Sono considerate uno dei più importanti strumenti di emancipazione delle economie in via di sviluppo, perché disintermediano imprese, soggetti pubblici e privati cittadini dai grandi circuiti della finanza internazionale, agevolando i processi di pagamento e money transfer anche in aree poco progredite dal punto di vista commerciale e infrastrutturale. Ma le applicazioni di mobile payment rappresentano anche un potenziale rischio per i milioni di utenti che le usano inconsapevoli delle falle presenti nei sistemi di sicurezza sottostanti.
È stata una ricerca dell’Università della Florida (i cui risultati sono stati presentati oggi alla 24esima edizione dell’Usenix Security Symposium di Washington) a gettare luce su un tema sempre sottovalutato nel generale entusiasmo suscitato da queste piattaforme, che in alcuni casi movimentano oltre il 30% del Pil di Paesi come il Kenya. Ebbene: su sette applicazioni (attive nei mercati di Brasile, India, Indonesia, Tailandia e Filippine) prese in considerazione, sei risultano affette da pesanti vulnerabilità, che esporrebbero gli utenti a frodi e furti di dati sensibili. “Ed è peggio di quanto ci aspettassimo”, conferma Patrick Traynor, autore dello studio e docente di Informatica presso l’Università americana.
Per esempio si è scoperto che MoneyOnMobile, applicazione indiana che dichiara di codificare i dati attraverso processi di crittografia, esegue effettivamente l’operazione, ma solo dopo averli inviati a un server sprovvisto di adeguati firewall. Un portavoce di My Mobile Payments, la società che realizza la app, ha dichiarato che è già disponibile un nuovo software, Mom Wallet, che migliora con soluzioni ad hoc l’attuale proposta, il cui ritiro dal mercato comincerà il 15 agosto .
Non hanno invece voluto commentare i responsabili di Airtel Money (altra applicazione molto usata nel Subcontinente), che secondo il gruppo di ricerca di Traynor utilizza chiavi di crittografia estremamente semplici, basati su sequenze di otto cifre e lettere a cui segue poi il numero di telefono dell’utente, un metodo facilmente eludibile da un hacker professionista. Problema simili affliggono Oxigen Wallet e GCash, piattaforma con grande seguito nelle Filippine.
I ricercatori aggiungono poi che andando a leggere i termini di servizio di queste app, il più delle volte si scopre che, a differenza di quanto accade nel mondo occidentale, la responsabilità per eventuali frodi o furti è ascrivibile a chi si iscrive alla piattaforma, che paga in prima persona le conseguenze di eventuali disservizi o falle nella sicurezza. “I rischi finanziari per l’utente finale sono significativi”, hanno detto gli autori dell’indagine, “e stiamo attraversando un momento convulso perché molti nuovi entranti stanno cercando di imporre i propri standard man mano che gli appartenenti alle classi sociali più vulnerabili provano ad accedere a questi nuovi servizi”.
Per fortuna, sembra ci sia tempo a sufficienza per correggere i problemi. Gli smartphone non sono ancora così diffusi da generare l’interesse di attaccanti e cybercriminali, mentre conoscere le falle dà – specialmente alle associazioni che puntano su queste applicazioni per favorire uno sviluppo sostenibile delle popolazioni disagiate – modo di intervenire, educare e reagire. Del resto, al di là delle potenziali minacce evidenziate dallo studio dell’Università della Florida, “non ci sono state segnalazioni di furti o frodi all’interno dei circuiti dei mobile banking in questione”, spiega Rebecca Mann, che lavora per i servizi finanziari all’interno del Poor program attivato dalla Gates Foundation. “Ma per interrompere il ciclo della povertà”, dice Mann, “è necessario che in futuro questi servizi siano sempre più sicuri”.
