Di recente, durante la conferenza No Hat a Bergamo, il ricercatore Jacopo Jannone ha messo in luce alcune vulnerabilità legate ai nuovi modelli di POS, dispositivi utilizzati per i pagamenti digitali. Negli ultimi anni, i pagamenti elettronici sono diventati sempre più comuni, favoriti dalla possibilità di utilizzare carte fisiche, smartphone e smartwatch per effettuare transazioni. Questo sistema, comodo per i consumatori e utile nella lotta all’evasione fiscale, nasconde però alcune insidie, soprattutto con i nuovi dispositivi.
I POS di ultima generazione, a differenza di quelli più datati, sono infatti molto simili a smartphone, con un sistema operativo Android e funzionalità avanzate come il collegamento tramite USB. Questa complessità, pur rendendo il dispositivo più versatile, aumenta anche le possibilità di attacco da parte di eventuali criminali informatici. In passato, gli attacchi ai POS erano più artigianali e meno sofisticati, ma ora le nuove tecnologie hanno ampliato la cosiddetta “superficie di attacco“, rendendo più facile per gli hacker compromettere il sistema e sottrarre informazioni sensibili come numero di carta, data di scadenza e persino il PIN.
Nonostante queste potenziali minacce, Jannone ha chiarito che, al momento, le vulnerabilità individuate non sono facilmente sfruttabili da remoto. Per compromettere un POS di nuova generazione, sarebbe necessario avere accesso fisico al dispositivo, per esempio utilizzando la porta USB, e modificare il software direttamente. In altre parole, la possibilità di hackerare questi terminali a distanza è piuttosto remota.
Un altro punto importante riguarda la sicurezza delle reti. Anche se i nuovi POS possono teoricamente catturare informazioni delicate come il PIN, un malintenzionato dovrebbe essere connesso alla stessa rete Wi-Fi del dispositivo per portare a termine il suo attacco.
Per i clienti, quindi, la sicurezza è un tema complesso, ma c’è un consiglio pratico: è preferibile utilizzare lo smartphone per i pagamenti elettronici. A differenza delle carte fisiche, infatti, i dati condivisi dal telefono durante la transazione non sono quelli reali, ma vengono generati appositamente dalle piattaforme per proteggere la privacy e ridurre il rischio di frodi.