfruttando il sistema di comunicazione contactless e impossessandosi delle informazioni di eventuali carte di credito o passaporti contenuti all’interno della borsa.
Tutto questo a livello teorico, in quanto – come spiega Roger Grimes a Digital Trends, la realtà dei fatti è diversa. Grimes sottolinea infatti che le informazioni trasmesse dalla carta di credito non sono più sufficienti per portare a termine un’operazione. Ad esempio, i malintenzionati non possono entrare in possesso del codice a tre cifre riportato nel retro della carta, indispensabile per effettuare un acquisto online.
Carte di credito contactless
Senza contare, comunque, che il raggio d’azione delle carte di credito contactless è molto limitato: parliamo di circa 4 o 5 centimetri. Se ne sarà accorto chiunque abbia provato a effettuare un pagamento contactless, che in effetti la carta va posta quasi a contatto con il POS. Quindi il malintenzionato dovrebbe porre lo skimmer molto vicino alla vittima. Oltre a ciò, bisogna considerare che due o più carte contactless, se sovrapposte, creano interferenza a vicenda, risultando di fatto illeggibili. Basta avere quindi un’altra card RFID nel portafogli, per evitare la clonazione della carta di credito. Anche la tessera dell’abbonamento ai mezzi pubblici, in molte città ha la tecnologia simile a quella di una carta di credito.
Inoltre, va ricordato come le chiavi crittografiche siano emesse dalla banca, che a sua volta accetta la transazione. Di conseguenza, anche se il ladro tecnologico riuscisse a effettuare la transazione massima consentita dalle carte di pagamento contactless (25 euro) sarebbe rintracciato facilmente, senza contare che la vittima verrebbe risarcita nel giro di pochi giorni.
Passaporti con microchip
Lo stesso discorso può essere fatto per i dati del passaporto, le cui informazioni sono crittografate e possono essere lette soltanto da lettori RFID abilitati e autenticati.
A tal proposito, è bene sottolineare come i passaporti più recenti (quelli realizzati dal 2007 in poi) dispongono di speciali copertine in grado di bloccare i segnali RFID.