CVV2 e Sicurezza per le transazioni su Carte di Credito

[groviglio]

....premetto che il mio è un parere personalissimo (forse anche derivante dal fatto che sono un fisico prestato all'informatica e particolarmente attento alle questioni di sicurezza) e sicuramente non condiviso dai più: io sarei favorevolissimo a che le banche limitassero la responsabilità in caso di utilizzo di mezzi di pagamento altamente sicuri (come potrebbe essere l'utilizzo dell'accoppiata carta di credito+pin con sms e quant'altro).....se poi uno si fa trafugare la carta con il pin scritto sul post-it appiccicato e non avverte del furto subito...chi è causa del suo mal......

 

[john.player]

Sono d'accordo....
Confrontiamo per esempio l'Amex con un'altra carta bancaria...
- Supponiamo che la carta bancaria offra (opzionalmente) l'alert SMS
- La amex praticamente non ha l'alert sms

In caso di frode:
Nel primo caso, se non hai attivato l'alert sms la colpa è tua perchè non hai voluto scucire i soldi degli sms.... quindi la banca cercherà di non rimborsari
Nel secondo caso c'e' una copertura integrale, e amex non ti abbandona...

Esattamente. COnsiderato che molto spesso gli SMS si pagano, mi piace molto di più l'approccio Amex...

 

[Pink Panther]

L'idea di Pink non e' male, ma appunto come tu dici qualche negoziante potrebbe anche (e secondo me a buon diritto) non accettare la carta, perche' gli puzza la cancellazione (voglio dire: magari non si e' mai posto la questione del cvv2 e quindi non gli frega la spiegazione, ti saluta e vai).

Ovviamente la cancellazione del CVV2 è fatta bene, un rettangolino adesivo nero copre il codice già cancellato con pennarello. L'aspetto è "professionale" e pare che la carta sia nata così.
Sinora MAI nessun cassiere/negoziante ha detto niente.
Se qualcuno tentasse una minima obiezione, la mia risposta immediata sarebbe: "scusi, ma Lei è uso andare a leggere il numero CVV2 delle carte di credito dei suoi clienti?"

 

[groviglio]

Ovviamente la cancellazione del CVV2 è fatta bene, un rettangolino adesivo nero copre il codice già cancellato con pennarello. L'aspetto è "professionale" e pare che la carta sia nata così.
Sinora MAI nessun cassiere/negoziante ha detto niente.
Se qualcuno tentasse una minima obiezione, la mia risposta immediata sarebbe: "scusi, ma Lei è uso andare a leggere il numero CVV2 delle carte di credito dei suoi clienti?"

...e poi comunque basterebbe a quel punto mostrare la carta di identità

 

[Gigitrend]

vi posto una email (una parte) che ho inviato alla mia banca per proporre un sistema opzionale e facoltativo che sarebbe a mio avviso utilissimo per bloccare parzialmente la carta sia a seguito di furto ma anche a livello preventivo. magari datemi il vostro parere.
Sono in attesa di risposta dalla mia banca, la cosa è tecnicamente fattibile, ma mi par di riscontrare da parte della banca una certa riluttanza a renderla operativa. Forse perchè loro ne avrebbero un minor vantaggio. Infatti in caso di truffa per il cliente (o simile) la banca... ci guadagnerebbe comunque dalle transazioni di terzi!
...e mi sa che questo è l'unico ostacolo alla sua realizzazione!



...vorrebbe proporvi un suggerimento per poter almeno tamponare le truffe che avvengono ormai quotidianamente e che si possono leggere oltre su internet anche dalle dichiarazioni della Polizia Postale, dal Col. Repetto della G.D.F. oltre che da amici e utenti che usano le carte di credito.
Molti e crescenti sono gli utenti che sono vittima di truffe senza aver mai effettuato transazioni con carta di credito.

