L'aggiornamento di carte di pagamento massiccia ha risultati misti in Australia

Nonostante l'aggiornamento di anni dei sistemi di pagamento in Australia, i truffatori continuano a trarre profitto, lasciando un record discutibile per un vasto programma per dotare le carte di debito e di credito di nuove funzionalità di sicurezza.

Per diversi anni, l'Australia è stata in transizione alle carte di pagamento EMV (Europay, MasterCard, Visa), che hanno un microchip con funzionalità crittografiche avanzate progettate per scoraggiare le frodi. Le modifiche di sicurezza hanno lo scopo di ridurre l'uso della banda magnetica nera sul retro delle carte, che può essere copiata per creare copie contraffatte.

Il sistema EMV, sviluppato a metà degli anni '90, è stato distribuito in tutta Europa e in alcuni altri paesi. Il sistema è stato spinto da Visa e MasterCard in parte da minacce di nuove responsabilità fraudolente, definite "spostamento di responsabilità", per commercianti e processori di pagamento.

[Ulteriori letture: I migliori NAS per lo streaming multimediale e il backup]

Un'inchiesta di IDG News Service mostra che il passaggio a EMV in Australia - un paese con quattro grandi banche e una popolazione di 22 milioni - è stato lento e ha mancato le scadenze del settore autoimposte.

The la situazione potrebbe prefigurare difficoltà nell'adozione dell'EMV nel mercato americano molto più ampio, con una popolazione di oltre 300 milioni di persone e oltre 6000 istituzioni finanziarie. Mentre il passaggio a EMV in Australia ha portato a un calo di alcuni tipi di frodi, altri tipi sono aumentati, senza una chiara motivazione.

Segnalazione di frodi segnalate - Ma è stato

A giugno, l'Australian Payments Clearing Association (APCA), un ente di autoregolamentazione che gestisce le politiche di liquidazione tra istituti finanziari, ha annunciato un calo del 18% delle frodi di carte contraffatte nel 2011.

Le perdite da carte di debito e credito contraffatte sono diminuite da A $ 40,84 milioni (US $ 42 milioni) nel 2010 a $ 33,46 milioni nel 2011, ha detto APCA. Ma un esame più attento delle cifre, fornito ad APCA da banche e società di carte di credito, non presenta un risultato positivo così netto.

L'Australia ha un ambiente di pagamento complesso. Esistono carte di debito e di credito con e senza microchip EMV. Le cifre relative alle frodi inviate all'APCA comprendono carte di pagamento emesse all'interno dell'Australia e carte emesse all'estero e utilizzate nel paese.

Per arrivare al declino del 18%, APCA ha combinato il costo delle frodi contraffatte per le carte "schema" australiane nazionali, che portare il marchio di società come MasterCard e Visa, con quelle di carte di pagamento di schema emesse all'estero ma utilizzate in Australia.

Quest'ultima categoria ha visto un notevole calo delle frodi contraffatte, da $ 28 milioni nel 2010 a $ 17 milioni nel 2011. Ma la frode è esplosa su carte emesse in Australia, da $ 12,9 milioni nel 2010 a $ 16,4 milioni nel 2011, la cifra più alta da quando APCA ha iniziato a pubblicare statistiche sei anni fa.

I dati suggeriscono che gli australiani che utilizzano le carte schema nel proprio paese affrontano un livello più alto rischio di contraffazione, anche se quelle carte hanno il microchip EMV. L'ulteriore affermazione di APCA è che non sa se le carte emesse all'estero hanno solo la banda magnetica o contengono anche il chip EMV.

"Abbastanza chiaramente stanno facendo girare le cifre il meglio che possono", ha detto Stephen Wilson, CEO di The Lockstep Group, una smartcard e consulente di identità digitale con sede a Sydney. "I comunicati stampa sono esercizi di marketing".

La Federal Reserve Bank di Atlanta USA ha osservato in un rapporto del gennaio 2012 che il declino delle frodi dovuto al lancio di EMV in Australia è "più modesto rispetto al declino delle frodi contraffatte in altri chip" e-PIN mercati. "

CEO di APCA Chris Hamilton ammette che le cifre emesse dal suo gruppo non sono il risultato di uno studio scientifico. Le conclusioni sono in parte speculative basate sul feedback delle fonti che forniscono APCA con le statistiche. "Penso che sia una dichiarazione equa che non è molto chiaro", ha detto Hamilton.

L'APCA mantiene il declino di altri tipi di frodi può essere attribuito alla diffusione diffusa di dispositivi POS (chip point-of-sale) con chip.

Ad esempio, le frodi contraffatte sono diminuite significativamente sulle cosiddette carte di debito "proprietarie", che sono carte emesse da banche che utilizzano un sistema di pagamento gestito da una società denominata EFTPOS Payments Australia Limited (EPAL).

Le transazioni EFTPOS rappresentano il 51% di tutte le transazioni in Australia e l'80% delle transazioni con carte di debito, secondo il organizzazione. Ma quelle carte non hanno il chip EMV, il che rende le carte più vulnerabili alla contraffazione. EPAL sostiene di aver rafforzato la sicurezza delle carte di debito proprietarie, ma non ha fornito dettagli specifici.

Gli operatori ATM riluttanti a saltare

EPAL ha trattenuto il trasferimento delle sue carte verso l'EMV, ma pianifica nei prossimi due anni di iniziare a distribuire le carte. EMV è visto come un problema di "pulizia", ​​secondo un portavoce.

I rivenditori in Australia dovevano disporre di terminali di pagamento compatibili con EMV in aprile. Se non hanno questi terminali, i rivenditori possono essere ritenuti responsabili delle perdite dovute a frodi, secondo i termini di conformità.

