Cariparma. La banca più sicura 2009/2010

Of-Osservatorio finanziario ha premiato come servizio di banca a distanza più sicuro 2009, Cariparma FriulAdria del gruppo francese Crédit Agricole, che ha recentemente lanciato Nowbanking Privati, (Leggi qui), piattaforma di home e mobile banking adatta anche a smartphone e iPhone. Le motivazioni della scelta sono sostanzialmente tre: prima di tutto, il gruppo bancario francese, nel momento in cui ha iniziato un restyling dei servizi Internet e mobile, dopo l'uscita dal Gruppo Intesa SanPaolo, ha messo al primo posto la sicurezza, avviando un progetto con Telecom Italia per rendere sicuro sia l'accesso ai servizi sia qualsiasi tipo di operazione dispositiva e autorizzazione in conto. Secondo: il sistema scelto, a chiamata sicura con doppio canale, Internet e GSM, è oggi tra i più robusti, ma anche tra i più semplici da usare, non richiedendo di dotarsi di nuovi oggetti come memorie flash o token. Terzo, si sta procedendo a sviluppare con applicazioni di intelligenza artificiale anche un controllo delle transazioni, cioè ad individuare in ciò che fa il cliente online quello che esce dalla normalità. In questo modo si evitano quelle frodi che, grazie a virus chiamati "cavalli di Troia", riescono a collocarsi nel mezzo tra l'invio di una richiesta di bonifico e l'effettivo risultato dell'operazione, dirottando il denaro verso conti fasulli o conti correnti di organizzazioni criminali. Of ha chiesto a Simone Bonali, responsabile sicurezza logica del Gruppo Cariparma Friuladria, di spiegare le motivazioni che hanno portato ad adottare il telefono cellulare (Securecall) per le operazioni effettuate online e cosa si sta facendo per rendere sempre più tranquillo un cliente che usa Internet o il cellulare per gestire il suo denaro.

Of: Autenticazione forte: ma cosa significa?
Simone Bonali: Con l'autenticazione forte, il sistema di internet banking riconosce l'utente e autorizza le operazioni bancarie o finanziarie non con semplici credenziali standard: un identificativo univoco associato ad una password. Lo fa con una parola chiave usa e getta, valida per una sola operazione, per un breve periodo di tempo, generata o inviata con un terzo strumento esterno al computer, come ad esempio una "chiavetta", un token o attraverso un software specifico dentro la sim card del cellulare, o ancora via sms e così via. Tutti i sistemi di autenticazione forte, generalmente, richiedono poi l’immissione di tale credenziale sul proprio computer. Nel caso del sistema adottato da noi è diverso...

Of: Come?
Bonali: Nel caso di Securecall di Cariparma e FriulAdria, oltre ad implementare l’utenticazione forte viene sviluppato il concetto di canale complementare.

Of: Sempre più difficile: può spiegare cos'è un "canale complementare"?
Bonali: Il cliente invia le informazioni alla banca attraverso un canale GSM, che non è quello su cui ha disposto l’operazione cioé il canale Internet. Oltre al grosso vantaggio in termini di sicurezza il cliente trae beneficio anche in termini operativi non essendo necessario un nuovo dispositivo utile alla generazione del codice “OTP”, One Time Password, cioè la password usa e getta. E’ sufficiente avere il proprio cellulare con sé per confermare le disposizioni richieste online.

Mi spieghi passo passo come si usa...
Bonali: Il funzionamento è estremamente semplice: una volta predisposta l’operazione di conto corrente dall’internet o dal mobile banking, come ad esempio un bonifico, un giroconto o una ricarica cellulare, il cliente visualizza sul proprio computer un numero verde da chiamare dal proprio telefonino e un codice di quattro cifre sempre diverso che dovrà digitare. Solo dopo aver rilevato la chiamata ed aver verificato la bontà del numero chiamante del cliente, il sistema Securcall consente di effettuare l’effettivo completamento dell’operazione richiesta.

