Indice
C’è un punto in cui la percezione di sicurezza si incrina, ed è esattamente lì che si inserisce l’ultimo caso che sta facendo discutere il mondo tech.
Un video pubblicato dal canale YouTube Veritasium, con la partecipazione dello youtuber Marques Brownlee, ha riportato sotto i riflettori una vulnerabilità già nota ma mai così visivamente convincente: la possibilità di avviare transazioni tramite Apple Pay anche con iPhone bloccato.
L’inganno passa dall’NFC: quando il telefono “crede” di pagare un autobus
Il cuore del problema è tecnologico ma le implicazioni sono estremamente concrete. Il test mostra un trasferimento di circa 10mila dollari effettuato senza sbloccare il dispositivo, sfruttando una combinazione di hardware dedicato e una falla nel sistema di comunicazione NFC.
Non è una truffa alla portata di chiunque, ma il fatto stesso che sia possibile ha riaperto una discussione che sembrava archiviata.
Il meccanismo sfrutta il sistema di pagamento contactless, basato sulla tecnologia Near Field Communication. In condizioni normali, per autorizzare un pagamento serve il riconoscimento biometrico o un codice. Ma esiste un’eccezione: la modalità Express Transit, pensata per rendere immediati i pagamenti sui mezzi pubblici.
È proprio qui che si inserisce l’exploit. I ricercatori delle università di Surrey e Birmingham hanno dimostrato che è possibile simulare un terminale di trasporto pubblico, inducendo l’iPhone a bypassare le verifiche di sicurezza. Il dispositivo, convinto di trovarsi davanti a un lettore legittimo, autorizza la transazione senza richiedere autenticazione.
A quel punto, il segnale viene intercettato e “rilanciato” verso un vero terminale di pagamento, completando l’operazione. Il risultato è una transazione reale, ma generata in modo fraudolento.
Non è un attacco semplice, ma non è nemmeno teoria
Va chiarito un aspetto spesso trascurato: questo tipo di attacco non è immediato. Richiede accesso fisico al dispositivo, apparecchiature specifiche e competenze tecniche avanzate. Non è lo scenario tipico del borseggiatore digitale.
Eppure, liquidarlo come improbabile sarebbe superficiale. Il video ha avuto il merito di rendere tangibile qualcosa che fino a oggi era rimasto confinato nei paper accademici. E quando una vulnerabilità esce dai laboratori e diventa dimostrabile, cambia anche la percezione del rischio.
Il nodo Visa e la risposta delle aziende
Un elemento centrale riguarda il circuito di pagamento. L’exploit funziona con carte Visa, mentre non è replicabile con altri sistemi come Mastercard o American Express, che adottano logiche di sicurezza differenti.
Dal canto suo, Apple ha precisato che la vulnerabilità non riguarda direttamente i propri sistemi, ma l’infrastruttura di pagamento sottostante. Visa, invece, ha ridimensionato il problema, sottolineando come scenari del genere siano difficili da replicare nella realtà e ricordando la presenza della policy di “responsabilità zero” per i titolari di carta.
Una posizione che rassicura sul piano economico, ma che non cancella del tutto il nodo tecnologico.
Sicurezza percepita e sicurezza reale: il vero punto
I sistemi come Apple Pay sono progettati per essere estremamente sicuri, e nella stragrande maggioranza dei casi lo sono. Ma ogni eccezione, anche rara, ha un peso.
Per l’utente medio non cambia molto nell’immediato: non ci sono segnali di attacchi diffusi né di rischi concreti su larga scala. Tuttavia, episodi come questo ricordano quanto sia sottile il confine tra comodità e vulnerabilità, soprattutto quando si parla di pagamenti invisibili, rapidi e sempre più automatizzati.
E mentre la tecnologia continua a semplificare ogni gesto quotidiano, la domanda resta lì, sospesa: quanto siamo davvero consapevoli di ciò che accade quando avviciniamo uno smartphone a un lettore?