HomeBanking. Le Banche che danno tranquillità

Ha un sistema di autenticazione del cliente di tipo "forte". Questo significa che oltre agli ormai tradizionali identificativi e password, per entrare nell'area riservata è indispensabile utilizzare uno strumento che non sia il computer, che potrebbe essere facilmente infetto: il cellulare. E’ questa la ragione, la più importante, per cui gli analisti di Of-Osservatorio finanziario, all’interno del Settimo Rapporto Home e Mobile banking, hanno premiato come banca online più sicura Cariparma del Gruppo Crédit Agricole. Il gruppo francese operante in Italia con i brand Cariparma e FirulAdria ha scelto un sistema chiamato Securcall che costringe ad usare il cellulare per ogni tipo di operazione. Quindi, se si vuole, mettiamo, pagare l'affitto oppure le tasse, è indispensabile avere accanto al computer anche il cellulare. Una volta che si è impostata l'operazione, appare a schermo un numero verde che bisogna chiamare con il cellulare, che è stato preventivamente identificato dalla banca. Solo dopo avere effettuato questa telefonata, gratuita, il sistema autorizza a procedere nell'esecuzione dell'operazione.

La seconda in classifica, Sella e websella (il banking è lo stesso) ha un sistema standard ormai per il 91% delle banche in classifica: utilizza un token, chiamato @pritisella, che in questo caso non richiede di premere un bottone, ma continua a generare password in modo casuale ogni mezzo minuto. Il secondo vantaggio è che il sistema richiede anche un elemento aggiuntivo di identificazione che è la data di nascita. Inoltre, Websella, insieme a poche altre banche, come Webank e Banca Mediolanum, ha l'intero sito e non solo l'area di banking, protetto da server sicuro identificato da "https". In più, da poco, il gruppo di Biella ha fatto un passo avanti facendosi certificare in modo "esteso" con EV SSL che sta per Extended Validation SSL: vuol dire che se si usa un browser come Internet Explorer o Firefox, entrando su una qualsiasi pagina del sito, la barra dell'indirizzo in alto si colora di verde dando il via libera e il cliente si può rilassare. Questo servizio offerto da un ente certificatore, come Verisign in pratica indica in modo inconfutabile chi è il proprietario di un sito web.

Terza in classifica è MPS che oltre al token propone ormai da anni anche due altri sistemi aggiuntivi di protezione: il servizio di password mono-uso via sms (DoveVuoi) e una memory flash o chiavetta con firma digitale. La firma digitale da sempre raggiunge il top dei punteggi secondo gli analisti di Of: nel caso di Infinita-MPS il servizio è offerto anche ai privati e questo è un ottima ragione di sicurezza. MPS, inoltre, ha un valido portale dedicato alla sicurezza con infinita e un servizio di controllo del computer del cliente, chiamato "Sei OK!".

Con uno scarto di soli tre punti seguono in classifica in quarta posizione ben 7 banche: Webank e la capo gruppo BPM (il banking è identico), Banca Mediolanum, Popolare di Verona, IWBank, FinecoBank e Poste Italiane con BancoPosta Click. Webank ha un sito interamento protetto da https, cioè server sicuro, il che elimina la possibiità di defacement del sito, cioè che i criminali possano cambiare letteralmente una o più pagine del sito provocando sia problemi di immagine, sia guai più seri. Banca Mediolanum oltre ad avere il sito interamente protetto da server sicuro, ha un sistema di identificazione che usa password causali da usare con un tastierino virtuale: in questo modo non occorre digitare numeri e lettere sulla tastiera, dove possono essere facili prede di hacker che vi insinuano piccoli software malefici (malware) che rubano tutto ciò che l’utente digita. Popolare di Verona (Banco Popolare), a sua volta, ha deciso di rafforzare il sistema ricorrendo a un certificato digitale da installare sul computer: un sistema deterrente, ma un po' farraginoso da usare e manutenere. In pratica, però, nessuno può collegarsi nemmeno alla home del servizio banking se non ha il certificato installato in modo corretto. Nel 2010, questo sistema è stato sostituito da una card (Leggi qui).

