Perché Apple Pay è il metodo più sicuro per pagare nei negozi e online
Scarse probabilità di clonazione, protezione con l’impronta digitale e nessuna informazione diffusa in giro. Pagare con il cellulare è meglio
Quando Apple Pay è stato lanciato nel 2014 negli USA molti si preoccupavano di dove sarebbero finite le informazioni personali degli utenti. A tre anni dal debutto, possiamo tranquillamente dire che non esiste, per ora, metodo più sicuro per pagare nei negozi e online.
Ora che Apple Pay ci riguarda da vicino, vista la fresca disponibilità nel nostro paese, conviene soffermarsi sulle modalità con cui avvengono gli acquisti, da quando il venditore emette lo scontrino fino alla conclusione della transazione, tramite iPhone, Apple Watch, iPad e persino MacBook.
Sappiamo che Apple Pay è utilizzabile da iPhone 6, Watch prima edizione, iPad con Touch ID e modelli seguenti, anche Mac con e senza Touch Bar. La prima forma di sicurezza è dovuta alla necessità di autenticarsi, per concludere la spesa, tramite il lettore di impronte digitali, dopo aver registrato almeno un dito tramite il menu interno dei vari dispositivi.
Il Touch ID su MacBook Pro 13 di nuova generazione è sostituito dalla Touch Bar, che in casi specifici si trasforma per la scansione del polpastrello. Non è possibile usare nessun’altra metodologia di validazione: nessun PIN, nessuna password, solo la cosiddetta scansione biometrica, che probabilmente sul prossimo iPhone riguarderà anche la lettura del volto, superiore a quella su Galaxy S8.
Il Mac vale ovviamente quando si acquista su internet e solo tramite il browser Safari; portarsi in giro il notebook da avvicinare al Pos non sarebbe stato così utile.
Token univoco per l’acquisto
Di solito, con le normali carte di pagamento, l’istituto d’appoggio (banca o posta) invia all’esercente le informazioni sul conto ad ogni transazione, subito dopo l'emissione dello scontrino. Ve ne accorgete quando ritirate il pezzo di carta che riporta gli estremi della vendita, dove è indicato un codice di riferimento della tessera utilizzata (non il numero vero e proprio). Quella stringa, almeno in teoria, potrebbe essere sfruttata da terzi per compiere qualche malefatta, prima di tutto clonazioni. La duplicazione verrebbe semplificata dalla presenza del supporto fisico della carta in sé, un oggetto da cui partire per crearne uno nuovo.
Così funziona #ApplePay in 3 secondi #NFC pic.twitter.com/dyW39WTANv
— Antonino Caffo (@Connessioni) 18 maggio 2017
La sicurezza dell’account
Apple Pay agisce diversamente: quello che passa dallo smartphone al negozio, tramite il Pos, è un codice unico generato solo quando inviato dal dispositivo validato. Facciamo un esempio: Mario ha registrato sul suo iPhone una nuova carta tramite l'app Wallet per Apple Pay. Tra conto e telefonino si crea un numero identificativo che l’istituto di credito riconosce come valido, abilitandolo agli acquisti via contactless ogni volta che viene richiesto.
Stesso account, dispositivi diversi
Qualora un’altra soggetto venga in possesso del bancomat e decida di aggiungerlo al proprio Apple Pay non potrebbe proseguire nella finalizzazione della spesa perché il Pos non riceverebbe risposta positiva dall’ente principale. È per questo che se una persona decide di associare una stessa carta a più di un dispositivo, ad esempio iPhone e iPad, può farlo senza problemi con lo stesso ID Apple. Nel caso di una co-intestazione non sorgono limitazioni perché ogni tessera è portatrice di una matricola diversa e quindi abbinabile a un altro strumento, con un altro account Apple.
Il Secure Enclave
Si ma se fosse la stessa Apple a leggere i dati degli utenti e, volontariamente o meno, a concederli ad altri, tipo le agenzie di sicurezza o a renderli visibili agli hacker? Probabilità remota, molto remota, da quando esiste il Secure Enclave. Si tratta di una porzione dell’iPhone separata dall’hardware centrale, scheda e memoria. Qui sono conservate le informazioni più sensibili dei possessori di iPhone e iPad, crittografate e protette dalla sicurezza scelta dagli stessi navigatori. Per questo i seriali di carte e bancomat, presenti sul telefono, restano nascosti anche a seguito di un’intrusione, senza possibilità di furto e replica, a differenza di ciò che può accadere con le tessere tradizionali, ancora vittime di truffe e skimmer.