I numeri dei pagamenti digitali con carta, infatti, continuano a crescere: hanno toccato la quota di 233 miliardi di euro nei primi sei mesi del 2024, segnando un +8,6 rispetto al medesimo periodo un anno fa. Lecito pensare che gli utenti, oltre a comodità e velocità, associno una percezione di affidabilità e sicurezza all’intero processo di transazione cashless.

Ma il Pos, inteso come terminale di pagamento, è sempre sicuro? Le cronache restituiscono, talvolta, episodi poco incoraggianti che potrebbero preoccupare i consumatori. Un Pos non sicuro può costituire una minaccia per la sicurezza dei dati trattati; un vettore di frode; un elemento che incrina il legame di fiducia tra merchant e cliente.

Il Pos, infatti, può essere violato o alterato per scopi fraudolenti. L’esercente deve quindi mettere in atto le giuste misure per evitare danni alla sua reputazione, al suo business, e naturalmente ai clienti.

I potenziali fattori di rischio per il Pos

Quando il Pos diventa non sicuro? Quali sono le possibili truffe che potrebbero trarre in inganno clienti ed esercenti stessi?

Una truffa molto citata è quella dello skimming, che avviene quando un dispositivo esterno (es: pellicole sul tastierino, Pin pad falso) viene aggiunto a un sistema di pagamento per scopi fraudolenti, come la clonazione della carta e il salvataggio del codice Pin associato. Si tratta tuttavia di una tipologia di truffa più complicata da attuare in negozio, viene spesso citata infatti a proposito dei bancomat e di Pos installati in specifici contesti. Tuttavia, è la prova che non va sottovalutata la presenza di anomalie sui terminali di pagamenti.

Più comune invece è il rischio di malware. Da anni tra le minacce figura il malware Prilex: nato per colpire gli sportelli bancari, è arrivato a rappresentare un incubo anche per i Pos, riuscendo, nella sua ultima versione a “bloccare le transazioni contactless near-field communication (NFC) sui dispositivi infetti”. Quando questo accade, le vittime sono indotte a introdurre fisicamente le carte di credito/debito all’interno del pad da cui il codice malevolo esfiltra i dati per la transazione, manipolando i crittogrammi.

Truffe di questo tipo sono un grosso rischio per la reputazione dell’esercente che, pur essendo la prima vittima dell’attacco, potrebbe perdere credibilità agli occhi dei propri clienti.

Pos sicuro: la tutela passa dalla cybersecurity

Nonostante i rischi, è bene ricordare che il pagamento tramite Pos non è di per sé pericoloso.

In primis perché il dispositivo, proprio come altri device con una componente hardware e software, può essere protetto con soluzioni di cybersecurity (alcune sono pensate ad hoc per il settore retail).

I Pos possono essere sottoposti ad assessment ciclici per identificare e analizzare le vulnerabilità che li rendono penetrabili. In tal modo, è possibile capire chi o cosa minaccia il Point of Sale e provvedere con l’aggiornamento di specifiche patch. Il Pos, inoltre, è fornito da un provider che è tenuto a dare garanzie anche in termini di sicurezza, affidabilità e rispetto della compliance di specifici standard.

Pos sicuro: prassi semplici ed efficaci per retailer e ristoratori

Il commerciante deve in ogni caso mettere in atto misure semplici ma essenziali per garantire ai clienti un Pos sicuro. Ecco un recap di quelle più importanti.

• Per poter accettare le transazioni, il Pos è connesso alla rete. Bisogna quindi garantire che la connessione a Internet sia inviolabile. Inoltre, meglio separare la rete a cui sono collegati i dispositivi Pos da quella destinata ai clienti.
• L’accesso a funzionalità di configurazione e amministrazione dei Pos va protetto con password sicure, aggiornate periodicamente, e di cui sono a conoscenza solo le persone destinate a utilizzarlo. Bisogna ragionare come per qualsiasi altro dispositivo, evitando che persone non autorizzate possono avere accesso al setup delle impostazioni, una porta di accesso per installare i malware.
• In alcuni contesti potrebbero essere presenti più Pos, perché, ad esempio, ci sono più casse. Bisogna tenere sotto controllo tutti i dispositivi per evitare smarrimenti, monitorando anche elementi accessori (cavi, connettori) e riservando ai device uno spazio sicuro, protetto e inaccessibile quando l’attività non è operativa.
• La possibilità che dispositivi esterni vengano aggiunti al Pos per scopi fraudolenti deve spingere l’esercente a controllare che non siano presenti segnali di manomissione o caratteristiche anomale.

Infine, anche i dipendenti vanno formati e allenati a un uso corretto del Pos e a un atteggiamento proattivo in materia di sicurezza e tutela dei dati.