PRIVILEGIA

NE IRROGANTO

Di Mauro Novelli

 

 

Home

La PignattA

Il ConsigliO

iIctus

Acta Diurna

Cronologica

Biblioteca

Democrazia 2.0

 

DOCUMENTI

CORRELATI

Il PuntO n° 415 del 9-11-2020. Terza Nota a margine dei convegni organizzati nell’ambito del progetto e-RA DIGITALE. Violazione dei presidi di sicurezza. Possibilità e probabilità. Dieci punti da approfondire.

Il PuntO n° 414 29-10-20. Seconda Nota a margine dei convegni organizzati per il progetto “e-RA DIGITALE”. On line e sistemi di pagamento elettronici: la loro debolezza strutturale  dipende anche da noi.

Il PuntO n° 411. 26-9-2020. Note a margine dei convegni organizzati per il progetto “e-RA DIGITALE”. Energia, tecnologia, comunicazione: i tre settori che condizionano da sempre il progresso dell’umanità

 

Documento inserito: 17-11-2020

 

Il PuntO n°416

Quarta  Nota a margine dei convegni

organizzati nell’ambito del progetto e-RA DIGITALE.

Alcune proposte.

Di Mauro e Federico Novelli   14-11-2020

 

Sommario

·         Banche, Poste Italiane, Finanziarie. Contratti di operatività on line. Modifiche da apportare. 1

·         Gestori di telefonia. Nuovo tipo di schede SIM?. 1

·         “Impiegato infedele”: fenomeno in crescita. 1

·         Gli immensi archivi informatici della Sogei (Società Generale d’Informatica S.p.A). 1

 

 

Quanto segue non crea impacci procedurali a coloro che vivono nel mito di avere in pugno il mondo con un click: basta limitarsi a “firmare” i contratti senza inserire opzioni aggiuntive e tutto sarà semplice e veloce, com’è adesso.

 

Banche, Poste It., Finanziarie. Contratti di operatività on line. Modifiche da apportare.

Si sostiene che le banche, nella loro offerta di operatività on.line, non adottino adeguati strumenti di protezione perché troppo costosi. E’ necessario quindi che le autorità monetarie di controllo obblighino il sistema a modifiche contrattuali affinché banche, Poste e finanziarie siano obbligate ad adeguare i presidi di sicurezza perché i nuovi contratti siano rispettati.

Banche, Posta, finanziarie.

 La modifica più incisiva potrebbe essere costituita dall’obbligo contrattuale di rispettare la volontà del cliente circa le procedure di modifica dei parametri inerenti il contratto sottoscritto. Il contratto deve infatti prevedere l’elenco delle operazioni e dei relativi livelli quantitativi (se previsti) che il cliente può eseguire o dare ordine di eseguire. Per alcune di queste (scelte dal correntista) deve essere prevista l’impossibilità di modifica tramite procedure on line qualora il cliente opti per la modifica  tramite lettera raccomandata o lettera raccomandata a mano. Segue obbligatoria verifica telefonica.

 A titolo di esempio il correntista potrebbe decidere di modificare solo per iscritto l’opzione circa l’operatività sull’estero del conto tramite l’uso di bonifici; potrebbe decidere che i massimali indicati nell’uso delle carte non possano essere modificati con interventi on line, ma per iscritto; che i bonifici interni possano prevedere un limite massimo e un ritardo di esecuzione (ma non della valuta di addebito) di tot giorni, anch’essi modificabili solo tramite lettera ecc.; di modificare solo con lettera il numero di telefono di riferimento operativo sul conto per i contatti e per i livelli di sicurezza PSD2.   Del resto già adesso in molti contratti è lasciata al cliente la facoltà di scegliere, da un elenco merceologico proposto, quali tipi di prodotti e servizi è vietato acquistare tramite bonifico: potrebbe decidere di rinunciare all’operatività nel gaming e nel gioco d’azzardo, nei prodotti e servizi per soli adulti ecc. Anche queste limitazioni qualitative devono poter essere variate, a scelta del cliente, solo tramite raccomandata.

 

Gestori di telefonia. Nuovo tipo di schede SIM?

Nella nota n° 3 si suggeriva al correntista on line di dedicare una sim, ed il relativo numero non fornito ad alcun contatto, ai livelli di sicurezza del suo conto.

