I POS sono ovunque. Vengono utilizzati quotidianamente da imprese e professionisti per ricevere pagamenti con carte di debito e di credito, dunque è legittimo porre domande sulla sicurezza di questi dispositivi.
Stampa e tv parlano continuamente di frodi in ambito di transazioni elettroniche, e ciò porta molti imprenditori a preoccuparsi di un eventuale uso illecito del terminale allo scopo di truffare i propri clienti – circostanza che rischia di minare la credibilità e quindi le finanze dell’azienda.
Nel presente articolo scopriamo gli standard di sicurezza dei terminali e le più comuni truffe messe in pratica. Vediamo infine quali sono i metodi per prevenire problemi e cosa fare se dovessero presentarsi nella propria attività.
I POS dispongono di diverse misure di sicurezza
Per conoscere le misure di sicurezza occorre innanzitutto capire come funziona un terminale di pagamento:
- Quando un cliente paga con carta, il POS legge le informazioni conservate all’interno del chip o della banca magnetica.
- Il terminale invia le suddette informazioni alla società che ha emesso la carta (issuer); quest’ultima verifica la transazione per approvarla o rifiutarla.
- Una volta approvata, l’importo viene trasferito dal conto del cliente a quello dell’impresa.
Una procedura in apparenza semplice e rapida, dal momento che tutto ciò avviene in pochi secondi. La celerità dell’operazione non vuol dire però che la transazione sia poco sicura: dietro la semplicità vi sono molteplici misure di sicurezza che proteggono i dati delle carte per prevenire le frodi.
Tra le misure di sicurezza compaiono:
- Criptografia: ocodifica delle informazioni trasmesse tra POS e issuer della carta, in modo che i dati possano essere letti solo dalle parti autorizzate.
- Tokenizzazione: sostituzione delle informazioni sensibili (es. numeri della carta) con token casuali, così da rendere difficile il loro uso anche nel caso in cui dovessero essere sottratte.
Le transazioni effettuate tramite chip sono più sicure rispetto a quelle con banda magnetica, in quanto la tecnologia EMV (Europay, Mastercard e Visa) rende più difficile la clonazione.
Leggi anche il nostro articolo Come prolungare la vita del POS
Truffe comuni con i terminali di pagamento
Nonostante le molteplici misure di sicurezza, i terminali non sono immuni a frodi e truffe. Negli ultimi anni si è letto di diversi casi avvenuti nei modi più disparati. Ecco alcuni esempi, seguiti da una breve spiegazione:
- Skimming
- Furto di password
- Malware
- Ingegneria sociale
- Errore del terminale
- Display difettoso
- Sostituzione del terminale
Lo skimming consiste nell’installazione di un dispositivo all’interno del terminale
La truffa dello skimming avviene installando illecita di un dispositivo all’interno del POS. Tale dispositivo registra i dati delle carte usate dai clienti e li utilizza per creare cloni delle medesime carte
Il furto delle password è una pratica comune
In alcuni casi i truffatori si servono di videocamere nascoste o finte tastiere per sottrarre il codice PIN della carta mentre il cliente digita. Potrebbero inoltre chiedere al cliente di immettere il codice prima del dovuto, in modo che venga reso visibile sullo schermo del terminale.
Un malware installa software fraudolento
Il malware è un tipo di software che può essere installato su POS allo scopo di rubare dati. In termini pratici, il virus Prilex genera un finto messaggio di errore per indurre il cliente a reintrodurre la sua carta, sottraendo così le informazioni.
Il chip è più sicuro della banda magnetica.
Manipolazione attraverso “ingegneria sociale”
L’ingegneria sociale o social engineering è una tattica usata dai truffatori per manipolare le persone inducendole a fornire informazioni sensibili. Ad esempio, SMS o chiamate da parte di una finta banca in cui vengono chiesti esplicitamente codici segreti al fine di risolvere un finto problema.
Sostenere che c’è un errore del terminale
In questo caso il malintenzionato annuncia alla vittima che il terminale non ha elaborato la transazione a causa di un errore, invitando a ripetere l’operazioni con un POS diverso. Da questo tipo di truffa risulterà un doppio pagamento per lo stesso prodotto o servizio.
Display difettoso per ingannare il cliente
La truffa avviene servendosi di uno schermo difettoso che impedisce alla vittima di visualizzare correttamente l’importo della transazione. Il cliente digita la password autorizzando così un pagamento di importo superiore a quello dovuto.
Cambio del terminale per sottrarre le vendite
Il truffatore acquista un terminale identico a quello del negoziante e attende il momento adatto per sostituire i due dispositivi. In questo modo tutte le transazioni elaborate dal commerciante andranno in realtà nel conto del truffatore.
Potrebbe interessarti il nostro articolo Cos’è il numero PAN della carta?
Cosa dovrebbe fare un commerciante per proteggersi?
