Quando si utilizzano regolarmente le carte di credito e di debito, siano esse prepagate o meno, il timore che possano essere clonate o utilizzate senza le necessarie autorizzazioni è sempre presente. Tuttavia, le moderne carte dispongono di una serie di misure di sicurezza sempre più avanzate tra cui i così detti codici di sicurezza.
Cosa sono i codici di sicurezza?
I codici di sicurezza sono numeri segreti che caratterizzano una determinata carta e che vengono richiesti per portare a termine operazioni effettuate con la carta stessa. Dal PIN al 3D code, la protezione di una carta è garantita da questi codici che solo il titolare della carta dovrebbe conoscere, proprio per garantirne la massima sicurezza nell’uso. In linea generale, ogni carta può essere caratterizzata da uno o più codici di sicurezza sia a seconda del tipo di carta (di credito, di debito, prepagata eccetera) sia a seconda dell’uso che si fa della carta (pagamento tramite POS, in internet, prelievo…).
Il Codice PIN
Tra i codici di sicurezza sicuramente il PIN (Personal Identification Number) è il più conosciuto, perché caratteristico di tutte le carte di credito e debito, sia bancarie che postali. Costituito da una serie di cinque numeri, è il codice maggiormente richiesto, in particolare per tutte le operazioni che richiedono pagamento tramite POS o nel caso di prelievo allo sportello. Il codice PIN delle carte è strettamente connesso alla carta, ossia non viene definito dall’utente: questo può portare inizialmente problemi nella memorizzazione, essendo numeri che difficilmente possono essere ricondotti a date o caratteri personali dell’utente stesso. Tuttavia, essendo di sole cinque cifre, diventa fondamentale impararlo a memoria e assolutamente non è consigliato portarlo con sé all’interno dello stesso portafogli in cui si tiene anche la carta alla quale il PIN risulta associato.
L’importanza della separazione tra carta e PIN è tale che essi vengono inviati non solo in buste differenti, ma anche in tempi differenti, ossia a distanza di qualche giorno, proprio per evitare che, in caso di furto, possano finire entrambi nelle mani sbagliate.
Nonostante la sua importanza ed utilizzo, non sempre è necessario digitare il PIN prima di effettuare un pagamento. In particolare, il codice PIN non è richiesto quando si effettuano pagamenti online: per questo tipo di pagamenti, infatti, vengono regolarmente richiesti altri codici di sicurezza, come ad esempio il codice identificativo.
Il Codice identificativo
Il codice identificativo è rappresentato da una lunga fila di numeri che si trova sulla facciata della carta di credito e che rappresenta il numero che, appunto, identifica la carta. Proprio per questo motivo viene anche spesso definito, impropriamente, ‘numero di carta‘.
Il codice è caratterizzato da 16 cifre che permettono di identificare non solo la carta, ma anche tutte le informazioni relative al titolare della stessa. Il codice identificativo viene utilizzato esclusivamente quando si effettuano pagamenti via internet, sia di beni materiali che di servizi. Quando viene restituita la ricevuta, quasi sempre, il codice identificativo non viene riportato per intero, ma cifrando le ultime quattro cifre e sostituendole con asterischi per una maggiore sicurezza e garanzia della privacy. Il motivo di tale attenzione va spiegato non solo considerando la protezione del numero di carta a garanzia di eventuali furti o clonazioni, ma soprattutto perché questo codice non nasce da una generazione casuale di numeri quanto piuttosto da un ordine ben preciso, che identifica la banca che ha emesso la carta, il circuito di pagamento e il conto corrente cui è legata la carta. Solo l’ultima cifra viene prodotta in maniera casuale, tramite algoritmi specifici.
Il CVV2 (o CVC2)
Il CVV2 è un codice relativamente recente: chi fa uso di carte di credito da molto tempo sa bene che l’ingresso di questo codice di sicurezza risale a quindici-venti anni fa, a seconda del tipo di carta. Si tratta del numero a tre cifre che si trova stampato sulla parte posteriore della carta, solitamente subito sopra allo spazio in cui deve essere apposta la firma. Va specificato che questo codice di sicurezza non è presente su tutte le carte e, in particolare, esso non si trova sulle carte del circuito Maestro mentre è sempre presente sulle carte, sia quelle di credito che quelle prepagate, di circuiti internazionali e anche sulle carte Postepay. Tuttavia, anche se esso è sempre caratterizzato da tre cifre poste nella parte posteriore della carta, può essere denominato in maniera differente a seconda del circuito di pagamento. Il CVV2 (Card Verification Value 2) per le carte del circuito Mastercard viene infatti denominato CVC2 (Card Verification Code 2).
Bisogna sempre ricordare che quando si decide di effettuare pagamenti online, le uniche carte accettate sono quelle che presentano il CVV2 (o il CVC2) mentre i pagamenti con bancomat semplici, ossia che non riportano tale codice sulla parte posteriore della carta, non saranno accettati.