---- IWBank, inceve, è la banca che ha sperimentato dal 2008 al 2009 un sistema di autenticazione con Visa card, una normale carta di credito con visore a otto cifre e tastierino che funge anche da token (Leggi qui), inoltre è con Banca Sella l'unica banca con protezione estesa (EV SSL). Dal suo canto, Fiencobank ha rafforzato il suo sistema di autenticazione introducendo un sms Pin, ovvero un pin code usa e getta che arriva via sms e che ha validitià di un giorno. Via sms è anche possibile effettuare bonifici. Infine BancoPosta Click è il conto con il servizio online di Poste Italiane che proprio nel 2009 ha adottato una smart card con lettore. In pratica, per entrare per fare disposizioni, è necessario introdurre nell'apposito lettore la carta PostePay: così il lettore trasmette una password usa e getta da usare per autorizzare le disposizioni in conto. In più, Bancoposta richiede ogni 15 giorni di cambiare la prima password identificativa.

Quinta in classifica è la piattaforma Simplybank di Auriga che Of ha testato in una BCC, quella di Lana (Trentino Alto Adige). Auriga ha di fatto tutti i principai sistemi di autenticazione, come il token, sms token eccetera.

Sesta posizione per Banca Carige e UniCredit Banca: entrambe usano un sistema con token e nel caso di banca Carige si prevede anche la firma digitale con Ceedo. Quest'ultimo è un sistema di autenticazione che richiede l'uso di una memory flash che contiene tutte le informazioni personali e anche il sistema operativo per collegarsi in rete alla banca.

Nutrito il gruppo delle settime in classifica: BNL-Gruppo BNP Paribas, Creval con banc@perta, Allianz, Intesa Sanpaolo e Banca Fideuram (che ha la stessa piattaforma). BNL è stata la prima banca ha richiedere l'uso di un token e ancora oggi fa uso di questo sistema, oltre ad altri accorgimenti. Anche Intesa Sanpaolo richiede che i clienti utilizzino un token e lo stesso vale anche per il servizio di banca online del gruppo Credito Valtellinese. Quest'ultimo, inoltre, ha anche un servizio di password via sms su richiesta dei clienti che usano maggiromente il cellulare. Allianz, proprio nel 2009 ha "costretto" tutti i clienti a dotarsi del cellulare, indispensabile per attivare un servizio di chiamata sicura che autorizza qualsiasi disposizione in conto.

Usa il token anche la BCC CrediUmbria che ha adottato la piattaforma Relaxbanking di Iside (ottava). Questa piattaforma richiede un token, oltre aall’inserimento di alcune informazioni riservate.

Token e password mono uso anche per il gruppo delle none in classifica (Banca delle Marche, INBank, Popolare di Bari, Credem, Banco Desio, Popolare pugliese, Carismi e UGF Banca): sono sotto di un punto, perché sono state sotto attacco phishing. In particolare sono state attaccate Popolare di Bari, Carismi, Banca delle Marche. Significa che queste banche non si avvalgono di servizi di monitoraggio e community gestite da aziende specializzate in grado di bloccare gli attacchi sul nascere. C'è da dire che queste banche hanno migliorato molto i servizi di sicurezza nel 2009, in particolare Banco Desio e UGF Banca.

Decima in classifica è Popolare di Vicenza-Cariprato, insieme a CRT: questi gruppi bancari usano il token e hanno attivato un controllo sui clienti in modo da evitare i casi di phishing che, nel caso, del gruppo di Vicenza, hanno provocato alcuni problemi a clienti che sono stati derubati dai loro risparmi.

©Of-Osservatorio finanziario - Riproduzione riservata

Torna alla home del Magazine di Of n. 9
Vai allo Speciale sicurezza 2009