Of: Perché una persona dovrebbe sentirsi più sicura se viene riconosciuta dal vostro sistema piuttosto che se riceve una password via sms, oppure se vede la password sul suo token che tiene magari sempre con sé come un portachiavi?
---- Of: Perché una persona dovrebbe sentirsi più sicura se viene riconosciuta dal vostro sistema piuttosto che se riceve una password via sms, oppure se vede la password sul suo token che tiene magari sempre con sé come un portachiavi?
Bonali: Per due buone ragioni. Prima di tutto per la complessità del sistema che rende difficilmente intercettabili le due comunicazioni nell’intervallo di tempo in cui sono operative e valide: il flusso crittografato di informazioni passa attraverso due canali differenti e non riconducibili alla stessa persona. La linea dalla quale vengono predisposte le operazioni, cioé la linea dati del computer, è diversa infatti da quella dalla quale vengono autorizzate che è linea GSM del cellulare.

Of: Quindi nessun rischio di attacchi da parte del cosiddetto "uomo nel mezzo" che spia quello che si fa sul web, nessun problema di furto d'identità?
Bonali: Il sistema non è soggetto ad attacchi di tipo Man in the Middle o Man in the Browser o ladri di identità che hanno l’abilità di intercettare codici e password digitati sulla tastiera del computer o inviate via sms, che ricordo, non prevedono la crittografia dei testi né tantomeno la garanzia di consegna in “tempo utile”.

Of: E poi c'è il fattore "comodità"...
Bonali: Esatto. La seconda buona ragione è rappresentata dall’estrema comodità del sistema: utilizzando Securecall il cliente non deve ricordarsi di tenere a portata di mano il dispositivo generatore di password come nel caso del token o della chiavetta, utilizza semplicemente il proprio cellulare.

Of: E' obbligatorio?
Bonali: Oggi sì, da adesso in poi nessun cliente potrà usare il canale Internet o mobile senza Securcall.

Of: Securecall è un servizio fornito da Telecom Italia: come mai non lo gestite autonomamente?
Bonali: Perché preferiamo gestire direttamente i servizi nei quali siamo specializzati e specialisti cioè quelli bancari, lasciando a Telecom l’attività e le infrastrutture che le competono ovvero la gestione delle chiamate. Preciso comunque che Securecall è stato sviluppato grazie all’expertise di entrambe le aziende. Attualmente, funziona per numerazioni mobili italiane, sia in Italia che all'estero. A breve funzionerà anche su telefonia mobile estera su tutte le reti e successivamente, su quella fissa.

Of: Su rete fissa come è possibile garantire lo stesso livello di sicurezza?
Bonali: Il cliente riceve una telefonata dai sistemi della banca su numeri telefonici “certificati” dal cliente, solo e soltanto su esplicita richiesta da parte del cliente stesso durante la fase di disposizione della transazione.

Of: Ma da telefono fisso, ad esempio, posso, collegandolo al computer, fare chiamate da Voip o Skype con numeri virtuali. Come fate in questo caso a identificarmi?
Bonali: Per evitare che il nostro sistema venga aggirato da queste nuove tecnologie, abbiamo deciso di essere noi ad iniziare la comunicazione verso il cliente e richiedere l’inserimento di un codice segreto sul tastierino del telefono.

Of: E se si perde il cellulare? O se te lo rubano?
Bonali: L'evento è sicuramente possibile, ma comunque statisticamente più raro del furto di una carta di credito o della perdita di un token o di una carta numerica, che di solito uno tiene nel portafoglio. In questo caso, di solito, la persona derubata o distratta oltre a bloccare il telefono con l'apposito numero si recherà in filiale per disabilitare il cellulare all’autorizzazione di disposizioni di internet banking. Comunque, il cliente non corre nessun rischio: l’ipotetico ladro per effettuare una frode dovrebbe essere a conoscenza anche del nome della banca utilizzata dal cliente e ,nel nostro caso, anche delle tre credenziali di accesso previste dal sistema cioé codice utente, password e data.

Of: Cosa state facendo, invece, per proteggere le transazioni?
Bonali: Da due anni abbiamo attivato un sistema di controllo delle transazioni con applicazioni di intelligenza artificiale. In pratica, riusciamo a dare a ciascuna transazione un punteggio o score. Se la transazione è sospetta, cioè anomala rispetto a una abitudine del cliente, ad esempio eseguire quel dato bonifico ogni mese a quella persona, lo score viene elevato. Quando si raggiunge una soglia critica di score, si procede con le verifiche puntuali contattando il cliente e verificando insieme la bontà della transazione per poi attivarci in funzione della risposta ottenuta. In caso di disconoscimento della transazione provvederemo al blocco, nel caso di conferma aggiorneremo il nostro sistema informatico “insegnandogli” una nuova abitudine del cliente.