Come per il codice identificativo, anche il CVV2/CVC2 viene utilizzato esclusivamente nei pagamenti online, in particolare viene richiesto, dopo l’inserimento del codice identificativo, a conferma della reale proprietà della carta. Un eventuale tentativo di clonazione, infatti, non può produrre anche la clonazione del secondo codice di sicurezza: proprio per questo i due codici, stampati rispettivamente sulla facciata anteriore e su quella posteriore della carta, vengono sempre richiesti insieme. Un errato inserimento dei due porta all’interruzione dell’operazione di pagamento.
Come per il codice di identificazione, anche il CVV2/CVC2 non viene richiesto per operazioni ‘fisiche’ ossia quelle che non vengono effettuate online, ma direttamente ad uno sportello o tramite POS.
Il codice 3D Secure
Nonostante il PIN, il codice identificativo e il codice CVV2/CVC2, molte carte di credito presentano un ulteriore sistema di sicurezza, il codice 3D Secure (o 3D Secure Code). Si tratta di un codice molto simile al codice PIN, anche esso creato per garantire una maggiore sicurezza durante le transazioni online. Tuttavia, a differenza del codice identificativo e del CVV2/CVC2 il 3D Secure non è attivo su tutti i tipi di carte di credito perché non tutti gli istituti bancari fanno uso di questo tipo di codifica di sicurezza. D’altro canto, proprio perché questo codice non viene utilizzato da tutte le banche, anche da parte dei siti non vi è un’elevata richiesta, ossia i siti di e-commerce che lo richiedono sono ancora una minoranza. Un esempio molto comune di codice 3D Secure è quello Verified by Visa, che garantisce un sistema di pagamento altamente riservato e sicuro proprio. Tuttavia, come già accennato, il 3D Secure non è un codice utilizzato da tutte le banche né da tutti i siti per cui presenta lo svantaggio di una sicurezza limitata per un utilizzo non totale.
Non solo codici: gli altri aspetti della sicurezza delle carte di credito/debito
Nonostante la sicurezza delle carte di credito e di debito, prepagate o no, si misuri soprattutto in termini di codici di sicurezza di ultima generazione, non bisogna tuttavia dimenticare il primo livello di sicurezza di una carta, dato dalla banda magnetica. Le moderne carte di credito/debito non presentano più la banda magnetica o non solo quella, ma sono caratterizzate da un microchip. Sia la banda magnetica che, ancora di più il microchip, permettono la memorizzazione di dati e, quindi, il riconoscimento della carta stessa.
Una classica banda magnetica è caratterizzata da un’apparente struttura compatta ma, in realtà, essa è composta da tre differenti tracce che si susseguono, senza soluzione di continuità, verticalmente. La prima traccia, (quella superiore), la seconda (quella intermedia) e la terza (quella inferiore), presentano caratteristiche e codici differenti non solo dal punto di vista numerico e, quindi, di riconoscimento, ma presentano anche una differente densità di codifica. Le caratteristiche delle tre tracce sono, infatti, di 210 bpi (bit per inch) e settantanove caratteri la prima, 75 bpi e quaranta caratteri la seconda e 210 bpi e centosette caratteri la terza. Va inoltre specificato che, mentre i caratteri che vengono utilizzati per la prima traccia sono di tipo alfa-numerico, quelli per la seconda e terza traccia sono solo numerici.
Nonostante la presenza delle tre tracce, nella maggior parte dei casi il riconoscimento non avviene tramite lettura di tutte e tre i valori: nel caso di uso della carta nei POS, ad esempio, solo i valori della seconda traccia vengono utilizzati per garantire il riconoscimento. In questa traccia, infatti, sono riportati caratteri speciali, quali il così detto start sentinel che caratterizza l’inizio della sequenza e il PAN (acronimo per Primary Account Number) che riporta, per intero, il numero della carta e quindi è caratterizzato da una sequenza di sedici cifre. Dopo il PAN è presente un carattere che funge da separatore di campo, tra il numero di carta e la sequenza successiva, che riporta la data di scadenza della carta. Ancora, il riconoscimento del tipo di carta, ossia di credito o di debito, avviene tramite un ulteriore codice, detto codice di servizio e caratterizzato da tre cifre: 101 per identificare le carte di credito e 121 per identificare, invece, le carte di debito. Una successiva sequenza di numeri descrive, invece, le informazioni relative alla banca che ha emesso la carta: si tratta di numeri derivanti da una crittografia realizzata da un algoritmo particolare, specifico e differente per ogni banca. Infine, due cifre finali definiscono l’end sentinel, che indica il termine della sequenza ed un codice di controllo.
Inutile sottolineare che il funzionamento di un chip (o microchip) è molto più complesso. I dati memorizzati nel chip, infatti, sono cifrati con algoritmi caratterizzati da elevata sicurezza, ossia inviolabili. Oggi, quasi tutte le banche emettono carte dotate di chip, il cui uso resta identico a quello precedente se non per il fatto che i POS autorizzati alla lettura del chip effettuano tale lettura inserendo la carta all’interno di una fessura e non effettuando la classica ‘strisciata’ sulla banda magnetica.