Fol News

Tutti gli approfondimenti
Tutte le notizie

CVV2 e Sicurezza per le transazioni su Carte di Credito

B

Bagongo

CA Member T
Registrato
8/10/08
Messaggi
14.519
Punti reazioni
621
Ciao,

apro quest 3d con una domanda molto semplice:

come mai il CVV2 viene stampigliato (anche se non in rilievo) sulle Carte di Credito?


Per le carte con chip, il PIN viene inviato a parte e di certo non e' stampigliato sulla carta...
Il CVV2 serve per la transazioni online, credo esclusivamente, visto che nessuno in + di 10 anni di titolarita' di carte di credito mi ha mai chiesto de visu il CVV2 (albergo, ristorante, etc).

Per chi non lo ha mai sentito qui e qui trova qualche info in merito.

Ora mi domando: il CVV2 dovrebbe servire all'esercente a: "...verificare che [io] sia effettivamente in possesso della carta usata per il pagamento"

In caso di furto (non di clonazione) ovviamente chiunque puo' leggere il CVV2 sul retro della carta e quindi "sostituirsi" a me... [nell'essere in possesso della carta]...

La domanda quindi e':

- se il PIN viene spedito a parte e se ne chiede la custodia protetta...
- come mai il CVV2 non viene spedito anch'esso a parte, per evitare frodi?

pensandoci bene:
- un PIN serve ad evitare un uso fraudolento direttamente dall'esercente (transazione de visu)
- un CVV2 serve ad evitare un uso fraudolento in internet (transazione in remoto)

E quindi?
Mica scrivono il PIN direttamente sulla carta, no?! :D:D:D
:o

sto delirando?
:D:D:D:D:D:D:D
 
No, non stai affatto delirandoOK!



e io rilancio : perchè diavolo mai , su web , per rendere "sicurissime" le transazioni non si chiede oltre al numero della carta anche il pin perchè la transazione abbia luogo? è una domanda che mi pongo da 10 anni....tutte le carte di credito hanno il pin di 4 cifre e la transazione con la coppia n.di carta + pin farebbe quasi azzerare le truffe
 
:clap:
concordo. è come darsi delle martellate sulle parti basse
 
Bene bene...

Sono contento di non avere scritto capzate.

Quando oggi mi e' venuto in mente mi son detto: ti sfugge qualcosa, non puo' essere cosi' "grossa"....

Ed invece a leggere le risposte non sono l'unico...

Bene bene, speriamo di avere molti interventi :D


NOTA: in effetti in + di 10 anni non mi e' mai venuto in mente... bah...
KO! (per me, sveglione :D che ci penso solo ora...)
 
groviglio ha scritto:
No, non stai affatto delirandoOK!



e io rilancio : perchè diavolo mai , su web , per rendere "sicurissime" le transazioni non si chiede oltre al numero della carta anche il pin perchè la transazione abbia luogo? è una domanda che mi pongo da 10 anni....tutte le carte di credito hanno il pin di 4 cifre e la transazione con la coppia n.di carta + pin farebbe quasi azzerare le truffe
Clicca per espandere...

Da quotare!
Purtoppo non ti posso ribollinare per ora...
 
Bagongo ha scritto:
Da quotare!
Purtoppo non ti posso ribollinare per ora...
Clicca per espandere...

purtroppo nemmeno io:(...il forum è troppo restrittivo da questo punto di vista e devo dire che i tuoi post sono sempre "sulla notizia" e competenti :yes:



...e pensare che il pin di 4 cifre c'è da tempo immemore e avrebbe potuto essere imposto fin dall'inizio dell'era del web.....altro che quelle boiate (a mio parere), per giuta tardive, di verified by visa e Securcode vari, che funzionano solo "volontariamente" e solo sui siti convenzionati........tanto vale allora usare solo Paypal, cento volte meglio e più diffuso KO!
 