Quelli appena visti sono solo alcuni esempi di frodi ai danni dei commercianti che si servono di un POS per ricevere pagamenti con carta.
Nonostante le principali vittime di queste truffe siano i clienti, anche l’imprenditore rischia di subire frodi attraverso il terminale.
Cosa può fare il commerciante per proteggere se stesso e i suoi clienti:
a) Aggiornare il terminale: Assicurati che il tuo POS sia sempre aggiornato con l’ultima versione del software e del firmware. Gli aggiornamenti includono spesso interventi per migliorare la sicurezza e risolvere errori presenti nella versione precedente, in modo da rendere più sicuro il dispositivo e prevenire così le frodi.
b) Addestrare i dipendenti: I dipendenti dovrebbero essere istruiti sulle possibili truffe e sui metodi per individuarle. Assicurati che sappiano identificare attività sospette e dispositivi utilizzati per lo skimming; devono inoltre conoscere il modo appropriato di trattare i dati sensibili dei clienti.
c) Osservare comportamenti sospetti: Fai attenzione ai clienti che sembrano essere particolarmente nervosi, irrequieti o che tentano di distrarre. Gli skimmer di solito lavorano in squadra, con una persona intenta a distrarre il commerciante mentre il complice installa il dispositivo fraudolento o cambia il terminale.
Fissa il POS ad un supporto oppure tienilo lontano dalla portata dei clienti.
d) Controllare eventuali manomissioni: Verifica che non ci siano parti allentate o incastrate in modo disallineato. Gli skimmer applicano dispositivi che appaiono come parte dello stesso terminale, individuabili da piccoli dettagli al tocco oppure da un’attenta osservazione di sporgenze e giunture.
Talvolta potrebbe trattarsi di una micro-camera o di una cover posizionata sul tastierino, in modo da registrare i codici PIN digitati dai clienti.
e) Usare password sicure: Quando si creano profili autorizzare l’accesso e l’uso al POS per altri utenti, assicurati di scegliere una password che rispetti gli standard di sicurezza attuali (numero minimo di caratteri, simboli, lettere e numeri) e, soprattutto, di cambiarla periodicamente.
f) Fissare i terminali: Fissa il terminale in modo che non possa essere sottratto o sostituito in pochi istanti. A questo scopo tornano utili appositi supporti da banco. Se invece hai un POS portatile e necessiti di mobilità, tienilo lontano dalla portata dei clienti e esponilo solo all’occorrenza. Non lasciare il terminale incustodito.
g) Eseguire la riconciliazione giornaliera: Assicurati di riconciliare ogni giorno, a fine giornata, le transazioni elaborate dal POS e quelle del Registratore Telematico (RT). La riconciliazione si esegue generando un report delle vendite sul registratore di cassa e il Report Z sul terminale. Spesso il software del POS permette la riconciliazione in tempo reale.
Cosa fare se noti anomalie
È importante sottolineare che le frodi commesse tramite terminali di pagamento possono essere molto sofisticate e quindi difficili da individuare. I truffatori trovano sempre nuovi modi per ingannare commercianti e consumatori.
Se sospetti che ci sia qualcosa di anomalo nel tuo POS, agisci in questo modo:
- Spegni il dispositivo e non usarlo finché non sarai sicuro della sua affidabilità.
- Blocca le transazioni che appaiono sospette, se possibile.
- Contatta il fornitore del POS per ricevere assistenza.
- Informa le autorità nel caso in cui la sospetta frode dovesse rivelarsi reale.
Dobbiamo sottolineare che ogni provider ha una propria procedura e che questa potrebbe differire a seconda del modello di dispositivo o di circostanza. Per tale ragione raccomandiamo sempre di contattare l’assistenza anziché di procedere in autonomia.
Infine, segnaliamo che tutti i dispositivi moderni sono dotati di un misure di sicurezza anti-manomissione che bloccano automaticamente il terminale. Ad esempio, in caso di danneggiamento o forzatura delle componenti fisiche, sui display dei POS Axerve compare la scritta PED tampered; per ripristinarli o sostituirli sarà necessario contattare l’assistenza tecnica.
Dunque, i POS sono realmente sicuri?
La risposta è sì, ma con qualche riserva. Il numero delle transazioni fraudolente verificatesi tramite terminale è decisamente inferiore rispetto al numero di transazioni legittime. Ma i POS – come qualsiasi altro dispositivo elettronico – non sono completamente esenti da eventuali frodi.
I truffatori inventano costantemente nuovi metodi per rubare dati e condurre transazioni illegittime. È dunque importante tenersi sempre aggiornati sulle novità.
Bastano poche e basilari precauzioni per minimizzare il rischio, proteggere la propria attività e i propri clienti. Assicurarsi che il terminale sia in buona salute e non mostri anomalie protegge le finanze dell’impresa e, soprattutto, preserva la credibilità e l’affidabilità del proprio business agli occhi dei clienti.