Soldi online. Chi li mette al sicuro

L'home e il mobile banking si sono avvantaggiati della diffusa crisi economica. Le ragioni di questo successo sono molteplici e si possono riassumere sinteticamente nei seguenti punti:
le banche hanno potuto offrire ai clienti prodotti a spese contenute;
hanno saputo utilizzare il web, poco costoso, per promozioni e campagne di marketing virale, da amico che porta un amico ad aprire un conto corrente o di deposito, ad esempio, che sembra dare frutti interessanti;
il canale web è ormai maturo, così come i gestori delle banche online hanno acquisito una maggiore dimestichezza e consapevolezza rispetto a qualche anno fa;
la tecnologia è matura e offre servizi e applicazioni a costi competitivi;
l'integrazione tra canale web e altri canali come ad esempio i servizi di filiale e ATM, è stata realizzata da quasi tutti i gruppi bancari. Inoltre, last but not least, è cresciuta una cultura del web anche all'interno delle banche, con manager in grado di comprenderne i vantaggi e le potenzialità.

Nel 2009, quindi, i miglioramenti nei servizi, nella grafica dei siti, nell'ideazione di promozioni Web 2.0, nei prodotti a zero spese come i conti online e i conti di deposito sono stati sostanziosi. E nella sicurezza? Se il banking e il mobile banking oggi sono strategici per la banca, la sicurezza lo è per il banking. E nel 2009 molti passi avanti sono stati fatti.

Rivediamo le percentuali 2008 e 2009: anzitutto occorre far notare che se nel 2008 solo il 29,5% delle banche del campione usavano sistemi di aurtenticazione forte, cioè con password aggiuntive per autorizzare disposizioni in conto del tipo usa e getta (OTP, One Time Password) attraversi token, sms, card o memoria flash, oggi sono il 92,5% del campione, tendenza che e ci si attende che entro il 2010 raggiungano il 100% . La seconda miglioria apprezzabile è l’impiego di sistemi informativi definiti propriamente "sms alert" ovvero avvisi via messaggino da cellulare inviati ai clienti all'accesso nell’area riservata o per informare delle disposizioni in conto utilizzati ormai dalla totalità dei banking nazionali. E ci sono già casi come quello di Fineco dove l'sms serve oltre che per la sicurezza, "SMS Pin", anche per inviare denaro.

Un ulteriore sensibile miglioramento è riscontrato laddove i siti sono di nuova concezione, come nel caso di Webank, Banca Generali, Banca Etruria, Cariparma-FriulAdria e Poste Italiane, gli sviluppatori ed i webmaster hanno seguito le regole stabilite dalle norme del W3C, il consorzio mondiale che fissa i principi di costruzione dei siti, seguendo i quali un sito risulta migliore sia dal punto di vista della navigazione che da quello della gestione. Queste banche, inoltre, hanno approfittato del loro restyling anche per rivolgere una maggiore attenzione alla trasparenza, curando in maniera più dettagliata e scrupolosa i fogli informativi dei singoli prodotti. E tutte hanno lavorato e stanno lavorando per adeguare il canale mobile alle novità provenienti dal mondo della telefonia con UMTS con piattaforme per iPhone e Smartphone.

Le banche oggi adottano, tutte, sistemi di sicurezza all'accesso più avanzati. Ecco in sintesi i sistemi di autenticazione forte più utilizzati dagli istituti monitorati da Of Osservatorio finanziario:
Sistemi a micro-circuito: utilizza una smart card personale abbinata a un Pin che genera una password usa-e-getta (OTP, One Time Password). E' usato da Poste Italiane con Kit sicurezza (lettore BancoPosta) e da Raiffeisen Italia.

Chiamata sicura (Secur call) - Identificazione su chiamata a un cellulare del cliente : si imposta una operazione al Pc o da cellulare e si deve chiamare un numero verde digitando un numero o Pin casuale che appare a video attivando in questo modo un canale alternativo di controllo via GSM per dare il via libera all'operazione. Lo usano Cariparma-FriulAdria e Allianz Bank.

---- OTP: Password dispositiva mono-uso (One Time Password) che si genera o con un apparecchio tascabile (il token) oppure con speciali card con tastierino e visore. Ad usarlo sono: Banca delle Marche, Banco Popolare (token card), Casse Rurali Trentine e Banca Etica con la piattaforma INBank, Popolare di Bari, Banco Desio, BNL-BNP Paribas, Popolare Pugliese, Carismi, Credem, Creval, CrediUmbria BCC (Relaxbanking), Banca Fideuram, Intesa Sanpaolo, Sella e Websella, IWBank (sperimentata anche Visa Pin Card), MPS Infinita, Popolare di Vicenza, BCC con SimplyBank, UGF Banca, UniCredit Banca.

Sms Pin: la password dispositiva aggiuntiva usa e getta è generata da un sistema che la invia tramite messaggistica via cellulare dopo una richiesta fatta da cellulare. Stessa sicurezza del token, ma maggiore portabilità. Usano questo sistema MPS Infinita (prima ad utilizzare questo sistema), Creval, Fineco Bank (SMS Pin) e Webank.

Inoltre, per rendere maggiormente sicuro l'accesso all'area personale riservata le banche adottano vari sistemi per combattere phishing, keylogger, defacement, virus troiani come ad esempio:
Tastierini virtuali: per inserire il codice di sicurezza viene utilizzata una tastiera grafica a video, in cui le posizioni dei numeri sono casuali e i cui numeri sono attivati con il mouse e non da tastiera. Questo perché ci sono dei virus chiamati keylogger e mouselogger, che rilevano ciò che si digita da tastiera e anche la posizione del mouse. Lo usano, tra le altre, Banca Mediolanum, Cariparma-FriulAdria (NewBanking), BPER, CheBanca!, Ing Direct, IWBank

Avvisi SMS (sms alert) : è la notifica immediata delle operazioni via SMS (o mail) non è certo uno strumento di prevenzione, ma permette agli utenti di rendersi conto immediatamente di operazioni non eseguite da loro e di bloccarle ed eventualmente se qualcuno si è collegato all'area riservata senza permesso. Lo usano tutte le banche, alcune gratuitamente e altre a pagamento (rilevazione 2010 in corso).