A tal proposito vorrei proporre di poter settare online (solo ad utenti che volontariamente fanno questa scelta) un “blocco momentaneo della carta di credito”. Sbloccabile online in qualunque momento dall’utente oppure introducendo anche la possibilità di poterlo fare tramite operatore.

In tal modo un qualsiasi criminale non potrebbe (teoricamente) effettuare transazioni a distanza a nostra insaputa.

 

[kiakkierone]

io nel frattempo ho provveduto a coprire il cvv e il cvv2 con adesivo di colore rosso molto elegante................con la visa oro di Ing

 

[ricdeckard]

Se qualcuno tentasse una minima obiezione, la mia risposta immediata sarebbe: "scusi, ma Lei è uso andare a leggere il numero CVV2 delle carte di credito dei suoi clienti?"

Un buon cassiere dovrebbe verificare la corrispondenza tra la firma sulla carta e quella sullo scontrino, quindi DOVREBBE girare la carta e gli capiterebbe per forza il CVV2 sott'occhio.

Quindi e' ancora piu' giustificato il quesito iniziale del thread: perche' ci costringono a mostrare questo codice a terzi che non ne avrebbero alcun diritto???

 

[Boba Fett]

Dunque per le transazioni (con la "a") in internet non si usano ne' le carte clonate ne' quelle rubate, poniti questa domanda:
- cosa e' che usi "veramente"?

Usi una serie di numeri e caratteri che messi in fila danno:
- cognome e nome del titolare
- numero della carta di credito
- data di scadenza
- cvv2

stop

e ando' stanno questi dati?
TUTTI SCRITTI in chiaro sulla carta (la carta e' solo un "supporto")
(chi lo ha inventato e' un genio veramente e chissa' quanto si e' beccato di stipendio a quest'ora sara' su una spiaggia a godersi la pensione tutti scritti in chiaro!!!!!)

La clonazione della carta invece serve per:
1) ritardare il piu' possibile la telefonata di blocco carta (non far credere quindi all'utente che gli hanno clonato la carta = lui ha sempre la sua nel portafogli... non si accorge fiino al primo sms o E/C; ma se rubi poco secondo me uno potrebbe anche non accorgersene subitissimo, soprettiutto dalla lettura dell'E/C fatta a distanza di settimane; chiaro che se mi arriva un sms di sera mentre sto guardando un film di uno che sta facendo la spesa, qualche sospetto mi viene )
2) poterla usare (clonare si intende avere una carta identica e clonata appunto) in altri negozi fisici in barba al vero titolare

Leggiti questa new fresca fresca:
http://milano.repubblica.it/dettaglio/Carte-di-credito-clonatetruffati-i-clienti-Ikea/1876110

(e nota che anche i giornalisti scrivono "clonazione" ma e' sbagliato! Lui ha copiato i dati, non ha clonato nulla).

Io non sono capace di - a colpo d'occhio - memorizzare tutto quello che leggo su di una carta di credito, ma pensare che nessuno al mondo ci possa riuscire mi sembra parecchio azzardato...
Questo commesso c'e' riuscito e piu' di una volta.

Quindi hai voglia di sbandierare la sicurezza del Chip, quando in rete la puoi usare banalmente.... con solo i dati!!!



Esatto, e' proprio cosi', ma se lo hanno scritto...
mi ripetero'... che barba sopportatemi...

PERCHE' LO HANNO FATTO?

L'ho sentito anche io ieri sera al tg, comunque non mi preoccuperei per le frodi online che sono quasi sempre smascherabili con una breve indagine visto che sono riconducibili al 99% a un nome e cognome e/o indirizzo...

 

[Bagongo]

comunque non mi preoccuperei per le frodi online che sono quasi sempre smascherabili con una breve indagine visto che sono riconducibili al 99% a un nome e cognome e/o indirizzo...

Non sono mimamente preoccupato!
Lo sembravo?



Sono viceversa assai curioso di sapere la risposta al mio quesito iniziale...