Ultima modifica:
CCV2 stampato sulla carta = http://nonciclopedia.wikia.com/wiki/Tafazzi

c'è chi cerca di cancallarlo col pennarello indelebile... (l'ho letto qui su FOL, si è già affrontato l'argomento, ma non ho trovato i riferimenti)

Pare che a volte i negozianti storcono un pò il naso... ma "soffrono in silenzio"..
Il fatto che un'eventuale modernizzazione di questa cosa sarebbe bene che fosse mondiale... Anche se penso che il singolo gestore di carte potrebbe benissimo iniziare a farlo.
 
E io dico ancora: Ma perché alcune banche fanno utilizzare una smart card, con relativo lettore e PIN, per firmare le operazioni dispositive sul loro sito mentre per effettuare dei pagamenti su internet non si utilizza lo stesso sistema?
Così si potrebbe utilizzare il chip&pin e i keylogger non servirebbero a niente.
Tra l'altro la maggiorparte dei lettori smart card per pc sono compatibili con lo standard EMV.
 
groviglio ha scritto:
purtroppo nemmeno io:(...il forum è troppo restrittivo da questo punto di vista e devo dire che i tuoi post sono sempre "sulla notizia" e competenti :yes:



...e pensare che il pin di 4 cifre c'è da tempo immemore e avrebbe potuto essere imposto fin dall'inizio dell'era del web.....altro che quelle boiate (a mio parere), per giuta tardive, di verified by visa e Securcode vari, che funzionano solo "volontariamente" e solo sui siti convenzionati........tanto vale allora usare solo Paypal, cento volte meglio e più diffuso KO!
Clicca per espandere...

Ti ringrazio e ricambio, anche i tuoi post li trovo molto "utili" e competenti!OK!

Sul PIN, e' vero anche le carte che ho avuto prima avevano il PIN (se le usavi per prelievo ATM) da 4 cifre, attualmente la mia chip&pin ce l'ha da 5.

La questione del Verified by Visa et similia la trovo imbarazzante: e' volontaria e quindi qualcuno mi deve spiegare ando' sta la sicurezza....
No, ma la trovo veramente imbarazzante per l'intelligenza umana eh...

Un po' come chiedere il CVV2 per sapere che "sei effettivamente in possesso della carta", ma cosa vuol dire? :D:D:D



risparmio1 ha scritto:
c'è chi cerca di cancallarlo col pennarello indelebile... (l'ho letto qui su FOL, si è già affrontato l'argomento, ma non ho trovato i riferimenti)

Pare che a volte i negozianti storcono un pò il naso... ma "soffrono in silenzio"..
Il fatto che un'eventuale modernizzazione di questa cosa sarebbe bene che fosse mondiale... Anche se penso che il singolo gestore di carte potrebbe benissimo iniziare a farlo.
Clicca per espandere...

Ne ha parlato il buon Pink Panther qui.
Avevo guardato un po' i 3d prima di postare questo qui (vabe' non sono andato indietro negli "anni"...), ma non avevo trovato esattamente la risposta che cercavo e cioe':
- perche' viene scritto il cvv2 sulla carta?

(deve esserci un motivo, senno' non ha senso)

L'idea di Pink non e' male, ma appunto come tu dici qualche negoziante potrebbe anche (e secondo me a buon diritto) non accettare la carta, perche' gli puzza la cancellazione (voglio dire: magari non si e' mai posto la questione del cvv2 e quindi non gli frega la spiegazione, ti saluta e vai).

Molto piu' sensato invece togliere il cvv2 "a monte" fatto dalle case dei Circuiti (VISA, Mastercard, etc)



Aleksej86 ha scritto:
E io dico ancora: Ma perché alcune banche fanno utilizzare una smart card, con relativo lettore e PIN, per firmare le operazioni dispositive sul loro sito mentre per effettuare dei pagamenti su internet non si utilizza lo stesso sistema?
Così si potrebbe utilizzare il chip&pin e i keylogger non servirebbero a niente.
Tra l'altro la maggiorparte dei lettori smart card per pc sono compatibili con lo standard EMV.
Clicca per espandere...