Sebbene sia stata messa a punto negli USA più cinque anni fa, è di gran moda tra i cybercriminali la Sim swap.  Si tratta di acquisire un clone della sim il cui numero il correntista ha indicato per la ricezione di sms quale ulteriore livello di sicurezza. Con artifici e convincimenti vari (documenti falsi ecc.) si riesce ad ottenere un duplicato della sim, isolare la sim “ufficiale” ed ottenere i codici autorizzativi di operazioni di addebito sul proprio conto (spesso ordinate a raffica) e di accredito su conti in genere radicati all’estero.

Per contrastare questo tipo di reato, si potrebbe suggerire alle società telefoniche di emetter sim non duplicabili dal sistema ab origine (con numerazione particolare?), scelte dal cliente prudente proprio per quella caratteristica, dovendo indicarne il numero come ulteriore sistema di sicurezza sull’operatività del conto corrente. In tal modo, al criminale resta solo lo strumento informatico per entrare in possesso dei codici necessari ad escludere il vero titolare e ad inserirsi nel processo di addebito del conto. 

In subordine, anche in questo caso, si potrebbe lasciare al cliente prudente la decisione di non richiedere mai il duplicato della carta e, quindi, in caso di smarrimento, distruzione, furto per lui risulta impossibile ottenere una sostituzione. Una tal decisione dimostra che l’utente preferisce andare incontro al disagio di dover sostituire il vecchio con un nuovo numero. Ma nella nota n° 3 si suggeriva al correntista on line di dedicare una sim, ed il relativo numero non fornito ad alcun contatto, ai livelli di sicurezza del suo conto. In tal caso il dover sostituire il numero creerà un disagio minimo. Comunque, è da ritenere preferibile la seccatura di dover avvisare i cento o i mille contatti del nuovo numero piuttosto che correre dietro a banche ed avvocati per cercare di recuperare quanto ci è stato trafugato.

In ulteriore subordine, le società telefoniche dovrebbero adottare procedure prudenziali prima di concedere il duplicato della sim: anzitutto dovrebbero pretendere una denuncia alle forze dell’ordine; inoltre, l’addetto al servizio dovrebbe cercare di contattare telefonicamente proprio il numero la cui sim sia dichiarata smarrita, rubata o distrutta. Potrebbe scoprire che a rispondere sia proprio il titolare. Inoltre, si potrebbe prevedere che la consegna del duplicato sia dilazionata di due o tre giorni, indicando al richiedente di tornare successivamente. Non credo che a questo punto, l’eventuale  criminale torni, munito com’è di documenti falsi, col rischio di trovare i Carabinieri. Nel frattempo operare verifiche sull’esistenza in vita della sim, anche tramite e-mail al legittimo titolare.

 

“Impiegato infedele”: fenomeno in crescita.

Piuttosto che impegnarsi a violazioni tecnico-informatiche, per la cybercriminalità è probabilmente molto più economico e sicuro individuare uno o più dipendenti di società detentrici di grandi banche dati personali in grado di rifornire l’organizzazione dei riferimenti (anagrafici, finanziari, clinici ecc.) detenuti negli archivi che quei dipendenti dovrebbero proteggere.

Col crescere delle quotazioni del valore dei dati personali, divenuti preziosi con l’avvento di internet, il fenomeno della infedeltà dei dipendenti è cresciuta esponenzialmente soprattutto perché, con l’adozione di archivi informatici, i dati consegnati (bon gré, mal gré) alla criminalità organizzata possono riguardare milioni di cittadini. Parallelamente è cresciuta la capacità di convincimento della mala nei confronti di dipendenti che devono rendersi riconoscenti nei suoi confronti. Pensiamo a cittadini in mano ad usurai, o a semplici dipendenti che hanno avuto gratificazioni aziendali grazie ad interventi di personaggi al di sopra di ogni sospetto. Anche per questi motivi, da sempre, le banche hanno adottato la politica delle frequenti sostituzioni soprattutto nella dirigenza di uffici aperti al pubblico, come le agenzie di città.