 

[Pink Panther]

Un buon cassiere dovrebbe verificare la corrispondenza tra la firma sulla carta e quella sullo scontrino, quindi DOVREBBE girare la carta e gli capiterebbe per forza il CVV2 sott'occhio.

Certo ma non sarebbe in alcun modo autorizzato a fare domande sul CVV2 se lo vede coperto o cancellato, visto che che a lui non serve a nulla.
A meno che a lui il CVV2 non serva a qualcosa, come quel cassiere dell'ikea citato nell'articolo posc'anzi postato...

 

[tobyy]

Certo ma non sarebbe in alcun modo autorizzato a fare domande sul CVV2 se lo vede coperto o cancellato, visto che che a lui non serve a nulla.
A meno che a lui il CVV2 non serva a qualcosa, come quel cassiere dell'ikea citato nell'articolo posc'anzi postato...

No, ma sarebbe autorizzato a non accettarti la carta. C'è chi lo fa anche per molto meno, ad esempio per la mancanza di nome e cognome su una prepagata... ma questo succede all'estero ed è comunque un altro discorso.

 

[4!!!]

No, ma sarebbe autorizzato a non accettarti la carta. C'è chi lo fa anche per molto meno, ad esempio per la mancanza di nome e cognome su una prepagata... ma questo succede all'estero ed è comunque un altro discorso.

.. magari si sentirebbe autorizzato (per colpa, ignoranza, o.. dolo ) a non accettarla, ma non sarebbe in alcun modo autorizzato!!

Diverso è invece il discorso della mancanza del nome su una prepagata..

 

[tobyy]

.. magari si sentirebbe autorizzato (per colpa, ignoranza, o.. dolo ) a non accettarla, ma non sarebbe in alcun modo autorizzato!!

Diverso è invece il discorso della mancanza del nome su una prepagata..

Mi sento di ribardire quanto ho scritto. Puoi leggere per esempio nel regolamento di CartaSi:

Art. 3 - Accettazione della carta
La carta di credito deve essere accettata dall’Esercente a condizione che:
a) sia utilizzata per l’acquisto di beni e/o servizi che costituiscono oggetto della sua attività;
b) sia presentata entro il periodo di validità indicato sulla stessa e comunque mai oltre la scadenza;
c) riporti in rilievo il nome del Titolare e il numero della carta e il periodo di validità o la data di scadenza;
d) abbia le caratteristiche formali di cui al precedente art. 2;
e) non presenti abrasioni o alterazioni rilevabili con la particolare diligenza professionale richiesta dall’art. 1176, 2° comma C.C.;
f) non sia stata inserita negli elenchi delle carte non valide (revocate, smarrite o sottratte) predisposti dall’Emittente.
Fonte: http://www.cartasi.it/download/RegolamentoEsercente.pdf

Apponendo del nastro adesivo sul CVV2, si altera la carta e dunque l'esercente non ha alcun obbligo di accettarla... anche se a lui il CVV2 non serve per effettuare la transazione.

 

[4!!!]

Mi sento di ribardire quanto ho scritto. Puoi leggere per esempio nel regolamento di CartaSi:

Art. 3 - Accettazione della carta
La carta di credito deve essere accettata dall’Esercente a condizione che:
a) sia utilizzata per l’acquisto di beni e/o servizi che costituiscono oggetto della sua attività;
b) sia presentata entro il periodo di validità indicato sulla stessa e comunque mai oltre la scadenza;
c) riporti in rilievo il nome del Titolare e il numero della carta e il periodo di validità o la data di scadenza;
d) abbia le caratteristiche formali di cui al precedente art. 2;
e) non presenti abrasioni o alterazioni rilevabili con la particolare diligenza professionale richiesta dall’art. 1176, 2° comma C.C.;
f) non sia stata inserita negli elenchi delle carte non valide (revocate, smarrite o sottratte) predisposti dall’Emittente.
Fonte: http://www.cartasi.it/download/RegolamentoEsercente.pdf

Apponendo del nastro adesivo sul CVV2, si altera la carta e dunque l'esercente non ha alcun obbligo di accettarla... anche se a lui il CVV2 non serve per effettuare la transazione.

