HomeDomandeNewsletterAbbonamentiArretratiLibriCarrelloContatto Accedi

Cerca gli articoli con queste parole:
Criteri
Posizione
Riviste
Periodo
Nessun oggetto nel carrello
L'Inchiesta
Edizione: 4/2017 luglio

Nome: L'Inchiesta
Nato il: 17 novembre 1999
Abbonamento: fr. 48.00 all'anno
Uscita: entro il 10 dei mesi dispari


Abbonati a L'Inchiesta
Acquista gli arretrati
Acquista i libri
L'inchiesta su iPad e iPhone

Torna indietro
4/2017 luglio | pagina 13

Codici segreti sotto attacco
L'e-banking è diventata una preda ambita dagli hacker. Le banche ora corrono ai ripari

Per pagare via e-banking servono login, password e numero di transazione (Tan), utilizzabile una sola volta. Una procedura molto comune è il mobile-Tan: la banca trasmette il codice unico al cellulare via sms, il cliente immette il codice sul pc e può così accedere al proprio conto. In parte i pagamenti devono essere autorizzati con un ulteriore codice sms.

La procedura mobile-Tan è stata a lungo ritenuta sicura. A inizio maggio, però, la Süddeutsche Zeitung, quotidiano di Monaco di Baviera, ha reso noto che alcuni truffatori sono riusciti ad aggirare la procedura. Gli hacker hanno riversato soldi di clienti tedeschi sui propri conti. Prima si sono procurati i dati di login tramite delle e-mail di phishing, poi hanno rubato i codici sms per l'online banking sfruttando punti deboli della rete mobile.

Secondo la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione Melani, la falla nella sicurezza della rete mobile è nota da tempo. La Centrale federale ha saputo di un primo attacco a gennaio e ne ha informato le banche. Contemporaneamente, ha consigliato di rinunciare al sistema mobile-Tan.

Photo-Tan più sicuro
La procedura e-banking è adottata tra l'altro anche da Raiffeisen, Credit Suisse, Banca Cler (ex Banca Coop), Zkb e altre banche cantonali, nonché dalle banche del gruppo Clientis.

Raiffeisen sostiene che, in Svizzera, il mobile-Tan sarebbe «di solito» protetto meglio che in Germania. Ciò nonostante, Raiffeisen vuole passare alla procedura photo-Tan, nella quale il cliente, con il telefonino, fotografa un'immagine a mosaico con punti colorati sullo schermo del computer. Dall'immagine, un'app sul cellulare elabora e trasmette un'aggiunta alla password, utilizzabile una sola volta.

Zkb prevede di passare a photo-Tan a settembre, Cs ritiene che il mobile-Tan sia sicuro, però consiglia ai clienti di usare Secure Sign, la propria variante di photo-Tan. Il gruppo Clientis continuerà invece ad usare mobile-Tan, chiarendo di valutare continuamente lo stato di minaccia e le procedure di connessione alternative.

Reto Koenig, professore di informatica presso la Scuola universitaria professionale di Berna, ritiene che le operazioni di e-banking via cellulare non siano sicure: «Ogni telefonino è aperto a terzi e dunque non è un canale sicuro per la trasmissione di codici». A suo avviso, le uniche procedure sicure sono quelle con un apparecchio esterno, usato solo quale mezzo di autorizzazione.

Un esempio è il lettore di Postfinance. Introducendo la carta nell'apparecchio giallo, compare un codice unico. Anche questa soluzione però, secondo Koenig, non è abbastanza sicura: «L'utente s'identifica per un'intera sessione. Tutti i pagamenti effettuati durante questa sessione rimangono non autorizzati».
L'esperto informatico propone di adottare un'identificazione Tan non solo per la sessione, bensì per ogni operazione, cosa che però sarebbe molto fastidiosa.

Consigli: i pagamenti si possono eseguire agevolmente anche con ordini di pagamento scritti.


Banche a responsabilità limitata

Uno scenario da incubo: dopo il login, si scopre che il proprio conto online è vuoto.

In Germania, la Commerzbank pubblicizza una Garanzia sicurezza: risarcisce i soldi mancanti, sempre che non ci sia dolo.

Nessuna banca svizzera è disposta a tanto. Lo ha rilevato un'inchiesta di Saldo tra nove banche quali Ubs, Credit Suisse, Zkb e Banca Migros. Ogni caso sarebbe valutato singolarmente, dicono gli istituti. Qualora il cliente non avesse violato i suoi obblighi di diligenza, gli si verrebbe incontro.

I clienti non possono dare per scontato che la banca si assuma l'intero danno. A metà febbraio, sono spariti dai conti dell'azienda bernese Belwag ben 1,2 milioni di franchi. Gli hacker avevano manipolato il software per i pagamenti, in modo tale da farsi versare il denaro su conti esteri da Cs, Ubs e Berner Kantonalbank. Belwag ha riottenuto la maggior parte dei soldi. Ma rimangono 210 mila franchi. Non si sa se mai ricompariranno e chi risponde della perdita. Secondo la Centrale Melani, gli hacker hanno attaccato altri conti, ma dettagli non ne sono stati resi noti.

Reto Koenig, della Scuola universitaria professionale di Berna, è a conoscenza di altri tre casi nei quali i clienti hanno finito per dover rispondere di una parte del danno.

Ciò che il professore nota è lo schema che si ripete. Prima le banche si mettono di traverso, sostenendo che il cliente non abbia adempiuto totalmente i propri obblighi di diligenza. Se il danneggiato minaccia di rendere pubblica la vicenda, le banche ammettono il loro torto e si assumono la maggior parte del danno. Contemporaneamente, mettono la museruola alle vittime.

Thomas Lattmann, Saldo
Michela Salvi, L'Inchiesta

Impressum Design by VirtusWeb