Si' anche questa una buona idea, ma prevede l'installazione necessaria di una infrastruttura accanto al PC. E a molti non gliene puo' frega' de meno, tenendo conto che alle volte i software smart card hanno incriccato e di brutto i PC non recenti...

Viceversa l'idea del CVV2 in se' e' geniale (usi infrastrutture normali senza implementare nulla):
- nel negozio usi il PIN (mooolto piu' sicuro di una firma, NB: io praticamente firmo in modo - leggermente - diverso quasi ogni volta, quindi ad ogni commessa bisognerrebbe far fare un corso di perizia calligrafica lampo: riconosci i 3 secondi :D)

- a casa - in rete - usi il CVV2 (cioe' in altre parole un PIN da usare solo in rete), pero' lo spedisci a parte! Non lo scrivi in bella mostra

Invece NO! Il cvv2 non e' un PIN e' il modo per sapere che "effettivamente hai in mano la carta". :D
Faccio notare che io quando ho acquistato in rete ho mai usato fisicamente la carta ma ho ripreso i numeri da apposito memo... ;)

Poi la migliore sicurezza sara' decisamente l'sms tempestivo (e gratuito), devo dire che da websella arriva dopo 1 secondo che ho clicckato invio in internet. Decisamente accettabile!


Cmq ci sara' una risposta al cvv2, attendo paziente...
DEVE esserci un motivo. :yes:

Pure la tastiera qwerty del PC ce l'ha, anche se superata ma aveva un senso! :D:D:D:D:D




EDIT (e' gia' chiaro ma spiego ancora un pizzico):
leggo da qui (ma tanto scrivono tutti la stessa cosa):
Questo codice rappresenta un ulteriore livello di sicurezza nell'utilizzo della carta di credito negli acquisti online. Il codice CVC2, CVV2 e CID infatti non sono presenti nella banda magnetica della carta di credito e vengono utilizzati per verificare che l'utilizzatore sia effettivamente in possesso della carta di credito.


Cosa gliene frega all'esercente online che la persona che sta davanti al pc (utilizzatore) sia effettivamente in possesso della carta di credito?
La cosa cruciale (del processo di transazione) da sapere e' che l'utilizzatore sia il reale intestatario della carta e non un quaqquaraqua' qualsiasi.

Ah: il fatto che non sia messo in banda magnetica scritto cosi' (sopra) non e' che accresca la sicurezza, visto che:
1) la banda magnetica non serve in internet
2) sistema ipersicuro: e' scritto IN CHIARO stampato sulla carta :D cosa me ne frega che non ci sia in banda...

ma forse mi sfugge qualcosa di cruciale, sembra sempre piu' ridicolo, piu' ci penso e piu' sorrido.....
 
Ultima modifica:
concordo su tuttoOK!


...alla fine anche il lettore di smart card , per quanto ottimale, sarebbe un oggetto in più da avere nella propria dotazione di base.....mentre il pin è li da sempre e non richiederebbe modifiche di implementazione nella transazione online
 
beh per le transizioni in internet normalmente si usano le carte di credito clonate e non quelle rubate e quindi è difficile scovare il cvv2 perchè si dovrebbe avere la carta fisica..credo che l'uso del cvv2 si basi su questo fatto..
Se per caso ti dovessero fregare la carta, almeno di clamorose cose te ne dovresti accorgertene subito..
Secondo me è questa la teoria che hanno usato..però anche secondo me dovrebbero usare il pin per le transizioni con carta di credito per essere più sicuri, ma credo che ci sia qualche problema tecnico e immettere solo il codice cvc2 risulta pià semplice (e quindi meno oneroso) , ma molto meno sicuro, anche perchè basterebbe che io copiassi numero della carta e il cvv2 della carta di credito di un mio amico\parente per poter fare acquisti via internet...
 
