Banche: addio ‘chiavetta’, il token diventa digitale

Istituti passano ai nuovi sistemi di autenticazione incorporati nelle App di smartphone. Ma ora è a rischio la sicurezza dei clienti.

460 0
460 0

Sarà probabilmente arrivato anche a voi l’avviso della banca in cui si diceva che venivano approntate modifiche al sistema di accesso dell’home banking. Molti istituti italiani stanno rimpiazzando i sistemi di autentificazione tradizionali con dei token virtuali, più facilmente attaccabili da agenti esterni.

Dai sistemi che generano codici usa e getta su un formato fisico come la chiavetta (OTP, ovvero One Time Password) si sta passando gradualmente ai token digitali, che dispongono di codici usa e getta generati direttamente sullo smartphone del cliente, oppure che sono integrati in apposite App o ancora che vengono comunicati via sms.

Dal 14 settembre è infatti operativa la nuova regolamentazione sulla strong authentication prevista dalla PSD2 (direttiva 2015/2366) per il commercio elettronico: in pratica sarà necessario autenticare anche i pagamenti degli acquisti online con un codice OTP, come quello che si usa per le disposizioni da home banking. È chiaro che ricevere gli OTP su smartphone, lo stesso con cui molto spesso si fanno gli acquisti online, facilita la vita (rende l’esperienza di acquisto e di pagamento più accattivante).

Se da un lato c’è l’indubbio vantaggio della riduzione dei costi, dal momento che diverse banche fanno pagare i token fisici, dall’altro si vengono a creare nuovi problemi legati alla sicurezza. Si elimina quello legato al furto fisico ma se ne aggiungono molteplici legati alla sicurezza informatica.

Spostare la generazione dei codici dispositivi in App da installare negli smartphone è “una follia” secondo Andrea Cocito, Team and technology architect. In un post su LinkedIn l’esperto di informatica elenca i motivi per cui la crittografia non basta a proteggere i propri dati personali sui dispositivi portatili.

Gli attacchi, difatti, “sono sempre di tipo funzionale, procedurale, basati sull’implementazione o di social engineering”. Secondo Cocito, pertanto, alcuni “principi di sicurezza informatica di base”, sotto riportati, “propendono tutti a favore del token fisico”.

  1. Riduzione della superficie di attacco.
  2. Riduzione dei canali di comunicazione (isolamento).
  3. Compartimentazione.
  4. Minimizzazione del reward.
  5. Protezione fisica.
  6. Numerosità del target.

“Ci sarebbero state almeno due soluzioni per rispettare la PSD2 senza ridurre in modo così drammatico la sicurezza dei conti correnti”, conclude l’informatico. L’uso di token hardware con comunicazione bidirezionale e l’uso dei vecchi token hardware in aggiunta all’App dedicata. “L’una e l’altra soluzione, però, sarebbero state un po’ più costose per le banche: parliamo di ben una ventina (il primo) o una decina (il secondo) di euro per conto. Una tantum”.

È il motivo per cu le opzioni non sono state prese in considerazione, evidentemente. Ma così facendo le società del credito mettono a repentaglio la loro credibilità, oltre che la sicurezza dei clienti. A proposito di banche, ecco come si stanno muovendo caso per caso quelle italiane, in un’analisi di Altroconsumo:

Token: cosa succede, banca per banca, in Italia

Le banche italiane hanno interpretato in maniera molto diversa tra loro le novità di legge.

  • Intesa San Paolo. Dal 4 maggio 2019 la chiavetta O’Key non è più utilizzabile dai correntisti. I codici OTP saranno generati attraverso una app su smartphone. Per chi non ha lo smartphone l’alternativa è chiedere i codici usa e getta via sms sul cellulare. Ma mentre il token via app non ha costi, quello via sms costa 10 euro l’anno, a cui bisogna aggiungere il costo eventuale degli sms (compreso tra i 16 e i 26 centesimi a sms). Ovviamente per i correntisti questa è una modifica unilaterale delle condizioni economiche che Intesa San Paolo può fare rispettando il preavviso di almeno due mesi previsto dall’articolo 118 del Testo unico bancario.
  • Unicredit invece ha deciso di eliminare dal 12 marzo 2019 la password Card, la tesserina plastificata con 40 codici prestampati, che ancora i vecchi correntisti usavano per avere i codici autorizzativi. I clienti dovranno sostituirla con altro dispositivo di sicurezza a scelta tra Mobile Token (attraverso l’app su smartphone) e/o un token fisico, UniCredit Pass (costo di emissione 5 euro).
  • BNL BNP Paribas sostituirà il suo token fisico il prossimo 14 settembre 2019. Da quel momento i correntisti non potranno più usare il token fisico (Pass Bnl) e dovranno passare al Mobile Token con otp generati dalla app installata sullo smartphone oppure con sms inviati sul cellulare (a pagamento).
  • Credem passa al mobile token il 14 settembre 2019. E’ prevista la versione via app o la versione via sms.
  • MPS dal primo settembre abbandonerà il token fisico per passare a codici usa e getta inviati gratuitamente sul cellulare.
  • Credit Agricole da maggio 2019 invia gli otp con sms o con chiamata su cellulare certificato.

Banche che sono già passate a nuovi sistemi di autenticazione

  • Carige: sms per le operazioni dispositive su cellulare
  • Creval ha un tastierino numerico che produce otp dopo aver inserito pin in possesso del titolare.
  • Banca Popolare di Sondrio: otp via app oppure con tastierino numerico che genera otp dopo avere inserito pin
  • Banco Bpm: otp via app o tramite tastiera numerica o con token card.
  • Poste Italiane: otp via app o tramite lettore apposito in cui inserire carta Postamat.
  • Ubi Banca: già da un po’ di tempo è previsto l’uso del digital code generato da app su smartphone certificato. Per chi non ha uno smartphone si può ancora usare la tessera Qui Ubi per i codici dispositivi.
In this article

Scrivi un commento