SSL Certificate: Il certificato di una terza parte che garantisce che il server su cui gira il sito della banca è protetto da crittografia con standard elevato. Il server https (Hypertext Transfer Protocol over Secure Socket Layer) con crittografia asimmetrica è utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti che potrebbero essere effettuati tramite la tecnica detta del Man-in-the-middle (MIM), ciop del cyberladro che s'inserisce durante una transazione e riesce a dirottarla su un diverso conto corrente. L'utente identifica un server sicuro e certificato, grazie all'icona del lucchetto in basso sulla pagina del browser. Lo usano tutte le banche per l'area riservata. Ma solo 4 banche su 45 anche per l'intero sito, cioé: Banca Mediolanum, Sella e Websella, Webank.

Extended Validation SSL Certificate: Il certificato esteso sempre di una terza parte collabora con il browser di nuova generazione con Internet Explorer 7 e 8 per identificare esattamente il proprietario di un sito. Questo per evitare il problema del defacement, cioè dei fasli siti o delle false pagine di un sito creati dai cybercriminali. Il browser quando rileva un certificato esteso cambia il colore della barra di navigazione da bianco in verde e in questo modo segnala all'utente in modo immediato che il sito è davvero quello che dice di essere. In più, se si clicca con il tasto destro sull'icona verde, appare per esteso il nome della società certificatrice (VeriSign, ad esempio) unita a quello del proprietario del sito. Attualmente IWBank e Banco Popolare ByBank offrono questa certificazione nell'area riservata, Banca Sella e Websella in tutto il sito e recentemente anche CheBanca! nell'area clienti e area preventivo mutui.

---- Firma (certificato) digitale: è il sistema probabilmente più sicuro e che avrà maggiore sviluppo nel prossimo futuro. E' offerto alle aziende e ai professionisti alla quasi totalità delle banche. Ad offrirlo anche ai privati ci sono, tra le altre, oggi Banca MPS Infinita, Banca Carige, BancoPopolare, che lo impone ai privati che non possono nemmeno accedere al servizio senza prima installare il certificato nel computer Carige e MPS offrono il sistema Ceedo, una penna USB che contiene il certificato/firma digitale. Nel 2010, è in programma un servizio con firma digiale anche per i clienti privati di Intesa Sanpaolo. Numerose sono le banche che stanno sviluppando sistemi di firma abbinata a servizi di sicureza via cellulare come Cariparma-FriulAdria con il SecurCall.

Profilazione degli utenti: creare un profilo dell’utente permette alla banca di rilevare operazioni “anomale”, e quindi contattare l’utente per verificare che l’operazione sia legittima. Lo usano in via sperimentale alcuni grandi gruppi: Cariparma-Gruppo Crédit Agricole, Intesa Sanpaolo, Sella e Websella, MPS, Unicredit Banca e Fineco Bank. Ci sono altri accorgimenti "intelligenti" come, ad esempio, richiedere oltre all'identificativo e la prima password, anche la data di nascita, oppure il numero del contratto del mutuo, della carta di credito, o ancora un numero casuale selezionato la prima volta che ci si è registrati. Più elementi di aggiungono e maggiore è il livello di sicurezza aggiuntiva, dato che per un criminali sarà necessario conoscere maggiori informazioni sulla propria vittima.

Ecco in sintesi le "storiche" macro-categorie di Of-Osservatorio finanziario che identificano l'approccio con cui le banche gestiscono la sicurezza:
Le “combattenti“, le banche che hanno subito i maggiori attacchi e hanno quindi sono state costrette ad investire massicciamente in sicurezza coinvolgendo anche le istituzioni pubbliche (Poste Italiane, UniCredit Banca tra le prime, ma nel corso del 2009 massicci attacchi di phishing sono stati sferrati contro Popolare di Bari, Bper, Banca Etruria, Veneto Banca e numerose BCC).

Le “dinamiche“, quelle che hanno scelto le tecnologie innovative per prime e hanno l’innovazione come punto cardine della strategia (tra queste, Allianz Bank, Cariparma-FriulAdria, Banca Monte dei Paschi di Siena, Banca Sella, IWbank).

Le “prudenti“, che hanno investito sulla sicurezza in modo progressivo, con una comunicazione costante verso i clienti (tra queste, Carige, Intesa Sanpaolo, Ing Direct, Popolare di Verona-BancoPopolare e Webank).

Le “allineate“, che nel corso dello scorso anno hanno rinnovato il sito e i servizi di sicurezza allineandosi agli standard “minimi” (tra queste, Chebanca!, INBank, Popolare di Bari, Banco Desio, BNL-BNP Paribas, Popolare Pugliese, Carismi, Credem, Creval, CrediUmbria BCC (Relaxbanking), Banca Fideuram, SimplyBank, UGF Banca, Popolare di Vicenza e Cariprato, Banca Etruria).

Le “ferme“, banche che magari hanno un livello buono di sicurezza, ma non innovano per i motivi più disparati (ad esempio, Veneto Banca, Bper). Quest'ultime stanno lavorando per rinnovare piattaforme e sistemi e si prevede che nel 2010 rientrino in categorie più "dinamiche".

©Of-Osservatorio finanziario - Riproduzione riservata

Torna alla home del Magazine di Of n. 9
Vai allo Speciale sicurezza 2009