Un modo moderno per fare un regalo è quello di consegnare una “Gift card”. Si tratta di una scheda prepagata che viene elaborata elettronicamente mediante un terminale di pagamento.
La gift card costituisce un’alternativa moderna e tecnologica ai vecchi buoni regalo. Tuttavia i consumatori devono fare attenzione ad alcune cose per evitare spiacevoli sorprese.
Di seguito i consigli di un IT Manager che si occupa di sicurezza per una multinazionale milanese operante nel settore della monetica e dei mezzi di pagamento.
Gift Card cosa sono?
Anche in Italia arrivano le Gift Card ricaricabili e come ogni novità nel settore dei pagamenti porta con se un insieme di nuove frodi ai danni del consumatore. Per nostra fortuna abbiamo la possibilità di vedere quali sono i trucchi che i truffatori già utilizzano nei paesi (Stati Uniti in primis) dove questa tipologia di strumento di pagamento è già utilizzata da tempo e che rende molto felici gli uomini del marketing, ma molto meno tutti coloro che si dedicano alla sicurezza dei pagamenti.
Ormai siamo abituati a vedere, soprattutto nelle grandi catene di distribuzione, le più svariate carte regalo che permettono all’acquirente di fare un dono senza scervellarsi su cosa acquistare per l’amico o il parente e, oltretutto, senza donare direttamente del denaro.
Le più comuni sono disponibili in diversi tagli ed, in modo simile alle ricariche telefoniche, o hanno un codice a barre che permette di identificare la carta ed il valore ad essa associato oppure hanno una banda argentata sotto la quale vi è un codice di lunghezza variabile che sostituisce il codice a barre.
Negli Stati Uniti queste tipologie di carta, l’ultima denominata “scratch card”, stanno venendo sempre più soppiantatate da una nuovo tipo denominato “Gift Card”.
Come funziona la Gift Card?
E’ una carta del tutto simile ad un carta di credito ricaricabile, personalizzata con i loghi dell’esercente o del consorzio di esercenti che la distribuisce. Solitamente sono carte emesse da primari issuer quali Visa, Mastercard o American Express che ne garantiscono la gestione secondo le più recenti specifiche di sicurezza disponibili.
La carta presenta le comuni 16 cifre dell’identificativo (PAN) sul fronte e le tre cifre di sicurezza (CVV2) sul retro, mentre, ovviamente, non presenta il nome del portatore carta.
Lacuna che non permette le verifiche che vengono effettuate alla presentazione di una comune carta di credito al retailer, e nemmeno le verifiche di associazione [portatore carta]-[numero carta] effettuate dall’ente emettitore in caso di pagamenti via web. Generalmente, per contenere i costi di produzione e visto il basso valore che vi si può caricare (di solito al massimo 1.500 €), sono carte a banda e non a tecnologia microchip.
Funzionalmente l’acquirente compra una Gift card vuota e alla cassa provvede a caricarla utilizzando il metodo di pagamento preferito (contanti, carta di credito, debito). Il cassiere striscia la Gift card nella pin pad del registratore di cassa o nel POS ed effettua la ricarica del credito online, da quel momento la Gift card contiene l’importo caricato ed è utilizzabile per i pagamenti fino alla data di scadenza della carta stessa ovvero, in alcuni casi, con il rinnovo della scadenza all’utilizzo.
L’utilizzo della carta può essere limitato ad uno o più esercenti permettendo quindi la massima personalizzazione per gli stessi con gli ovvi risvolti di fidelizzazione. Per l’esercente un ulteriore grande pregio sta nel fatto che non avendo alcun credito pre-caricato, il costo di impianto iniziale e di successivo approvvigionamento delle carte risulta essere molto basso ed, inoltre, l’esercente non avrà la preoccupazione di eventuali tentativi di furti a differenza di ciò che avviene per le scratch card in cui la logistica ed il trasporto sono sempre estremamente problematiche e difficoltose essendo quest’ultime assimilabili al vero e proprio denaro contante. Questo, d’altro canto, comporta che l’esercente sarà portato a non custodirli come un bene prezioso e a lasciarle incustodite ben in vista con lo scopo di diffonderle.
Come avviene la frode?
Il frodatore non farà altro che avvicinarsi al dispencer presente nel negozio e si segnerà i numeri identificativi delle Gift Card vuote, i codici di sicurezza e la data di scadenza.
Riporrà poi le carte nel dispencer ed attenderà che vengano vendute, e quindi caricate, dal malcapitato di turno per clonarla con i dati acquisiti prima che fosse venduta o utilizzarli via internet.
Per verificare che la carta sia stata ricaricata ed attivata il malfattore potrà procedere in questi due modi:
-
Se la carta non ha limitazioni sull’esercente da cui si possono fare acquisti utilizzerà un qualsiasi motore di pagamento via web per verificare quando verrà autorizzata una transazione di basso valore.
-
Se presenta, invece, limitazioni sull’esercente sfrutterà i sistemi online di verifica del credito solitamente presenti nel portale dell’esercente constatando quando la carta sarà attivata.
Inoltre, a peggiorare la situazione, si ha il fatto che:
-
quasi sempre non si esaurisce il credito della carta (circa il 6% delle Gift card negli Stati Uniti alla scadenza della carta ha ancora il 50% o più del credito pre-caricato);
-
il portatore carta, essendo un regalo, non conosce a priori l’importo pre-caricato e non si lamenta se vi trova una cifra esigua (parzialmente utilizzata dal malfattore);
-
negli Stati Uniti si stanno diffondendo dei lettori per velocizzare il lavoro di questi frodatori. Questi lettori si salvano in una memoria temporanea i dati acquisiti riuscendo a leggerli anche attraverso packaging sottili, per poi inserirli in software sviluppati ad hoc per la verifica dell’attivazione delle gift card.
Come si può controbattere a questa frode?
-
Innanzitutto acquistare le Gift Card solo se esse sono custodite in modo appropriato dagli esercenti. Generalmente le scratch card o le gift card pre-caricate (che quindi hanno un valore effettivo per l’esercente) sono presenti solo vicino alla cassa e, a volte, sono consegnate direttamente dal cassiere.
-
Verificare che la carta sia attiva solo presso l’esercente o comunque nei confronti di un ristretto numero di negozi e non sia, quindi, una vera e propria carta di credito ricaricabile utilizzabile ovunque.
-
Verificare che sul sito dell’esercente sia presente all’atto del login la richiesta di un captcha (il diffuso riquadro che si presenta in molti moduli web per verificare che colui che sta compilando il modulo sia umano e non un computer), in modo da ovviare alle possibili richieste massive fraudolente fatte con dei software;
-
Se possibile informare dell’importo caricato la persona che poi usufruirà della carta.
20/09/2010
Leslie Fink
IT manager – Payment expert