Of: Con grave lesione della privacy no?
---- Of: Con grave lesione della privacy no?
Bonali. Assolutamente no. Non c'è nessuna violazione della privacy, l’operatore telefonico non è in grado di associate la telefonata ricevuta e tracciata, alla transazione bancaria che si vuole autorizzare.

Of: Con questo sistema da "Grande Fratello", pur nel rispetto della privacy come lei dice, di fatto una persona è molto controllata dalla Banca. Il vantaggio, certo, è che sarà sempre più difficile che qualcuno vi utilizzi per operazioni di riciclaggio.
Bonali: Siamo a quota zero sia per operazioni di questo tipo, sia per frodi come il phishing, ad esempio, proprio grazie a Securecall ed al sistema antifrode. I delinquenti hanno lasciato perdere i tentativi di frode ai nostri clienti dopo l'installazione di questo sistema, per loro non c'è partita.

Of: E i clienti sono contenti, hanno tutti accettato questo tipo di controllo a tappeto?
Bonali: In generale non si gradisce il concetto di controllo, ma nella circostanza si è contenti d’esserlo, ripeto, sempre nel massimo rispetto della riservatezza, piuttosto che essere derubati e dover poi rimpiangere il mancato monitoraggio da parte della banca.

Of: Non c'è il pericolo del cosiddetto ViShing, cioè quelle truffe che si prendono gioco del cliente con false telefonate da falsi call center?
Bonali: No, il cliente è totalmente protetto. Infatti, per autorizzare le operazioni bancarie, gli operatori dei call center fasulli dovrebbero non solo farsi dare telefonicamente dal cliente le credenziali di accesso al servizio di internet banking, ma anche essere in possesso del cellulare del cliente con cui chiamare il numero verde per completare l’operazione.

Of: La sicurezza è dinamica e le organizzazioni di delinquenti non si fermano mai, ma operano ormai come una vera "multinazionale del crimine". Quindi le chiedo che cosa state già progettando per rendere sicuro il sistema anche nel futuro.
Bonali: Ad oggi un sistema come il nostro che protegge non solo l'identificazione, ma anche le transazioni, i beneficiari e così via è già proiettato verso il futuro. E lo è ancora di più facendo affidamento sul cellulare. Nowbanking, la nuova offerta multicanale di Cariparma e FriulAdria, che permette un collegamento sicuro, 24h su 24, attraverso internet, cellulare e telefono punta proprio al nuovo modo di gestire il denaro con gli smartphone che cambierà fra breve il modo di fare banca. Noi siamo pronti alla grande rivoluzione della banca mobile e multicanale, mettendo a disposizione della nostra clientela la massima sicurezza possibile e cercando di “essere dinamici e non fermarci mai”.

Of: Tra gli strumenti del prossimo futuro di cui tanto si discute c'è la firma digitale: ci state lavorando anche voi di Cariparma?
Bonali: Continuando sulla strada del: "non voglio utilizzare e gestire ulteriori oggetti" abbiamo pensato di "smaterializzare" i certificati digitali.

Of: Smaterializzare, cioé?
Bonali: Vuol dire che i certificati digitali dei nostri clienti verranno posizionati su appositi dispositivi di sicurezza residenti presso la banca od una certification authority (CA). Questo fa si che l'utente è in grado di firmare i documenti che ritiene opportuno sempre con il proprio cellulare seguendo una procedura leggermente più articolata rispetto a quanto fa oggi per l'autorizzazione "semplice". Sostanzialmente, viene richiesto all'utente l'inserimento di un codice rilasciato dalla CA associato alla firma ed al numero di cellulare.

Of: Senza dovere installare certificati e altro software nel proprio Pc?
Bonali: Proprio così. Finalmente i nostri clienti potranno firmare con semplicità e soprattutto la firma sarà "portabile", che tutte le applicazioni vorranno utilizzare la firma digitale del cliente lo potranno fare, dovranno solamente fare riferimento alla medesima autorità di certificazione.

©Of-Osservatorio finanziario - Riproduzione riservata

Torna alla home del Magazine di Of n. 9