L’ Osservatorio Finanziario ha redatto una interessante classifica della sicurezza delle banche online. Le minacce sono molteplici: oltre al phishing, di cui abbiamo già parlato, si sta facendo strada anche il “vishing” (cioè basato su “false” telefonate – tipicamente VoIP, perché consente contatti “a tappeto” – in cui vengono richiesti codici riservati), e non vanno dimenticati i rischi dovuti ai malware (i virus, fondamentalmente) e al keylogging (programmi che sono in grado di memorizzare i tasti premuti sulla tastiera – e quindi anche le password – e di inviare queste informazioni ad hacker).
Prima di darvi qualche indicazione sulla classifica, due apsetti interessanti: il primo, riguarda lo stato dell’arte sui sistemi di sicurezza messi a punto dalle banche per proteggere i propri clienti:
- Sistemi a micro-circuito: utilizzano smart card personale abbinata a password. È il sistema utilizzato da Citibank, che ha completametne rinnovato la piattaforma dopo i numerosi attacchi degli anni scorsi
- One Time Password: un apparecchio tascabile (il token) crea password usa e getta che rimangono valide pochi minuti. Lo stesso algoritmo di generazione (che non è totalmente casuale, ma dipende tipicamente dall’ora) è implementeato sui server della banca, che così possono riconoscere le password valide. A volte funziona tramite il cellulare, riducendo così i rischi che il token vada perso.
- Tastierini virtuali: per inserire il codice di sicurezza viene utilizzata una tastiera grafica, in cui le posizioni dei numeri sono casuali, evitando così i rischi dovuti ai keylogger e ai mouselogger (programmi che rilevano la posizione del mouse).
- Avvisi SMS: la notifica immediata delle operazioni via SMS (o mail) non è certo uno strumento di prevenzione, ma permette agli utenti di rendersi conto immediatamente di operazioni non eseguite da loro, e di bloccarle.
- Profilazione degli utenti: creare un profilo dell’utente permette alla banca di rilevare operazioni “anomale”, e quindi contattare l’utente per verificare che l’operazione sia legittima.
Un secondo punto riguarda le macro-categorie di approccio che le banche hanno riguardo la sicurezza:
- Le “combattenti“, le banche che hanno subito i maggiori attacchi e hanno quindi sono state costrette ad investire in sicurezza (tra queste Poste Italiane, UniCredit, Fineco)
- Le “dinamiche“, quelle che hanno scelto le tecnologie innovative per prime e hanno l’innovazione come punto cardine della strategia (tra queste, Banca Monte dei Paschi di Siena, Banca Sella, IWBank)
- Le “prudenti“, che hanno investito sulla sicurezza in modo progressivo, con una comunicazione costante verso i clienti (tra queste, We@bank-BPM e Banca Intesa)
- Le “allineate“, che nel corso dello scorso anno hanno rinnovato il sito e i servizi di sicurezza allineandosi agli standard “minimi” (es. VenetoBanca, Unipol Banca)
- Le “ferme“, banche che magari hanno un livello buono di sicurezza, ma non innovano per i motivi più disparati.
A questo punto, veniamo alla classifica: secondo i dati dell’Osservatorio le cinque banche più sicure sono le seguenti:
- Citibank Italia
- Scrigno (Banca Pop. Sondrio)
- BMPS Online (Monte dei Paschi di Siena)
- BNL e-family (Gruppo BNP-Paribas)
- UniCredit Banca (UniCredit)
Per l’elenco di tutte le banche vi rimando al sito dell’Osservatorio Finanziario, dove potete scaricare il report completo.
Banche e Risparmio [http://www.banknosie.com]
Vorrei segnalare questo articolo http://www.migliorcontocorrente.org/sicurezza-banche-online.htm che mette a confronto i sistemi di sicurezza delle più popolari banche online.