Private banking e cyber security sono due ambiti sempre più interconnessi tra di loro. E non potrebbe essere altrimenti, visto che ormai è possibile completare quasi tutte le operazioni bancarie direttamente dal proprio computer o, addirittura, dallo smartphone.
Le problematiche che le banche e gli istituti finanziari devono affrontare per garantire la sicurezza delle transazioni economiche dei propri clienti, però, non mancano. Ecco perché, negli anni, sono stati messi a punto diversi sistemi di accesso al proprio account di banking online resi via via più sofisticati e sicuri.
Ecco, quindi, che quando una banca ci invita a riportare in filiale il token fisico, non è sempre un ottimo segnale in quanto alla base ci possono essere problemi di sicurezza.
Indice degli argomenti
L’evoluzione dei sistemi di autenticazione
Il token fisico, vale a dire quell’oggetto di plastica che riporta il logo dell’istituto e che serve come autenticazione per perfezionare le operazioni online, è un sistema che esiste da molto tempo.
Inventato da un ricercatore americano e un ricercatore israeliano fu poi implementato dalla RSA Security, nota società specializzata in sicurezza informatica nel mercato ormai da parecchi anni.
Come ben sappiamo, la caratteristica del token fisico è generare codici OTP (One Time Password) non casuali bensì generati da un algoritmo deterministico (la banca, naturalmente, vede i vostri stessi codici) e praticamente impossibili da indovinare.
Sistema di ferro, almeno così sembrava. Tuttavia, circa 6 anni fa la RSA è stata bucata: com’era prevedibile ci fu grande scompiglio da parte degli istituti di credito che invitarono subito tutti i loro clienti a recarsi in filiale per riportare il “vecchio” token e sostituirlo con uno nuovo.
In questi mesi, gli istituti bancari hanno inviato tutti i clienti a riportare il token fisico in filiale per sostituirlo con un mobile token. Problemi di sicurezza? No, fortunatamente. La motivazione è che gli istituti bancari si stanno adeguando agli standard di sicurezza previsti dalla Direttiva (UE) 2015/2366 denominata PSD2 e recepita in Italia mediante D.lgs. n. 218/2017 che ha aggiornato il D.lgs. 11/2010.
Private banking & cyber security: la Direttiva “PSD2”
La PSD2 introduce elevati standard di sicurezza per l’accesso ai servizi dell’online banking che includono la procedura di SCA (Strong Customer Authentication) che implica l’uso di due o più elementi per l’autenticazione individuati nella conoscenza (qualcosa che solo tu conosci), nel possesso (qualcosa che solo tu hai) e nell’inerenza (qualcosa che ti caratterizza).
Il punto di forza di questi elementi è l’essere indipendenti l’uno dall’altro di modo tale che la violazione di un elemento non compromette l’affidabilità degli altri.
La maggior parte degli istituti non ha ritenuto che il token fisico faccia parte dell’elevato standard di sicurezza richiesto dalla Direttiva. Inutile precisare che l’oggetto può essere facilmente smarrito o rubato.
A sostituire questo apparecchietto di plastica, che ha accompagnato le nostre operazioni per parecchi anni, è il “mobile token” più sicuro in termini sia di protezione del canale di trasmissione sia di idoneità. Il mobile token sarà quindi inserito nelle app ufficiali che l’istituto ci inviterà (o ci ha già invitato) ad installare sui nostri mobile device (tablet e smartphone) e avrà la funzione di generare i nuovi codici OTP.
Alcuni istituti, per esempio Intesa San Paolo, vi inviterà a scegliere due modalità di autenticazione: aprire l’app ed inserire il PIN oppure ricevere il codice via SMS, tuttavia non per tutti è così, alcune banche non offrono possibilità di scelta.
E nel caso di attacco? La responsabilità dovrebbe comunque ricadere sulla banca che deve garantire ai clienti l’operabilità in ambiente sicuro nell’ottica di tutelare i correntisti.
Alla data in cui questo articolo è stato scritto, tra gli istituti che hanno già implementato la procedura: Intesa San Paolo, Crédit Agricole, Carige, Banco Bpm, Carige, Banca Popolare di Sondrio. Tra quelli che devono perfezionarla (il termine ultimo previsto è il 14 settembre 2019): BNL BNP Paribas; Credem e Unicredit che proprio in questi giorni ha concluso l’indagine che avrebbe potuto vederla coinvolta nel data breach di Capital One dichiarando di non aver trovato riscontri di violazione in quanto i dati dei clienti non erano stati salvati sui server Amazon violati.
Private banking & cyber security: conclusioni e consigli
Partendo dal presupposto che, a mio parere, la sicurezza assoluta non esiste, personalmente preferirei definire il mobile token solamente “più sicuro”. Nel caso di attacco, come specificato poc’anzi e salvo particolari condizioni di esonero, la responsabilità ricade sulla banca che, oltre alla perdita economica, subirà una perdita di reputazione e di fiducia da parte, non solo dei correntisti, ma di tutti gli stakeholder.
È molto importante, quindi, che ogni istituto consigli ai propri clienti:
- di attivare altresì il servizio di alert che generi un avviso via SMS ad ogni movimentazione bancaria ed operazioni condotte con carta di credito;
- il nostro smartphone è ormai detentore dei nostri dati, compreso quelli particolari e quelli bancari è quindi doveroso dar consigli del tipo “non prestate a nessuno il vostro device e non lasciatelo incustodito”;
- inviare i clienti a bloccare immediatamente lo smartphone in caso di sospetto di furto;
- se previsto come possibilità di scelta tra il ricevimento di un codice via SMS o l’apertura dell’app ufficiale con inserimento di PIN, consigliare preferibilmente quest’ultima;
- offrire piccoli prestiti a tasso agevolato per l’acquisto di smartphone di nuova generazione;
- consigliare di installare gli aggiornamenti che i gestori telefonici propongono.