Va bene.. mi arrendo..

.. cmq.. da un esercente che mi fa la "menata" che non si vede il CVV, non comprerò mai un cao

 

[Bagongo]

A tal proposito vorrei proporre di poter settare online (solo ad utenti che volontariamente fanno questa scelta) un “blocco momentaneo della carta di credito”. Sbloccabile online in qualunque momento dall’utente oppure introducendo anche la possibilità di poterlo fare tramite operatore.

In tal modo un qualsiasi criminale non potrebbe (teoricamente) effettuare transazioni a distanza a nostra insaputa.

Mi sembra una buona idea (soprattutto xche' lascia lberta' di scelta all'utente), io avevo pensato invece ad un plafond variabile, spiego.

Di solito si contratta il plafond definito come "massimo" (una volta scelto quello resta), invece sarebbe molto utile un plafond variabile, ovvero tu contratti il max che la banca ti riscontra, poi tramite una specie di cursore (tipo volume audio) tu lo regoli in tempo reale:
- i mesi che sai che vai in vacanza (o ti serve alto) lo alzi
- i mesi che invece ti fai solo le solite spese lo abbassi

Non ti azzera i rischi ma li commisura alle tue esigenze che non saranno MAI uguali in tutto l'anno...

 

[Pink Panther]

Apponendo del nastro adesivo sul CVV2, si altera la carta e dunque l'esercente non ha alcun obbligo di accettarla... anche se a lui il CVV2 non serve per effettuare la transazione.

Mi sembra un'interprestazione un po' bovina... considerando che la "alterazione" legata alla copertura del cvv2 è assolutamente minimale e non intacca minimamente i dati che servono ad un negoziante fisico (numeri, nome, banda magnetica, firma, aspetto generale, ecc.), continuerei a trovare piuttosto curioso il fatto che un cassiere insista a voler vedere il CVV2.
In ogni caso io sono un tipo piuttosto creativo, a fronte di un episodio del genere coprirei il CVV2 non più con un rettangolino nero, ma con un rettangolino su cui con medesimo font e grafica stamperei... un CVV2 errato!

 

[Bagongo]

Ne ha parlato il buon Pink Panther qui.

L'idea di Pink non e' male, ma appunto come tu dici qualche negoziante potrebbe anche (e secondo me a buon diritto) non accettare la carta,

Molto piu' sensato invece togliere il cvv2 "a monte" fatto dalle case dei Circuiti (VISA, Mastercard, etc)

Ovviamente la cancellazione del CVV2 è fatta bene, un rettangolino adesivo nero copre il codice già cancellato con pennarello. L'aspetto è "professionale" e pare che la carta sia nata così.
Sinora MAI nessun cassiere/negoziante ha detto niente.
Se qualcuno tentasse una minima obiezione, la mia risposta immediata sarebbe: "scusi, ma Lei è uso andare a leggere il numero CVV2 delle carte di credito dei suoi clienti?"

La mia paura e' all'estero quando sei blindato e puoi fare poco...
A tu italiana, spagherri e mandolina, con karta tarokka, tu no freki me, io kiama Derrick (R.I.P.) e Harry...

Certo ma non sarebbe in alcun modo autorizzato a fare domande sul CVV2 se lo vede coperto o cancellato, visto che che a lui non serve a nulla.

l'abrasione/manomissione/cancellazione..., cercavo infatti un riferimento...e... tobyy

No, ma sarebbe autorizzato a non accettarti la carta. C'è chi lo fa anche per molto meno, ad esempio per la mancanza di nome e cognome su una prepagata... ma questo succede all'estero ed è comunque un altro discorso.

me lo ha dato nel post sotto
thx

e) non presenti abrasioni o alterazioni rilevabili con la particolare diligenza professionale richiesta dall’art. 1176, 2° comma C.C.;

Apponendo del nastro adesivo sul CVV2, si altera la carta e dunque l'esercente non ha alcun obbligo di accettarla... anche se a lui il CVV2 non serve per effettuare la transazione.

