Come proteggere il tuo conto corrente online – Guida completa

Nulla a questo mondo può essere considerato sicuro al 100%. Soprattutto quando si parla di movimentare del denaro. Negli ultimi anni numerosi istituti bancari si sono prodigati nell’offrire ai propri clienti conti correnti online con bassissimi – o nulli – costi di gestione, accessibili 24 ore su 24 dal computer di casa e con la possibilità di disporre operazioni in qualunque momento della giornata, con pochi click del mouse.


Scarica il Whitepaper Alground con la guida completa per la protezione del tuo conto corrente online


Ma quanto effettivamente è sicuro operare con i sistemi di home banking? Quali sicurezze sono in grado di fornire le banche e quali accorgimenti devono invece applicare gli utenti per autotutelarsi contro le frodi?

cards_2222752a

I Virus bancari

Il principale timore di chi opera sui sistemi home banking è quello di ritrovarsi dall’oggi al domani il conto corrente svuotato. Tra i principali artefici delle frodi bancarie figurano i trojan informatici: un software penetra nel nostro computer, si installa, raccoglie una serie di dati (solitamente user, password, numeri di conto e di carta) e li trasmette a un altro computer. Dal quale probabilmente qualcuno ne farà usi alquanto spiacevoli per le nostre finanze.

Il capostipite di questa famiglia di programmi è stato battezzato Zeus: il trojan in questione si installa nel software di navigazione agendo da intermediatore, modificando intere porzioni della pagina web allo scopo di richiedere all’ignaro cliente tutte le sue credenziali di accesso. A questo punto al trojan non resta che memorizzare questi e trasmetterli al suo creatore, dandogli pieno controllo del conto della vittima.

Truffe a larga diffusione: phishing, vishing e smishing

Ogni giorno milioni di utenti ricevono nella propria casella mail comunicazioni a firma di una banca, attraverso le quali si viene invitati a confermare o aggiornare i codici di accesso al proprio conto corrente.

Si tratta ovviamente di truffe in piena regola, in quanto nessuna banca chiede alla clientela di confermare via mail le credenziali di accesso o qualsiasi dato personale. Il funzionamento della frode è semplice: i criminali informatici realizzano una serie di comunicazioni-tipo con la grafica degli istituti bancari più diffusi.

phishing-650x245

Le comunicazioni, generalmente dal tono perentorio e pressante, intimano ai clienti di cliccare su un link contenuto nella mail stessa e quindi eseguire l’accesso al proprio conto.

Accedendo alla pagina l’incauto navigatore viene portato su un sito-clone in tutto e per tutto simile a quello originale, allestito al solo scopo di rubare le credenziali di accesso al cliente. L’evoluzione delle truffe informatiche ha portato negli ultimi anni alla nascita del vishing. Un malintenzionato spedisce alla vittima una finta e-mail dove segnala addebiti e irregolarità sul conto corrente, invitando la vittima a telefonare a un numero fasullo indicato come call center dell’istituto di credito.

Un centralinista complice confermerà i timori dell’utente invitandolo quindi a collaborare e a fornire le coordinate bancarie per un controllo. Credenziali che verranno quindi sottratte e impiegate per sottrarre denaro alla vittima. Con l’esplosione del mercato degli smartphone ha iniziato a prendere piede in tempi recenti anche lo smishing, una nuova tecnica fraudolenta che ha sostituito la telefonata truffaldina con l’invio di un sms sul telefonino della vittima.