oppip77 ha scritto:
immettere solo il codice cvc2 risulta pià semplice (e quindi meno oneroso) , ma molto meno sicuro, anche perchè basterebbe che io copiassi numero della carta e il cvv2 della carta di credito di un mio
Clicca per espandere...
Bastava che, a suo tempo, decidessero di NON stampare il codice cvv2 sulla carta: non c'è nulla di complicato. :)
 
ma un esercente il pin non lo può memorizzare a vista quando prende la carta??
 
oppip77 ha scritto:
beh per le transizioni in internet normalmente si usano le carte di credito clonate e non quelle rubate e quindi è difficile scovare il cvv2 perchè si dovrebbe avere la carta fisica..credo che l'uso del cvv2 si basi su questo fatto..
Clicca per espandere...

Dunque per le transazioni (con la "a") in internet non si usano ne' le carte clonate ne' quelle rubate, poniti questa domanda:
- cosa e' che usi "veramente"?

Usi una serie di numeri e caratteri che messi in fila danno:
- cognome e nome del titolare
- numero della carta di credito
- data di scadenza
- cvv2

stop

e ando' stanno questi dati?
TUTTI SCRITTI in chiaro sulla carta :D (la carta e' solo un "supporto")
(chi lo ha inventato e' un genio veramente e chissa' quanto si e' beccato di stipendio a quest'ora sara' su una spiaggia a godersi la pensione :wall: tutti scritti in chiaro!!!!!)

La clonazione della carta invece serve per:
1) ritardare il piu' possibile la telefonata di blocco carta (non far credere quindi all'utente che gli hanno clonato la carta = lui ha sempre la sua nel portafogli... non si accorge fiino al primo sms o E/C; ma se rubi poco secondo me uno potrebbe anche non accorgersene subitissimo, soprettiutto dalla lettura dell'E/C fatta a distanza di settimane; chiaro che se mi arriva un sms di sera mentre sto guardando un film di uno che sta facendo la spesa, qualche sospetto mi viene :D:D)
2) poterla usare (clonare si intende avere una carta identica e clonata appunto) in altri negozi fisici in barba al vero titolare

Leggiti questa new fresca fresca:
http://milano.repubblica.it/dettaglio/Carte-di-credito-clonatetruffati-i-clienti-Ikea/1876110

(e nota che anche i giornalisti scrivono "clonazione" ma e' sbagliato! Lui ha copiato i dati, non ha clonato nulla).

Io non sono capace di - a colpo d'occhio - memorizzare tutto quello che leggo su di una carta di credito, ma pensare che nessuno al mondo ci possa riuscire mi sembra parecchio azzardato...
Questo commesso c'e' riuscito e piu' di una volta.

Quindi hai voglia di sbandierare la sicurezza del Chip, quando in rete la puoi usare banalmente.... con solo i dati!!!

tobyy ha scritto:
Bastava che, a suo tempo, decidessero di NON stampare il codice cvv2 sulla carta: non c'è nulla di complicato. :)
Clicca per espandere...

Esatto, e' proprio cosi', ma se lo hanno scritto...
mi ripetero'... che barba :D sopportatemi...

PERCHE' LO HANNO FATTO?
 
distin ha scritto:
ma un esercente il pin non lo può memorizzare a vista quando prende la carta??
Clicca per espandere...

Distin: patti chiari e amicizia lunga... ;)

Ricorda le cose che ti ha chiesto il moderatore nell'altro tuo 3d...:
Non scrivere cose se prima non le hai sufficientemente ponderate, senno il 3d si riempie di post inutili e non si capisce piu' nulla. E dato che questo l'ho aperto io e mi interessa parecchio ti pregherei di non farlo diventare come l'altro.
Grazie


Il PIN e' il codice segreto e lo sai tu a memoria.
il negoziante lo puo' vedere/memorizzare solo guardando la tastiera mentre tu lo digiti e basta.