In Italia secondo me non lo sa nessuno a parte qualche albergo o ristorante molto "in".
Ma trovo sia giusto che sia cosi' (che non si possa manomettere), come e' altrettanto giusto pero' che qualcuno non lo scriva e lo recapiti a parte come se fosse PIN
(come dicevo in un mio post precedente)

 

[Pink Panther]

Mi sembra una buona idea (soprattutto xche' lascia lberta' di scelta all'utente), io avevo pensato invece ad un plafond variabile, spiego.

Di solito si contratta il plafond definito come "massimo" (una volta scelto quello resta), invece sarebbe molto utile un plafond variabile, ovvero tu contratti il max che la banca ti riscontra, poi tramite una specie di cursore (tipo volume audio) tu lo regoli in tempo reale:
- i mesi che sai che vai in vacanza (o ti serve alto) lo alzi
- i mesi che invece ti fai solo le solite spese lo abbassi

Non ti azzera i rischi ma li commisura alle tue esigenze che non saranno MAI uguali in tutto l'anno...

Tutte queste menate si scontrano con il fatto che la banca dovrebbe gestire in tempo reale queste limitazioni/modifiche con il circuito esercente... in più garantendo tempestività ed assenza di errori... la vedo MOLTO improbabile che le banche accettino una responsabilità del genere.
Molto più facile con un bancomat, per esempio.

 

[HereIam]

...e poi comunque basterebbe a quel punto mostrare la carta di identità

Alcuni già la chiedono sempre.

 

[Bagongo]

Mi sembra un'interprestazione un po' bovina... considerando che la "alterazione" legata alla copertura del cvv2 è assolutamente minimale e non intacca minimamente i dati che servono ad un negoziante fisico (numeri, nome, banda magnetica, firma, aspetto generale, ecc.), continuerei a trovare piuttosto curioso il fatto che un cassiere insista a voler vedere il CVV2.
In ogni caso io sono un tipo piuttosto creativo, a fronte di un episodio del genere coprirei il CVV2 non più con un rettangolino nero, ma con un rettangolino su cui con medesimo font e grafica stamperei... un CVV2 errato!

Ma no Pink il discorso e' legato al fatto della manomissione in se' (non se e' minimale, ma "se è", punto).
Cioe' appena tu alteri una cosa qualsiasi anche minima la carta dovrebbe (in linea teorica) perdere la sua validita' (in quanto manomessa).
Tieni conto che la carta non e' tua ma di proprieta' della banca (o emittente) tu la puoi solo usare!

Te ne faccio un'altra ancora piu' bovina:
dunque stando a quanto letto il cvv2 (e suoi fratelli) serve a:
Questo codice rappresenta un ulteriore livello di sicurezza nell'utilizzo della carta di credito negli acquisti online. Il codice CVC2, CVV2 e CID infatti non sono presenti nella banda magnetica della carta di credito e vengono utilizzati per verificare che l'utilizzatore sia effettivamente in possesso della carta di credito.

Nota bene (questa e' mooolto bovina): se viene utilizzato per verificare che tu sia veramente in possesso...... tu in pratica cancellando il cvv2 cancelli la carta...
In un processo informatico (groviglio confermamelo) non avresti scampo: se il cvv2 non c'e'=tu non sei effettivamente in possesso della carta

Lo so che fa ridere ma sto solo applicando quello che ho letto (che gia' prima ironizzavo proprio xche' lo trovo assurdo, ma tant'e'...)


La tua creativita' invece sullo scrivere un cvv2 diverso andrebbe premiata! Ma purtroppo non posso per ora bollinarti!!!!
Quella e' una genialata