1. La sicurezza delle applicazioni di Mobile Payment
Sviluppo di un'applet Java Card che implementa un protocollo di Mutua Autenticazione fra un
cellulare con tecnologia NFC e un POS
Facoltà di Ingegneria dell'Informazione, Informatica e Statistica
Corso di laurea in Tecnologie Informatiche
Candidato: Paolo Di Rollo
Responsabile: Prof.ssa Maria De Marsico
Corresponsabile: Prof. Carlo Maria Medaglia
Lo stage si è svolto presso il CATTID (Centro per le Applicazioni della Televisione e delle Tecniche di
Istruzione a Distanza) dell’Università "Sapienza" di Roma con l’obiettivo di effettuare un’analisi
approfondita degli attuali sistemi di Mobile Payment contactless dal punto di vista della sicurezza. La fase di
analisi è stata principalmente focalizzata sullo studio dello standard EMV (Europay - Mastercard - Visa) che
stabilisce le regole che permettono alla smart card e al terminale di pagamento di interagire tra loro. I
quattro elementi principali, definiti da EMV, per la sicurezza delle applicazioni finanziarie delle carte a
microprocessore sono:
• Autenticazione della carta offline (il terminale POS deve identificare la carta come genuina).
• Parametri di gestione del rischio (la carta registra ogni transazione e manda un allarme in caso si
verifichino certe condizioni).
• Offline-Pin (le smart card possono conservare i dati in modo sicuro, questo permette che la verifica
del PIN avvenga internamente alla carta stessa).
• Autenticazione della carta (online).
Si è deciso di intervenire sull’autenticazione e di sviluppare un protocollo offline che, utilizzando i certificati
digitali e la crittografia, renda possibile la mutua autenticazione e la costruzione di un canale sicuro tra i
dispositivi di accettazione e la smart card contenuta nel dispositivo mobile con tecnologia NFC.