Ma la flotta ATM australiana, che comprende più di 30.000 macchine in tutto il paese, non è stata aggiornata così rapidamente.

Il montaggio di un ATM per EMV, che può comportare aggiornamenti hardware e software, non è banale. Realizzare un sistema EMV conforme allo standard ATM richiede manodopera intensiva, ha dichiarato Issa Keshek, specializzata in conformità con ATM EMV per la società Clear2Pay e che ha collaborato con banche australiane. Le macchine devono essere sottoposte a migliaia di test per garantire che funzionino con diversi tipi di carte.

Nonostante i lunghi anni di upgrade dei sistemi di pagamento australiani, i truffatori continuano a trarre profitto, lasciando un record discutibile per un vasto programma di equipaggiamento di carte di debito, carte di credito e bancomat con nuove funzionalità di sicurezza.

Di conseguenza, le banche australiane si sono bloccate e hanno lasciato scadere le scadenze autoimposte. I bancomat dovevano essere denunciati EMV entro ottobre 2013. La scadenza è stata quindi spostata in avanti a giugno 2014, ma quella data non è ancora stata fissata nella pietra, lasciando ulteriori opportunità di frode, ha detto Keshek.

"Per natura, meno il paese sicuro diventa un bersaglio ", ha detto Keshek. "Gli aggressori iniziano a guardare paesi abbastanza grandi che non hanno la stessa infrastruttura sicura, l'Australia è uno di questi."

Commonwealth Bank, che gestisce più di 4000 sportelli automatici in Australia, ha detto che nel novembre 2011 sarebbe stato il primo a distribuire sportelli bancomat conformi allo standard EMV. NAB prevede che la sua flotta ATM sarà completamente abilitata per EMV entro la fine di giugno 2013, mentre ANZ ha dichiarato che i suoi piani erano commercialmente sensibili, ma che l'aggiornamento era una "priorità assoluta". WestPac ha affermato che la maggior parte dei suoi bancomat è compatibile con EMV, ma questo non significa necessariamente che le macchine siano ancora conformi.

Circa la metà dei 30.000 bancomat in Australia sono gestiti da società non bancarie. I più grandi sono i primi dati e clienti ATM. I clienti ATM hanno rifiutato di commentare, mentre First Data ha rifiutato di rilasciare un'intervista ma ha detto che stava lavorando per la piena conformità EMV.

In genere, gli sportelli bancari non bancari "non saranno costruiti per gli stessi standard di sicurezza degli sportelli bancari bancari perché sono dispositivi più economici ", ha affermato Iain Swaine, principale consulente per la prevenzione della criminalità informatica presso Greenway Solutions, una società di consulenza con sede nel Regno Unito. Gli sportelli bancari non bancari devono rispettare gli stessi standard di sicurezza richiesti da Visa e MasterCard, ma Swaine ha detto che i dispositivi possono non è fisicamente sicuro quanto i bancomat delle banche.

"Questo è il motivo per cui ci sono più probabilità che gli skimmer di carte lavorino su di loro e che gli attaccanti possano entrare fisicamente nei dispositivi per mettere degli skimmer interni o per intercettare la connessione del modem dal indietro ", ha detto Swaine.

Dal momento che non tutte le carte di pagamento hanno il chip EMV in Australia, alcune banche potrebbero non aver disattivato il cosiddetto meccanismo di" fallback "che consente ad un ATM di leggere i dati dalla banda magnetica della scheda. In alcuni casi, i bancomat leggeranno anche i dati della banda magnetica se il chip appare difettoso.

Ciò apre una finestra di opportunità per i truffatori, che possono trarre vantaggio dalla complessità, testando gli sportelli automatici per vedere se i dispositivi pagheranno.

Se la carta bancomat di un cliente è stata scremata e viene creata una carta contraffatta, "non c'è modo per una banca dire se viene utilizzato un magstripe clonato o un vero magstripe ", ha affermato Steven J. Murdoch, ricercatore nel Security Group del laboratorio informatico dell'Università di Cambridge che ha studiato approfonditamente l'EMV. "I documenti bancari dovrebbero essere in grado di distinguere tra chip e magstripe."

La situazione è una cattiva notizia per i clienti, che possono assumersi la responsabilità se la loro chip card viene utilizzata in modo fraudolento. Se la striscia magnetica di una chipcard è clonata e lo sportello automatico di una banca è configurato per leggere solo la banda magnetica, può essere difficile per un cliente dimostrare di non aver eseguito una transazione sospetta.

"La banca prende anche misure più aggressive per prova a dimostrare che hai fatto qualcosa di sbagliato e che è il tuo malcostume ", ha detto Keshek. "Sei quasi colpevole prima che sia dimostrato innocente."

Le banche possono usare altri mezzi per rilevare le carte contraffatte. Ad esempio, se una carta viene utilizzata a Sydney e un'ora dopo utilizzata per prelevare denaro in Romania, è un buon segno che un truffatore potrebbe essere al lavoro.

Ma i blocchi di geolocalizzazione hanno i loro limiti, in particolare quando una transazione fraudolenta si svolge vicino dove vive il titolare di una carta. "È molto difficile prendere queste transazioni perché i sistemi di frode non sono abbastanza stringenti", ha affermato Avivah Litan, esperto di rilevamento di frodi e analista di Gartner. "Altrimenti, iniziano a disturbare i buoni clienti."

Tuttavia, le banche stanno sviluppando sistemi migliori per catturare le frodi, ha detto Swaine. Il sistema finanziario globale che consente pagamenti di carte in tutto il mondo è così tecnico, Wilson ha dichiarato: "È incredibile che funzioni sempre".

Invia suggerimenti e commenti a [email protected]