IWBank: l’home banking con il semaforo

La sicurezza (si dice) è dinamica. Se si fa un passo avanti con una nuova tecnologia, si può dare per scontato che c'è già qualche hacker che ha trovato il modo per aggirarla. L'unica strada, quindi, è quella della continua sperimentazione di nuove soluzioni per arrivare sempre primi rispetto ai cyber-criminali. Dal 2008 al 2009, una di queste sperimentazioni alla ricerca di nuovi strumenti per autenticare in modo "forte" cioé realmente sicuro, il cliente di un servizio di banking online, ha coinvolto IWBank (Gruppo Ubi Banca), l'unica a livello mondiale scelta da Visa per un test della sua Pin Card. Of ha chiesto a Vincenzo Tedeschi, responsabile Marketing e Sviluppo Prodotti di IWBank, di spiegare come è andata questa sperimentazione e in che modo una banca online con 10 anni di esperienza alle spalle e più di 100mila clienti sta affrontando il problema della security nelle attività di banking e trading online e mobile.

Of: Ho letto nel vostro forum che i vostri clienti si sentono molto più sicuri da quando avete scelto di proteggervi con un EV SSL. Di cosa si tratta?
Vincenzo Tedeschi: Una terza parte garantisce che quello è proprio il sito della banca. Questo significa EV SSL che sta per Extended Validation Secure Sockets Layer, una certificazione estesa rispetto a quella standard. L'ente garante nel nostro caso è Verisign, la società di certificazione più nota al mondo.

Of: Al di là delle sigle e del suo funzionamentio tecnico, cosa vede esattamente il vostro cliente che entra nella sua area personale per fare un bonifico o consultare il saldo?
Tedeschi: Apre il browser, come Internet Explorer 7, ad esempio, e, accedendo all'area protetta del banking, vede la barra di navigazione in alto cambiare colore da bianca a verde.

Of: Una specie di semaforo virtuale: c'è la luce verde, si può procedere?
Tedeschi: Proprio così. Il cliente si rilassa, non ha più paura di essere capitato, mettiamo, in un falso sito che ruberà le sue credenziali. La sicurezza è anche un problema di percezione: secondo recenti indagini di Verisign, Rsa e Microsoft, infatti, ben il 78% delle persone che navigano in Rete hanno paura di subire frodi e furti di identità. In UK, ad esempio, in un anno già il 43% ha avuto esperienze negative a causa del phishing e di tentativi di frode varie sul web, mentre l'84% pensa che i servizi bancari e commerciali non li proteggano a sufficienza. Vedere la barra verde, il lucchetto ben chiaro in alto invece che in basso nella pagina, la scritta che avvisa che quel sito appartiene veramente e IWBank, fa sentire protetti e al sicuro.

Of: Questo certificato esteso, quindi, ha un obiettivo psicologico?
Tedeschi: Non solo. Il certificato ha anche un' altra funzione.

Of. Quale?
Tedeschi: Be' combattere il phishing, prima di tutto. In pratica il certificato segnala un sito fasullo con una barra di colore rosso, e questo va bene per il cliente, ma nello stesso tempo avverte l'ente certificatore e quindi la banca di eventuali falsi siti in giro per la Rete, che vanno bloccati subito.

Of: Però bisogna installare per forza Internet Explorer 7...
Tedeschi: No, anche Firefox 3.0 e Opera 9.5 oggi hanno questa nuova funzionalità.

Of: Ovviamente questo non basta per combattere le frodi in Rete...
Tedeschi: Di fatto per garantire la sicrezza occorrono più strumenti. Noi abbiamo da alcuni anni reso obbligatorio l'uso del token che genera password usa e getta da utilizzare sempre per accedere all'home banking e per fare qualsiasi tipo di operazione sia online che al telefono e al cellulare. Poi abbiamo il servizio di sms alert per avvertire quando si entra nell'area protetta, quando si fa un bonifico eccetera.

Of: Mi sembra però che sia sempre il cliente che si deve far carico della propria sicurezza, controllando sempre il saldo, le operazioni fatte eccetera. Bisogna forse fare qualcosa di più per rendere l'home banking sicuro, ma anche più semplice da usare?
Tedeschi: Ci stiamo lavorando. A breve il sistema di password mono uso funzionerà anche con il cellulare, un "token on board", come si dice, un software installato sul cellulare che genera le password senza la necessità di un dispositivo fisico ulteriore. Il software non lavora attraverso la sim card del telefonino, quindi non genera alcun tipo di costo per traffico telefonico per il cliente, ma si installa come altri applicativi sullo smartphone.

Of: Per tutti i clienti?
Tedeschi: Si certo, sarà disponibile per tutti, ma credo che inizialmente solo una piccola nicchia lo sceglierà, quelli al solito più evoluti e avvezzi all’innovazione, li altri continueranno ad usare il token fisico.

Of: Ma il token è facile da dimenticare in giro. Ho sentito che avete provato anche con altri supporti come una specie di carta di credito-token, è così?
Tedeschi: Non si tratta di una specie di carta, ma di una vera e propria credit card perfettamente funzionante come una qualsiasi altra che in più ha anche un visore di 8 cifre e una tastierina. E' la Visa PIN card. Sì l'abbiamo sperimentata.

Of: E com'è andata?
Tedeschi: Molto bene. La sperimentazione è stata fatta da Visa in giro per il mondo. Noi di IWBank, unici al mondo, provavamo una delle 6 funzionalità della card, cioè l'autenticazione forte, ovvero l'uso della carta come token. Tutto bene ad eccezione di una cosa...

Of: Cosa?
Tedeschi: Be' il problema riguarda la tastierina e il visore, troppo piccoli e delicati, difficili da vedere ed usare.

Of: Quante persone l'hanno provata?
Tedeschi: 500 nostri clienti, che quella card ce l'hanno ancora in tasca, la usano come credit card.

Of: E adesso cosa succede?
Tedeschi: Adesso, aspettiamo che alla Visa finiscano le prove anche presso le altre banche per tutte e 5 le funzionalità e vediamo cosa ci propongono.

Of: Altri test in vista?
Tedeschi: Nessuna sperimentazione, per adesso, ma sviluppo di quello che già abbiamo e funziona. Come la posta certificata, ad esempio.

Of: Significa che io posso scrivere alla mia banca e la mia banca scrivere a me solo attraverso una posta speciale?
Tedeschi: Sì, è così. Usiamo la Pec, Posta elettronica certificata per ogni tipo di comunicazione al cliente, in modo da sconfiggere completamente il phishing.

Of: Certificazione estesa, token, allarmi via sms, posta certificata: un sistema completo di sicurezza ottimale per oggi. Ma per il domani?
Tedeschi: Siamo sempre alla ricerca di nuove tecnologie all'avanguardia e di novità da sperimentare con importanti fornitori internazionali. E le posso assicurare che il futuro non ci troverà impreparati.

©Of-Osservatorio finanziario - Riproduzione riservata

Torna alla home del Magazine di Of n. 9