Home banking: le tipologie, pro e contro di ogni scelta

  • Accesso tramite credenziali statiche: si tratta in questo caso del più elementare sistema di accesso, ormai scarsamente utilizzato dalle banche per via del suo irrisorio livello di sicurezza.
    ‘accesso al proprio conto avviene tramite l’inserimento di una username e una password alfanumerica. Nel caso in cui le credenziali finiscano nelle mani sbagliate o vengano “spiate” sul nostro computer da occhi indiscreti, il conto sarà esposto alla mercè del malintenzionato.
    PRO: facilità d’uso
    CONTRO: bassissimo livello di sicurezza, alto rischio di furto delle credenziali e di phishing.
  • online-bankingAccesso tramite credenziali statiche e codici “one time password” (OTP): da ormai qualche anno molti istituti bancari hanno fornito ai propri correntisti dei dispositivi OTP, piccoli display che alla pressione di un tasto mostrano per pochi secondi un codice numerico da inserire a ogni singolo accesso, con validità limitata e capace di rigenerarsi ogni manciata di secondi. In mancanza del dispositivo otp risulta pressoché impossibile inserire il codice corretto e quindi accedere al conto bancario di un utente.
    PRO: elevata sicurezza.
    CONTRO: ogni correntista è obbligato a portare con sé il dispositivo otp, senza il quale non è possibile accedere all’home banking
  • Accesso tramite sms dispositivo o mail: variante del sistema otp che “scavalca” la necessità di un dispositivo fisico in grado di generare i codici temporanei. In questo caso, previa registrazione del proprio numero di telefono nel database della banca, ad ogni accesso tramite credenziali statiche la banca invia sul cellulare la password otp in modo da perfezionare l’accesso.  All’utente può essere inoltre data la possibilità di ricevere il codice tramite mail, con procedimento analogo
  • PRO: elevata sicurezza, praticità di impiego
    CONTRO: in caso di furto o smarrimento del cellulare (o di intrusioni nella casella mail) il codice dispositivo può essere inviato a terzi
  • Accesso tramite verifica telefonica: variante dell’sms dispositivo. Ogni volta che un utente accede all’home banking attraverso le credenziali statiche, gli viene chiesto di inoltrare una chiamata di verifica verso un numero della propria banca concordato in fase di sottoscrizione di contratto.
    PRO: elevata sicurezza e praticità di impiego
    CONTRO: in caso di telefono sorvegliato o controllato, il numero della banca potrebbe essere rintracciato da terzi
  • Accesso tramite card fornite dalla banca (matrici dispositive): accanto alle credenziali statiche, alcune banche hanno integrato nella procedura di accesso la richiesta di dati personali (es. data di nascita del cliente) e di un codice alfanumerico contenuto in un’apposita card fornita ai correntisti, organizzata in celle. Ad ogni accesso il sistema chiede all’utente di inserire il codice contenuto in una data cella (un meccanismo simile alla battaglia navale).
    PRO: grande praticità, le card possono facilmente essere trasportate all’interno di borse e portafogli come una normale carta di credito.
    CONTRO: se individuata, la card può essere copiata e usata da terzi per accessi non autorizzati.

Scarica il Whitepaper Alground con la guida completa per la protezione del tuo conto corrente online


Strategie di difesa: cosa fare, cosa evitare

Se da un lato le banche dispongono di schiere di professionisti della sicurezza informatica, le statistiche confermano che 9 volte su 10 gli attacchi degli hacker si concentrano sull’anello debole del sistema: il cliente.

Spesso i correntisti accedono ai servizi di home banking da computer privi di antivirus, caratterizzati da sistemi operativi obsoleti e quindi altamente vulnerabili agli attacchi informatici o, nel peggiore dei casi, infettati da virus e trojan. Di seguito illustreremo passo a passo alcuni degli accorgimenti utili e le precauzioni indispensabili per non incappare in brutte sorprese.

