I dati di decine di milioni di carte di credito sono stati sottratti dai database di Heartland Payment Systems, uno dei principali gestori delle transazioni con denaro elettronico negli Stati Uniti. A rivelarlo è stata la stessa società nella giornata di martedì, lanciando non poche incertezze sulla tenuta del sistema per i pagamenti con carte di credito e di debito negli States. La diffusione dei dati in possesso di Heartland sembra configurarsi come la più grande falla fino ad ora registrata nel delicato comparto dei pagamenti elettronici.
La società, infatti, gestisce le transazioni in circa 250.000 esercizi commerciali negli Stati Uniti e potrebbe aver esposto alcune decine di milioni di utenti a seri problemi legati alla segretezza dei loro pagamenti con carta di credito. L’anomalia nel sistema fu riscontrata nel corso degli ultimi mesi del 2008 dai circuiti Visa e MasterCard che segnalarono il problema a Heartland. Le due società avevano, infatti, riscontrato un aumento anomalo delle attività fruadolente legate ai terminali presenti negli esercizi commerciali gestiti da Heartland. Una serie quasi sterminata di frodi, inevitabilmente imputabile a una falla nel sistema per l’amministrazione delle transazioni.
Circa la metà delle operazioni gestite da Heartland su carte di credito e di debito interessano piccoli e medi ristoranti presenti sul territorio nazionale statunitense. Per ragioni di privacy e sicurezza, la società ha al momento preferito non diramare alcun elenco degli esercizi commerciali coinvolti nella sottrazione dei dati legati ai pagamenti elettronici. Inoltre, secondo i responsabili di Heartland, risalire con precisione ai terminali attraverso i quali sono avvenuti i furti delle informazioni sensibili sarebbe praticamente impossibile a causa dell’estensione senza precedenti del fenomeno.
«Nessun esercizio commerciale rappresenta da solo nemmeno nemmeno lo 0,1% del nostro volume complessivo, e mettere in relazione il nome di uno dei nostri affiliati con ciò che è chiaramente uno sfortunato incidente non sarebbe corretto. I suoi clienti potrebbero aver subito un uso fraudolento delle loro carte di credito, ma quella stessa frode potrebbe essersi anche originata in un altro negozio […] e nessuno potrà mai saperlo con certezza» ha dichiarato Robert Baldwin, presidente e CEO di Heartland.
In seguito alle segnalazioni di Visa e Mastercard, già nel corso delle ultime settimane dello scorso anno la società aveva avvisato i servizi segreti statunitensi ed aveva attivato alcuni canali di indagine. Dopo una lunga ricerca, la scorsa settimana le indagini hanno portato alla fonte della grave falla nel sistema di Heartland. Stando alle prime informazioni, alcune stringhe di codice malevolo sarebbero state inserite nel network di gestione delle transazioni, consentendo così la sottrazione di dati da alcune migliaia di esercizi commerciali gestiti da Heartland.
Non è ancora noto come il codice malevolo sia stato inserito nel sistema, né per quanto tempo sia rimasto attivo, mentre rimane una certezza la sottrazione delle informazioni contenute nelle carte di credito e debito come nome e cognome del proprietario, numero della carta e data di scadenza della stessa. Heartland gestisce circa 100 milioni di transazioni ogni mese, dunque la perdita di dati potrebbe interessare un numero considerevole di carte per il pagamento elettronico.
I dati raccolti dal codice malevolo sono sufficienti per clonare le carte di credito ed essere utilizzate per le transazioni in cui è richiesta una semplice firma e non l’inserimento di un codice PIN. Secondo Heartland, l’utilizzo delle medesime carte online sarebbe meno semplice, poiché per convalidare le transazioni online sono spesso necessarie le informazioni sul domicilio del proprietario della carta di credito, dato non in possesso degli autori della frode.
Numerosi analisti hanno criticato, anche duramente, la tempistica scelta da Heartland per comunicare l’identificazione di quella che potrebbe rivelarsi la più grande truffa sulle carte di credito degli ultimi tempi. La società è infatti accusata di aver atteso il giorno dell’insediamento di Barack Obama, approfittando di un sostanziale blocco dell’informazione, interamente orientata al racconto del giuramento del nuovo presidente americano, per far passare in secondo piano l’importante notizia.