Di questi tempi, fra fusioni mancate e realizzate, le banche italiane stanno promuovendo alcuni servizi finalizzati a migliorare la sicurezza delle transazioni effettuate sul web, anzi stanno promuovendo loro stesse e la loro reale o presunta sicurezza offerta alla clientela.
Mentre il cliente comune un po' a digiuno di informatica (e soprattutto di sicurezza informatica) potrebbe "abboccare" a molti spot pubblicitari, l'utente evoluto ed informato dovrebbe essere in grado di discernere meglio.
Poiché una trattazione completa sarebbe estremamente impegnativa ed onerosa, vorrei presentare soltanto alcuni casi reali che permettano a tutti i lettori di riflettere sull'argomento e comportarsi consapevolmente.
Personalmente non capisco coloro che, per eccesso di paura, diffidano nel modo più assoluto degli strumenti informatici e telematici per effettuare transazioni economiche quali home banking ed acquisti su internet: a fronte di un rischio basso di subire frodi (a patto di comportarsi prudentemente) si espongono a disagi certi (tempo perso per recarsi in banca, lunghe file agli sportelli, maggiori costi di acquisto di beni acquistabili su internet con carta di credito, ecc.).
Non capisco nemmeno coloro che si sono fatti fregare dal "phishing", "abboccando" ad email provenienti da indirizzi di note banche chiaramente taroccati che richiedevano di collegarsi ad un sito internet (anch'esso cammuffato) per digitare i propri codici di accesso, PIN o altre informazioni riservate. Chi riceve e-mail intestate "contemporaneamente" da Banca Intesa, SanPaolo e Fineco che richiedono il PIN di accesso al conto corrente bancario dovrebbe fermarsi un attimo, pensare che certe fusioni non sono ancora avvenute e cancellare la mail.
Per tutti gli altri vorrei invece esporre le situazioni seguenti, esemplificative di quello che può capitare.
1) Banca Nazionale del Lavoro (BNL): servizio e-family BNL.
Si tratta di un servizio per operare in home banking da casa, ovvero consultare i movimenti del proprio conto corrente, effettuare operazioni quali bonifici, pagamenti vari, ecc.. Occorre recarsi in banca per ricevere un codice di accesso, un PIN ed un apparecchietto, chiamato anche PASS BNL, che genera continuamente una password differente con frequenza prestabilita. In banca si viene riconosciuti per poter ricevere il tutto.
Una volta abilitati al servizio occorre digitare codice di accesso, PIN e la password di 6 cifre generata dal PASS BNL per autenticarsi al sito e poter consultare il conto corrente e disporre operazioni. Peccato che il codice di accesso sia stampato sul PASS: in questo modo chi dovesse riuscire a sottrarre il PASS avrebbe già due informazioni su tre necessarie per accedere all'home banking. Ma la vera "chicca" è che dopo essersi autenticati il browser (se correttamente configurato) ci avverte che stiamo per essere collegati ad una sessione non protetta, chiedendoci conferma dell'operazione. Cliccando su si si viene portati su una pagina web priva del mitico lucchettino nella barra delle applicazioni, in basso a destra nella finestra del browser e l'indirizzo iniza con "http://" anziché col prefisso delle connessioni protette "https://". Se l'utente che ha letto da qualche parte di diffidare dei siti internet privi di suddetti simboli di sicurezza nell'effettuazione di transazioni bancarie prova a telefonare in banca per chiedere delucidazioni riceverà assicurazioni generiche e capirà di non aver parlato con una persona competente.
2) Unicredit Banca: servizio di home banking.
Servizi analoghi a BNL, strumenti simili. Qui il tanto pubblicizzato dispositivo generatore di password (anche qui 6 cifre) è continuamente acceso (prima o poi si scaricherà la pila), non riporta il codice di accesso e serve solo se si vuole disporre operazioni di pagamento, non per consultare il conto corrente, per il quale sono sufficienti codice di accesso e PIN. Il punto debole è la consegna del dispositivo generatore di password, per la quale spesso sono sufficienti dati personali generici dell'intestatario del conto.
Per questo, come per il caso precedente, un altro possibile punto debole può essere costituito dalla digitazione dei codici sul sito web della banca che potrebbero essere carpiti da programmi cosiddetti keylogger, installati all'insaputa dell'utente. Ciò può essere evitato utilizzando appositi programmi (ad es. Password Safe) che permettono di copiare ed incollare i codici e le password nel modulo web senza digitare su tastiera, vanificando così l'operato dei keylogger.
3) Conto Arancio: conto corrente esclusivamente on-line e telefonico.
In questo caso non ci sono apparecchi da gestire e quindi la consultazione può avvenire in modo più agevole anche lontano da casa, senza portarsi con sè il generatore di password (e rischiare di farselo rubare). Oltre al codice ed al PIN di accesso viene chiesta anche la data di nascita dell'utente (informazione acquisibile da malintenzionati, ad esempio decodificando il codice fiscale), però la digitazione avviene attraverso una tastiera a video cliccabile con il mouse che supera il problema keylogger, tra l'altro la disposizione delle cifre a video cambia ad ogni digitazione. Una maggiore sicurezza è offerta dalla modalità di utilizzo di Conto Arancio, che non permette il trasferimento di danaro su conti correnti dal conto corrente predefinito, intestato al possessore del Conto Arancio stesso.
Diciamo qualcosa infine sulle carte di credito. I servizi aggiuntivi - a pagamento - offerti dalle banche (ad es. Bankpass Web) servono solo a cautelare le banche stesse e le società emittenti, infatti il Codice del Consumo prevede che in caso di operazioni fraudolente effettuate con il solo codice della carta di credito la somma spesa venga riaccreditata al cliente ed addebitata alla società emittente che è responsabile dell'operazione. Alcuni accorgimenti introdotti di recente per garantire maggiormente le transazioni, come ad esempio quello di richiedere le ultime quattro cifre a destra stampate sul retro della carta accanto alla firma, sono utili e soprattutto gratuite per il consumatore.