  • rsasecurity1Solo il tuo computer, e un solo browser. Reti pubbliche senza protezioni o linee di conoscenti delle quali si ignorano i requisiti di sicurezza potrebbero essere controllate da truffatori pronti a carpire i vostri dati. Per questo è bene accedere ai servizi di home banking esclusivamente dal proprio computer e non da quello di estranei, dedicando alla procedura di accesso un browser esclusivo che sarà costantemente aggiornato sotto il profilo della sicurezza.
  • Porno, file sharing e materiale illegale. I siti più pericolosi per i conti bancari. Siti contenenti materiali illegali, piattaforme di file sharing, portali segnalati dai filtri anti-phishing rappresentano un ricettacolo di minacce informatiche sotto forma di virus, trojan e malware. Il rischio di essere contaminati è sempre presente: per tali ragioni è consigliabile effettuare l’accesso all’home banking solo da computer sicuri, meglio ancora se dedicati a questo genere di attività e non soggetti alla navigazione web intensiva.
  • Occhio al lucchetto. Anche quando si inserisce manualmente l’indirizzo della propria banca, prima di inserire le credenziali di accesso è necessario verificare la presenza del lucchetto accanto alla barra degli indirizzi del browser e la scritta https:// all’inizio del sito. Questi simboli ci comunicano che i dati inseriti saranno trasmessi al nostro istituto di credito tramite una connessione protetta, al riparo dagli occhi dei truffatori.
  • Diffidate sempre da improvvise anomalie e cambiamenti. Se da un giorno all’altro la vostra banca modifica le modalità di accesso o le grafiche del sito senza darvene preventiva comunicazione, con ogni probabilità vi trovate davanti a un tentativo di truffa. Contattate sempre la vostra banca per i dovuti chiarimenti.
  • Controllate gli estratti conto cartacei. Tutte le banche sono solite inviare al cliente via posta tradizionale gli estratti conto e le notifiche dei movimenti con cadenza mensile o trimestrale. È buona norma confrontare sempre questi documenti con gli estratti conto dell’home banking e comunicare eventuali anomalie alla propria banca.

Generalmente per smascherare un tentativo di phishing via mail è sufficiente valutare pochi, semplici elementi:

  • Leggere attentamente il messaggio mail o sms alla ricerca di errori di ortografia e/o sintassi: spesso gli artefici del phishing utilizzano traduttori automatici per diffondere un’unica comunicazione in decine di lingue diverse, ricorrendo in grossolani errori grammaticali che nessuna banca commetterebbe. Per sicurezza, non cliccare mai sui link contenuti in questi messaggi
  • Controllare scrupolosamente gli indirizzi web linkati nella mail: una lettera in più, una virgola, qualsiasi carattere aggiuntivo rispetto all’indirizzo web canonico dell’istituto bancario costituisce una chiara prova di frode.
  • In caso di dubbio, anche lieve, contattare telefonicamente la propria banca per verificare l’effettiva provenienza delle comunicazioni.

Quando le banche chiedono di firmare su un tablet

Alcuni istituti di credito hanno acquisito l’abitudine di richiedere le firme dei propri clienti attraverso un tablet. Una procedura per certi versi scontata dato il crescente impiego di questi dispositivi nella vita quotidiana, ma che si presta invece a molteplici controversie. Il rischio in questo caso è che il protocollo di acquisizione delle firme risulti carente sotto il profilo della sicurezza, con potenziale rischio di uso improprio da parte di terzi.

I device più diffusi consentono in genere l’acquisizione della firma del cliente con annessa registrazione delle informazioni biometriche (pressione, inclinazione della mano). Valori che, a detta dei produttori dei device, sarebbero sufficienti da soli a garantire l’originalità della firma.

La confusione sul tema è ancora grande e l’attuale quadro normativo non si è ancora adattato alla novità. Per essere sicura, una firma deve avere protocolli ben definiti che indichino le modalità di apposizione della firma, le caratteristiche del sistema di acquisizione, la quantità dei dati biometrici raccolti, la possibilità di bloccare il documento firmato e di verificarne la “non alterabilità” dopo la firma. In presenza di tutti questi fattori, la firma eseguita su un tablet può essere equiparata a una firma elettronica qualificata e avere quindi valore probatorio legale.


Scarica il Whitepaper Alground con la guida completa per la protezione del tuo conto corrente online


Top Contributor

Sandro TucciResponsabile IT e direttore dei sistemi informativi CheBanca!Sandro ha contribuito allo sviluppo della parte dedicata ai sistemi di protezione della banca e alle tipologia di home banking.
Stefano ZaneroRicercatore del dipartimento di elettronica del Politecnico di Milano.Stefano ha contribuito allo sviluppo della parte relativa ai rischi informatici e alla questione delle firme sui tablet.