L’Opinione risponde: nuove procedure per l’internet banking

Emanuela da Ferrara, scrive alla rubrica “L’Opinione risponde” (lettere@opinione.it): “Vorrei avere da un vostro esperto in materia dei chiarimenti riguardo le nuove tipologie utilizzate dalle aziende per la sicurezza degli account. Ultimamente la mia banca ha cambiato le modalità di accesso ad internet banking aggiungendo un ulteriore passaggio. Quali sono i maggiori metodi utilizzati come protezione dagli attacchi informatici?”.

Abbiamo contattato Giovanni Battista, ingegnere e Ctu del Tribunale di Roma che così ha risposto: “Gentile Emanuela, nell’ambito di un processo evolutivo d’integrazione ed unificazione delle procedure europee, la sua banca ha dovuto cambiare le modalità di accesso all’Internet banking in virtù dell’entrata in vigore di una nuova Direttiva europea che ha coinvolto tutti i clienti degli Istituti di credito dell’Ue, chiamata PSD2, acronimo le cui lettere stanno per ‘Payment Service Directive’ mentre il numero 2 si riferisce alla seconda fase attuativa della stessa direttiva. Ma vediamo praticamente le finalità e cosa ha comportato per gli utenti questa innovazione. La Direttiva rafforza le misure a tutela dei risparmiatori, per prevenire frodi e furti di identità. La sicurezza dei clienti, secondo il testo, si basa su tre principi:

1) Conoscenza: cioè una password o un codice pin che conosce solo l’utente;

2) Possesso: uno strumento che possiede solo l’utente (uno smartphone o un token);

3) Inerenza: cioè qualcosa che l’utente è, ad esempio un’impronta digitale o il riconoscimento facciale.

La Direttiva prevede l’adozione dell’Istituto di credito di almeno 2 di questi principi, come una password generata su smartphone, un pin generato da un token o un’impronta digitale impressa sul telefonino. Va da sé che questi nuovi standard hanno portato la molteplicità degli istituti italiani a dismettere l’ormai usuale token. Talmente ‘familiare’ e semplice da usare, quest’ultimo, che gli utilizzatori assidui dell’Internet banking erano consueti portarlo inserito nel mazzo delle chiavi di casa! La semplicità di quest’oggettino (token), però, nascondeva una fragilità legata alla generazione di un codice (Otp - One Time Password) che durava pochi secondi ma non escludeva la possibilità, per un hacker che si era inserito nel processo, di poterlo utilizzare per compiere una seconda operazione-lampo, sottraendo del denaro dal conto dell’ignaro utente. Con le nuove regole della PSD2, invece, il codice ‘restituito’ al cliente è valido solo e soltanto per quella operazione. Gentile Emanuela, quindi la sua banca le avrà chiesto di dismettere la sua chiave di accesso (token) all’Internet banking per sostituirla con una app che avrà dovuto scaricare sul suo smartphone. Su questo oggetto, ritenuto ormai di esclusivo utilizzo personale, le verrà inviato il codice abilitativo per l’operazione richiesta. Capisco in un primo momento qualche difficoltà nell’implementazione quotidiana della nuova procedura ma, al giorno d’oggi, dove il mondo sta volgendo sempre più al virtuale, ciò va a tutto vantaggio della sicurezza del proprio denaro ed un’uniformità dell’utilizzo di questo all’interno del territorio dell’Unione europea”.