Secure Element: proteggere i pagamenti contactless su smartphone

21 Mag 2018

Gli smartphone moderni uniscono tante funzionalità in un solo dispositivo: telefono, fotocamera, lettore musicale, abbonamento ai trasporti pubblici e anche portafoglio. Ovviamente, tutto ciò può far sorgere delle perplessità circa la sicurezza dei dati custoditi nei nostri telefoni. Scopriamo in che modo gli smartphone proteggono le informazioni più preziose dell’utente e come funziona il principale meccanismo di sicurezza, il piccolo chip Secure Element.

Cos’è Secure Element

Un chip speciale per immagazzinare i dati di pagamento, che dalle carte di credito contactless arriva agli smartphone. Potreste aver già sentito di parlare dello standard EMV (Europay, MasterCard, Visa), al momento il più affidabile. Grazie a tale standard, i vostri dati di pagamento sono custoditi in un microchip protetto, virtualmente impossibile da hackerare. E le carte che utilizzano lo standard EMV sono comunemente chiamate “carte chip”.

Secure Element è praticamente lo stesso chip usato nelle carte di credito ma applicato agli smartphone. Ha un sistema operativo separato (anche le carte di credito hanno il proprio sistema operativo per avviare i propri programmi). Tutti i dati sono immagazzinati in questo chip, che non si può leggere o copiare neanche attraverso il sistema operativo di uno smartphone o di un tablet, e tantomeno da nessuna app installata su questi dispositivi. Secure Element funziona solo con app speciali e di fiducia, come alcuni portafogli virtuali selezionati.

Il chip comunica direttamente con i terminali di pagamento, per cui se lo smartphone è stato infettato da un malware, gli hacker comunque non possono intercettare questi dati, che non sono trasferiti al sistema operativo principale ma rimangono all’interno del sistema di Secure Element.

Portafoglio elettronico: le origini

L’idea di unire telefono e carta di credito risale a parecchio tempo fa. I primi modelli con Secure Element sono stati i cosiddetti “feature phone“,  che però non hanno avuto una grande popolarità. Un’azienda aveva persino inventato un metodo per imitare la banda magnetica delle carte di credito. Tuttavia, i telefoni sono diventati diretta concorrenza delle carte di credito di plastica a partire dal 2014, con il lancio di Apple Pay.

Il successo di Apple Pay ha poi destato l’interesse della concorrenza, e nel 2015 Samsung ha iniziato a offrire un servizio simile. Entrambi i sistemi impiegano necessariamente Secure Element (per questo i vecchi modelli di iPhone o i modelli Samsung di bassa gamma non supportano i pagamento contactless).

Per cercare di migliorare le funzionalità dei propri dispositivi, la compagnia coreana ha anche acquistato LoopPay, l’azienda che aveva sviluppato la tecnologia che imitava la banda magnetica delle carte di credito. Alcuni mesi dopo, Google ha lanciato Android Pay (che da inizio 2018 si chiama Google Pay).

Secure Element: integrato, esterno o su cloud

Non è necessario che Secure Element sia integrato nello smartphone, può essere un chip rimovibile (ad esempio in formato scheda di memoria). Alcuni operatori producono schede SIM in grado di custodire i dati che riguardano la carta di credito o l’abbonamento ai mezzi pubblici collegati allo smartphone. Ma si tratta di opzioni che non hanno avuto un grande successo.

Google, a differenza di Apple o Samsung, produce soprattutto software per dispositivi mobili e non i dispositivi in sé; per questo, il sistema di Google ha affrontato numerose difficoltà fin dal suo lancio. All’inizio, la maggior parte dei dispositivi Android non disponeva del chip Secure Element: la compagnia non poteva obbligare le case produttrici indipendenti a installare il chip di sicurezza oppure obbligare gli utenti ad acquistare una nuova scheda. Allo stesso tempo, però, non era possibile implementare i pagamenti contactless senza Secure Element.

All’inizio, Google per ovviare al problema ha deciso di installare la propria app wallet sulle schede SIM con Secure Element; tuttavia, gli operatori americani leader del mercato mobile (Verizon, AT &T e T-Mobile) si sono rifiutati di cooperare con Google e hanno invece spinto verso la propria app, che all’inizio si chiamava Isis Wallet ma che è poi passata a chiamarsi Softcard per evidenti problemi politici. Il risultato è stato poi che Google ha acquistato il sistema per i propri brevetti.

In ogni caso, prima che accadesse tutto ciò, l’azienda ha trovato una soluzione persino più elegante. Anche quando i telefoni Android non avessero installato fisicamente il chip di sicurezza, se ne potevano creare di virtuali su cloud. E tale tecnologia si chiama Host Card Emulation (HCE).

Questo sistema su cloud è diverso dai portafogli elettronici con il chip Secure Element integrato e per una ragione: con HCE è necessario che il terminale di pagamento comunichi con il sistema operativo del dispositivo. Inoltre, il sistema operativo deve interagire con Secure Element su cloud (dove sono custoditi i dati di pagamento) e con app di fiducia.

Gli esperti sostengono che usare HCE è tecnicamente meno sicuro rispetto a Secure Element: più si scambiano dati via Internet, più sarà facile intercettarli. In ogni caso, HCE comprende meccanismi di protezione aggiuntivi che servono per far fronte a questa caratteristica che lo rende più vulnerabile (ad esempio, si utilizzano chiavi di pagamento temporanee e usa e getta).

Continua…

Adesso sapete qualcosa di più su questa specie di “scatola nera” del vostro smartphone dove si trovano i dati di pagamento. Nel prossimo post vedremo come i dispositivi Android e iOS utilizzano i sistemi di pagamento contactless che si basano su Secure Element. E spiegheremo perché non si possono semplicemente salvare i dati bancari sullo smartphone senza coinvolgere Apple Pay, Google Pay o Samsung Pay.