Um comentário deixado em um artigo escrito por Rob Waugh, no WeLiveSecurity  (Dozens of car washes leak card details in U.S. money-laundering scam), apresenta um argumento interessante sobre a vulnerabilidade no formato tradicional do cartão de crédito e débito:

“Não posso acreditar que a tarja magnética ainda não tenha sido extinta. Como é possível que tenhamos deixado que a tecnologia da década de 1970 seja o nexo da nossa integridade financeira?”

Infelizmente, não é tão estranho que velhas tecnologias sobrevivam por muito tempo, mesmo depois de ter ultrapassado o prazo de validade; se falamos sobre segurança: será que alguém ousaria mencionar a tão difamada, mas sempre presente, senha estática? No entanto, o leitor que postou o comentário tem razão quando diz que as principais vantagens do cartão magnético (a facilidade para ler dados da tarja e de escrever sobre ela, bem como o baixo custo do hardware) também são uma grande desvantagem.

Sob as mesmas condições, tanto é fácil para um cibercriminoso como para um provedor legítimo de serviços financeiros (ou outros serviços) capturar dados e duplicar mídias. Os Estados Unidos é o único país do G-20 que adotou a tecnologia de chip EMV, embora os provedores se inclinem cada vez mais para o chip com assinatura do que os com PIN, que costuma ser o método preferido na Europa.

Em geral, o chip com o PIN é considerado mais seguro porque uma assinatura pode ser falsificada, no entanto, os bancos costumam limitar o número de tentativas para a introdução do número. Assim, embora certamente exista um mau uso de certos números PIN (por exemplo, 1234), quando comparado com o uso indevido de "senha" ou "123456" como chave, a oportunidade de adivinhar um PIN é severamente restrita. (Alguns anos atrás eu escrevi um paper sobre as estratégias de seleção de PIN para uma conferência do instituto EICAR, assim como um artigo para o Virus Bulletin. Além disso também já apresentei uma discussão relacionada com o assunto no CFET).

De fato, alguns fornecedores de financiamento nos Estados Unidos introduziram os cartões de chip com PIN, embora o interesse seja bem maior por parte dos viajantes internacionais, que podem ter dificuldades em regiões onde predomina o chip com PIN (a tal ponto que provavelmente já estejamos na contagem regressiva para os dias que faltam para a tarja magnética). Os terminais POS (pontos de venda) estadunidenses não costumam levar em conta o PIN, enquanto que na Europa o número PIN é quase sempre solicitado e o cartão deve ser capaz de reconhecê-lo.

Por essa razão, nos Estados Unidos (a partir da minha experiência limitada, já que vivo na Europa), um cartão de chip com PIN (incluindo um fornecedor dos EUA) é usado quase que invariavelmente com a mesma eficiência como um cartão de chip com assinatura. A assinatura pode ser utilizada como um segundo fator de autenticação, ou seja, na maioria dos ATMs nos EUA, um cartão de chip com PIN (como o cartão de tarja magnética) possui, basicamente, a autenticação de um único fator (ou seja, algo que você tem) e não solicita a introdução do PIN (algo que você sabe).

No entanto, parece que a Lei da Igualdade de 2010 exige que os cartões com chip e assinatura estejam disponíveis para as pessoas no Reino Unido que não tenham condições de usar ou lembrar de um PIN, mas possam escrever sua assinatura, embora não possa ser usada em todos os terminais (por exemplo, em caixas eletrônicos). Não sei até que ponto é comum o uso de um cartão com chip e assinatura no Reino Unido, ou qual impacto tem as estatísticas de delitos com cartões; ou, na verdade, não sei quantos cartões contam com a preferência de assinatura (um cartão que utiliza, preferencialmente, a assinatura, é aquele que também tem a função de PIN para uso nos casos em que uma empresa não o aceite).

Recentemente me perguntaram sobre algum estudo (relevante)* que se refira a susceptibilidade dos usuários com respeito à fraudes em várias regiões; nesse caso, os Estados Unidos obtiveram o quarto lugar no mundo em relação às fraudes com cartões. Especificamente, me perguntaram se considero possível uma redução nas ocorrências nos EUA à medida que os ataques também estão sendo direcionados para outras áreas. Na verdade, não acredito contar com informação suficiente para especular, mas acho que veremos um constante declínio, considerando que as mudanças estão sendo realizadas em outros países.

No entanto, é provável que não seja uma mudança tão dramática como ocorreu na Europa e no Reino Unido, onde o impacto da fraudes com cartões perdidos, roubados ou em uso, mesmo falsificações, foi enorme. Por outro lado, a migração dos EUA para o chip EMV, mesmo na forma proposta, não deixa muitas alternativas atraentes. Como explicou recentemente Lysa Myers em um post anterior, a proposta de migração em muitos aspectos, é longe do ideal. Especificamente destacou:

“O ideal é:

  • Utilizar apenas o chip (sozinho), sem uma tarja magnética.
  • Você deveria digitar o PIN correto, tendo um certo limite de tentativas.
  • Nunca aceitar uma assinatura em vez de um PIN.
  • Tomar medidas adicionais para proteger as compras com cartão de forma remota (sem o cartão presente).

Nos Estados Unidos, esta é a proposta:

  • Será possível utilizar o chip e a tarja magnética.
  • Será permitido usar uma assinatura em vez de digitar um PIN.
  • As medidas adicionais não serão obrigatórias".

Isso não exclui problemas com o chip EMV e o PIN: no ano 2010 falei sobre um (é possível encontrar mais links sobre o assunto aqui) e existem textos mais recentes que foram escritos por Ross Anderson, no Reino Unido, que estudei no protocolo do EMV durante muito tempo, aqui e aqui. Talvez o último caso seja o que mais preocupa aos consumidores, pois sugere que “o protocolo EMV (o sistema dominante de pagamento de cartão no mundo) não produz evidência adequada para resolver as disputas”. Proponho tomar medidas para melhorar a segurança, mas a redução e o corte de custos costumam ser algo muito difícil de contornar.

* De acordo com o relatório, foram entrevistadas ​​cerca de 300 pessoas de alguns países: na América (definido nesse caso pela Aite Group LLC, como o Brasil, Canadá, México e os Estados Unidos); na Europa, Médio Oriente e África; e na região da Ásia-Pacífico.