D’altra parte nessuno può sinceramente ritenere che le aggressioni informatiche, soprattutto in materia finanziaria, siano condotte randomicamente, a caso, pescando la preda nel mucchio, nella speranza, da una parte, di incontrare posizioni pecuniarie di interessante consistenza e, dall’altra, di non perdere tempo e denaro violando la posizione del pensionato con 500 euro sul conto. E per questo tipo di conoscenze non possono bastare le indagini che la criminalità pone in essere filtrando e spulciando i post inseriti su FaceBook o Twitter e sui social in genere.  Da ciò discende che la criminalità finanziaria deve essere in grado di violare ogni tipo di sistema di sicurezza posto in essere da banche e finanziarie, oppure hanno “suggerimenti” dall’interno delle stesse.

E’ da rilevare che la “scorciatoia” resa praticabile dalla infedeltà di alcuni dipendenti, permette anche alle organizzazioni tecnicamente non dotate di particolari conoscenze informatiche, di inserirsi nel business del cyber crimine, magari come semplici rivenditori di dati.

In un paese come l’Italia in cui la mala organizzata ha infiltrato centinaia di suoi uomini nei gangli vitali dell’economia,  ha investito nell’acquisizione di centinaia di aziende e dove tutti si rivendono tutto (dai rettori, ai professori, ai baroni della medicina, ai vigili urbani, ai dipendenti comunali ai grandi burocrati, alle commissioni di concorsi ecc.) non è difficile creare grappoli di dipendenti infedeli pronti a soddisfare le esigenze delle rispettive case madri.

Ecco con quanta facilità opera il mercato nero dei dati:

Da Il Quotidiano del Sud. Del 27-6-2020.

­­­­­­­­

Gli immensi archivi della Sogei (Società Generale d’Informatica S.p.A).

Le dimensioni dell’attività e le banche dati detenuti dalla Sogei sono tali da far tremare i polsi.

La società ha un’attività che va dalla conservazione e verifica dagli oltre 800 milioni di ricette mediche, alla gestione delle carte di credito; dal controllo della Carta Acquisti al monitoraggio degli effetti finanziari delle misure previste dalla manovra di bilancio governativa; dal supporto all’attività istituzionale della Corte dei conti, al controllo di legittimità sugli atti e di gestione sul Bilancio dello Stato; dalla predisposizione degli atti dovuti dalla Corte dei conti al Parlamento, alla verifica della copertura delle leggi di spesa; dalla realizzazione di soluzioni tecnologiche avanzate che permettono all‘Agenzia Dogane e Monopoli di svolgere le attività di controllo e gestione del comparto dei giochi pubblici, al contrasto del gioco illegale e al monitoraggio costante del contesto al fine di garantire agli operatori un servizio sicuro. E la Sogei non poteva restare fuori dal sistema PagoPa e dell'app "IO". A PagoPa, la società per i pagamenti digitali, è affidato il coordinamento tecnologico. Alla spa dell'informatica Sogei andrà la gestione dei server in cui archiviare i dati.

Queste sono solo alcune delle attività della Sogei.

Ci chiediamo: perché questa società, detenuta dal MEF al 100%, non mette a disposizione, almeno del comparto finanziario, sia i suoi sistemi di sicurezza che, vista la preziosità dei dati gestiti e conservati, dovrebbero risultare praticamente insuperabili, sia le procedure per contrastare l’azione di impiegati infedeli?

 

Dal sito della Sogei:

[….]

 

Soluzioni

Carta Acquisti

Contabilità pubblica

Controllo della spesa

Dematerializzazione

Finanza pubblica

Fiscalità

Gioco regolato

Giustizia digitale

Intelligence e Controlli

Modelli previsionali e analisi statistiche

Patrimonio dello Stato

Piattaforme applicative nazionali

Piattaforme web e Assistenza

Scontrino elettronico

Sistema doganale

Sistema europeo tracciamento tabacchi

Sistema del Territorio

 

IT Governance

Infrastruttura

Politica per i sistemi di gestione

Progettazione e realizzazione di sistemi informativi

Processi di governo e controllo

Servizi infrastrutturali

Sicurezza e tutela dei dati

 

Digital Experience

Strategia e Innovazione Digitale

Laboratorio di ricerca digitale

Progetti Europei e collaborazioni

Comunicazione e disseminazione

Open Innovation nella PA

 

Altre informazioni

Società trasparente

Whistleblowing - Segnalazione di illeciti

© 2020 - Sogei S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma - P. IVA 01043931003 - C.F. 02327910580 Reg. Imprese di Roma n. 02327910580 - REA n. 407760 - Capitale Sociale € 28.830.000,00 (i.v.) - Socio unico