L’home banking non è solo una questione di tecnica bancaria. Soprattutto se il mezzo di consultazione scelto è Internet, la sicurezza è una questione fondamentale.
Ogni banca sceglie i metodi di autenticazione che ritiene migliori, ma su una cosa non si può assolutamente soprassedere: la connessione deve, e sottolineiamo deve, essere cifrata con SSL. Solo così l’utente può essere certo che i propri dati sensibili non siano leggibili anche da terzi.
La connessione cifrata è facilmente identificabile con Internet Explorer perché compare l’immagine di un lucchetto chiuso in basso a destra. A oggi per fortuna non ci risultano banche prive di questo supporto.
Il discorso cambia quando si parla di autenticazione.
A tutt’oggi il meccanismo preferito è la semplice accoppiata di nome e password.
Certo, in aggiunta al protocollo SSL un buon metodo di sicurezza, ma ce ne sono di molto migliori. Il punto cruciale è che un impostore che, per qualsiasi motivo, entri in possesso del nome e della password di un cliente reale della banca, può operare a piacimento.
Per questo motivo alcune banche hanno inserito un livello aggiuntivo di password (in alcuni casi chiamata “password dispositiva”, ma il nome può variare) che è fondamentale per poter eseguire le operazioni dispositive. In pratica quando si va a richiedere un bonifico o un pagamento, il sistema richiede una password aggiuntiva, in assenza della quale l’operazione viene bloccata.
Certificato Digitale
Ma non è ancora il massimo della sicurezza possibile, che si ottiene soltanto utilizzando i certificati digitali. Un certificato digitale è uno strumento matematico piuttosto complesso, basato su algoritmi a doppia chiave, che permette di identificare, in modo univoco e sostanzialmente impossibile da contraffare, un computer.
È un livello di sicurezza aggiuntivo davvero pesante: se anche qualcuno entrasse in possesso del nome e della password di un cliente, senza il corrispondente certificato digitale non potrebbe nemmeno entrare nel sito web della banca dedicato all’home banking. Come spesso accade, una maggiore sicurezza comporta anche una serie di procedure più lunga e noiosa per il cliente.
Nel caso di un certificato digitale, infatti, è necessario andare fisicamente presso la banca emittente, essere identificati con un documento valido, ritirare l’identificativo utente e le due password (di consultazione e dispositiva), che vengono generate scadute, collegarsi al sito web della banca, seguire la procedura di installazione del certificato digitale (che viene scaricato in connessione protetta da SSL), chiudere il browser, riaprirlo, ricollegarsi al sito web della banca, identificarsi con il certificato digitale appena scaricato (in realtà basta premere OK in una finestra di popup), inserire la password fornita dalla banca insieme all’ identificativo utente, cambiare la password che era stata generata scaduta per sicurezza, e finalmente guardare il conto corrente.
Lungo vero? Purtroppo è questo il prezzo da pagare per avere una sicurezza degna di questo nome. Questa è la parte tecnica della sicurezza, quella gestita dalle soluzioni tecnologiche.
Ma c’è di più.
Come nel caso del bancomat è consigliabile dare un’occhiata in giro, per vedere che non ci sia nessuno in condizioni di “sbirciare” il codice (attività che gli hacker chiamavano upshoulder surfing, letteralmente fare il surf sopra le spalledi qualcuno), nel caso dell’home banking attraverso il computer è fondamentale che nessuno entri in possesso del computer. Per un portatile forse è ovvio.
Ma vale anche per il pc di casa. Mai avuto bisogno di un intervento in garanzia che prevede il ritiro della macchina?
Prima di farla ritirare avete cancellato la history del browser, le password della posta elettronica, dell’accesso a Internet, quelle per l’autenticazione sui siti web e, soprattutto, il certificato digitale dell’home banking, vero?
Se non è stato fatto, tutte queste password sono compromesse. Non è una volgare insinuazione nei confronti della professionalità di chi fornisce assistenza, è un semplice calcolo: se qualcuno, anche per un solo momento, ha avuto la possibilità di copiare password e certificati di questa importanza, si devono considerare compromessi.
Diffidate di qualsiasi messaggio (proveniente da posta elettronica, siti web, contatti di instant messaging, chat o peer-to-peer) vi rivolga l’ invito a scaricare programmi o documenti di cui ignorate la provenienza.
È meglio per tutti, anche per chi ha fatto l’assistenza, che in caso di problemi, magari di altra natura, sarebbe comunque il primo a essere “indiziato”.
È per motivi simili che alcuni siti di home banking impediscono il salvataggio automatico del nome utente e della password: certo è una rottura di scatole doverle inserire ogni volta, ma è il sistema più sicuro. Anche perché, nel caso di un portatile, se qualcuno lo ruba, non ci metterà molto a sfruttare le capacità dei browser a danno del conto corrente registrato su quel computer.