:bye:
 
La sicurezza migliore è quella del rimborso integrale dalle frodi, fine.
Qualsiasi altro "hardening" serve solo per scaricare la responsabilità sull'incuria del titolare e, alla lunga, per evitare il rimborso dovuto.
Pensateci
 
john.player ha scritto:
La sicurezza migliore è quella del rimborso integrale dalle frodi, fine.
Qualsiasi altro "hardening" serve solo per scaricare la responsabilità sull'incuria del titolare e, alla lunga, per evitare il rimborso dovuto.
Pensateci
Clicca per espandere...

Si', in linea di principio hai sicuramente ragione e la cosa migliore sarebbe l'azzeramento della franchigia.

Ma: io pretendo che se mi si dice "piu' sicura col chip" me lo si dimostri anche... E non mi basta che si dica che non e' clonabile on the fly come la banda magnetica.
Mi fa specie che sia sicurissima sul fronte fisico (PIN da digitare, ma tutta da dimostrare la sicurezza) e allo stesso tempo: in mutande sul fronte internet, con i dati necessari tutti scritti in bella mostra.
Alla merce' del primo fenomeno in tema di memoria fotografica...

Se io avessi proposto come idea una cosa del genere cercando consensi mi sarei preso una risata in faccia (per nn dire calcio nel cu.) altro che elogi sulla sicurezza.

E' un po' questo il senso del 3d... capire fin dove arriva la sicurezza (vera) e fin dove si scrivono emerite mink.te come quella citata da me prima nell'edit:
Questo codice rappresenta un ulteriore livello di sicurezza nell'utilizzo della carta di credito negli acquisti online. Il codice CVC2, CVV2 e CID infatti [NdR: ma "infatti" COSA?! :rolleyes:] non sono presenti nella banda magnetica della carta di credito e vengono utilizzati per verificare che l'utilizzatore sia effettivamente in possesso della carta di credito

PS: prima di parlare di hardening, mi piacerebbe sapere come mai hanno messo il cvv2 in bella mostra. Apposta per poi fare hardening? :D
 
Ultima modifica:
john.player ha scritto:
La sicurezza migliore è quella del rimborso integrale dalle frodi, fine.
Qualsiasi altro "hardening" serve solo per scaricare la responsabilità sull'incuria del titolare e, alla lunga, per evitare il rimborso dovuto.
Pensateci
Clicca per espandere...

Sono d'accordo....
Confrontiamo per esempio l'Amex con un'altra carta bancaria...
- Supponiamo che la carta bancaria offra (opzionalmente) l'alert SMS
- La amex praticamente non ha l'alert sms

In caso di frode:
Nel primo caso, se non hai attivato l'alert sms la colpa è tua perchè non hai voluto scucire i soldi degli sms.... quindi la banca cercherà di non rimborsari
Nel secondo caso c'e' una copertura integrale, e amex non ti abbandona...

Solo che c'e' un però...
Anche la Amex ora sta iniziando a produrre le chip&pin... non vorrei che in caso di frode dicessero: non hai custodito il pin... quindi sono cavoli tuoi
 
john.player ha scritto:
La sicurezza migliore è quella del rimborso integrale dalle frodi, fine.
Qualsiasi altro "hardening" serve solo per scaricare la responsabilità sull'incuria del titolare e, alla lunga, per evitare il rimborso dovuto.
Pensateci
Clicca per espandere...

Non edito il precedente post, preferisco scriverlo a parte.

Guarda cosa ho trovato, articolo 12, comma 5 del DLgs di recepimento della PSD:

5. La Banca d’Italia con proprio regolamento può ridurre le responsabilità massime di cui ai commi 3 e 4 nel caso di strumenti di pagamento aventi particolari caratteristiche di sicurezza; la Banca d’Italia assicura la generale conoscibilità degli strumenti di pagamento rispondenti a tali caratteristiche di sicurezza
Clicca per espandere...

Interessante, non trovi? (bisognerebbe conoscere questo Regolamento della Banca d'Italia)
In questo caso l'hardening sarebbe un plus... forse...

PS: le responsabilita' massime (citate) sono ad esempio i 150€ di franchigia
 
Devi accedere o registrarti per poter rispondere.
Indietro