BRUXELLES – Europei, attenti alle vostre carte di credito negli Usa. L’allarme arriva da un rapporto appena pubblicato dall’Europol, l’agenzia Ue specializzata nel crimine transfrontaliero. Nel documento, intitolato «Payment Card Fraud in the European Union», si segnala un massiccio “assalto” alle carte europee a causa anzitutto di diversi o insufficienti standard di sicurezza.
«L’Ue – si legge – è sempre più esposta alla minaccia di transazioni illegali attuate oltre Oceano». Nel complesso, sono in gioco 1,5 miliardi di euro l’anno di “profitti” di organizzazioni criminali «ben strutturale e globalmente attive». Organizzazioni che agiscono sapendo che «il rischio è basso e il profitto molto alto». Non a caso, riferisce l’Europol, la compravendita di dati di carte di credito clonate figura al primo posto nei siti Internet criminali. Proventi poi investiti efficientemente in alta tecnologia sempre più sofisticata, dietro la quale le autorità giudiziarie e inquirenti dei vari stati arrancano.
L’Ue è di per sé un “mercato” ghiottissimo, basti dire che nel 2011 (dati Europol) le transazioni con carte di pagamento hanno toccato la cifra di 726,9 milioni di unità, per un totale di oltre 3.000 miliardi di euro. Di fronte al dilagare degli attacchi alle carte di credito, certo, le maggiori società emittenti in Europa hanno diffuso nuovi e migliori standard di sicurezza, a cominciare dal microchip e dall’obbligo di pin (in gergo “standard EMV”, dalle iniziali di Europay International, divenuta poi MasterCard Europe, MasterCard e Visa) che via via sta sostituendo la vecchia “strisciata” della banda magnetica, molto meno sicura. Questo ha ridotto drasticamente i rischi – almeno nei pagamenti “face to face” (negozi, alberghi, ristoranti, bancomat etc.) nell’Ue.
Il crimine, però, ha trovato prontamente un’alternativa: «I network criminali – leggiamo ancora – hanno preso di mira i punti deboli del sistema e orientato le loro attività a terminal fuori dall’Ue che non rispettano gli standard EMV». Ecco perché nel 2011 la quasi totalità di frodi riguardanti le carte di credito fisiche Ue, anzitutto con il classico “skimming” (apparecchiature nascoste in bancomat e in terminali di pagamento che “clonano” i dati personali contenuti nella banda magnetica), spiega il rapporto Europol, «ha avuto luogo fuori dall’Ue». In testa gli Usa, seguiti poi, nell’ordine, da Repubblica Dominicana, Colombia, Russia, Brasile e Messico.
«La soluzione definitiva – commenta l’Europol nel rapporto – sarebbe attuare gli standard EMV a livello globale, costringendo dunque anche gli operatori Usa ad adeguarsi». Europol suggerisce come misura temporanea il cosiddetto “GeoBlocking”: e cioè impedire transazioni extra-Ue con carte di credito europee, a meno di una previa ed esplicita attivazione effettuata dal cliente prima di ogni viaggio. Un problema, però, perché ridurrebbe il primo vantaggio delle carte di credito: essere utilizzate per pagamenti in tutto il mondo. Secondo un sondaggio riportato da Europol, comunque, il 60% dei clienti europei sarebbe favorevole.
Se dilaga fuori Ue l’attacco alle carte fisiche, figuriamoci poi quello ai pagamenti online (che i tecnici chiamano “Card-not-present” – CNP – e cioè quando non bisogna esibire fisicamente la carta visto che siamo nel Ciberspazio). Secondo Europol, nel 2011 il 60% delle perdite totali legate a frodi contro carte di credito, pari a 900 milioni di euro, sono state causate proprio in relazioni a pagamenti CNP. «Finora – recita il rapporto – la stragrande maggioranza degli abusi di numeri di carta di credito Ue è stata provocata da violazioni di banche dati situate negli Usa».
Com’è purtroppo spesso il caso contro il grande crimine transazionale, il classico “asino” casca sul fronte della cooperazione tra i vari stati membri Ue e dei vari attori coinvolti. «Sembra – denuncia il rapporto – che la risposta Ue al problema delle frodi sulle carte di credito non sia armonizzata o pienamente sostenuta da tutti gli attori, società emittenti di carte di credito, centri di elaborazione dati, inquirenti e autorità giudiziarie».
Un problema, secondo Europol, sono le stesse società emittenti e soprattutto le banche, che pure sono chiamate a rispondere in prima persona di danni ai propri clienti per questo tipo di frodi. «L’industria privata – avverte il documento – si concentra sui prodotti e servizi che portano profitto. Tali società possono accettare un certo livello di frode senza fare alcuno sforzo di identificare gli individui che ne sono responsabili». E così, lamenta Europol, i network criminali raramente sono smantellate, «molti individui tornano attivi dopo pochi mesi dall’arresto».
Un fenomeno che Europol definisce «pericoloso» e agevolato dal fatto che «l’Ue manca di normative adeguate per la segnalazione alle polizie di violazioni di dati». Non basta, recita il documento, «i criminali traggono profitto non solo dalla carenza di standard globali di sicurezza, ma anche dalle restrizioni legali che colpiscono la cooperazione internazionale di polizia». A cominciare dalla stessa Europol che, per statuto, non è autorizzata a cooperare con polizie extra-Ue. L’agenzia chiede invece un «mandato speciale» proprio per la cooperazione internazionale e smantellare le organizzazioni criminali attive sulla frodi contro le carte di pagamento. Non c’è tempo da perdere perché i network delle frodi stanno scoprendo nuove tecnologie per aggirare anche i sofisticati sistemi anti-skimming dei bancomat e dei terminali di pagamenti del Vecchio Continente.
Risultato: dal 2010 crescono gli assalti anche in Europa. Allo stesso modo, online, «dal 2010 si registra un aumento di violazioni di dati finanziari contro società e centri di elaborazione dati relative a carte di credito basati nell’Ue». Chissà se Europol riuscirà a farsi ascoltare dai 27 stati membri, ognuno gelosissimo dei propri apparati. Intanto, occhio all’estratto conto.