|
|
PRIVILEGIA
NE
IRROGANTO |
|
|
|
DOCUMENTI CORRELATI |
|||
|
Il PuntO n° 411. 26-9-2020. Note a margine dei convegni
organizzati per il progetto “e-RA DIGITALE”. |
|||
|
|
Documento
inserito: 9-11-2020 Il PuntO
n° 415 Terza Nota a margine dei convegni organizzati nell’ambito del progetto e-RA DIGITALE. Violazione dei presidi di sicurezza. Possibilità e
probabilità. Dieci punti da approfondire. Di Mauro
e Federico Novelli 9-11-2020 Col procedere degli approfondimenti esplicitati nel corso dei convegni organizzati nell’ambito del progetto e-RA DIGITALE sulle truffe on line e sul cyber crimine, gli interventi degli addetti ai lavori (Alfonso Scarano, Francesco Zorzi, Francesco Cocchi ed altri) ci stanno ponendo di fronte ad una situazione drammatica: chi ha valenze finanziarie on line come conti correnti, carte di credito ecc. non si salverà. In altri termini, le capacità dei cyber criminali sono tali e le loro conoscenze informatiche sono talmente profonde e professionali da metterli in grado di violare qualsiasi presidio di sicurezza, sia esso organizzato da banche, finanziarie, fiduciarie ecc. Quindi ad ogni correntista non resta che attendere il suo turno per lo svuotamento di qualsivoglia contenitore dei suoi capitali. Ma se le cose stessero in maniera granitica come descritte, ad una associazione di utenti non resterebbe che impostare una massiccia campagna informativa rivolta ai clienti bancari perché rinuncino all’operatività on line dei loro rapporti con le banche, per tornare alla più tranquilla gestione dei propri affari bancari, fatta con interventi di persona, “su strada”. Stessa azione dovrebbe essere intrapresa da coloro che operano nel campo della sicurezza dei sistemi informativi: se sono convinti che i criminali possono tutto e non ci sono ostacoli per loro insormontabili, dovrebbero altrettanto chiaramente e pressantemente convincere i cittadini ad abbandonare le gestioni finanziarie on line. Poi però, sempre i nostri esperti ci informano che il sistema bancario non adotta alcuni presidi di sicurezza di buon livello perché troppo costosi (lasciando al malcapitato cliente di correre personalmente dietro alle truffe) e che dovrebbe crearsi un gruppo di pressione perché le banche siano obbligate ad investire per migliorare i loro sistemi di salvaguardia dei correntisti che operano on line. Queste considerazioni cambiano radicalmente le carte in tavola. Il discorso sulla sicurezza da assoluto diventa immediatamente relativo: da “ogni presidio è superabile dai criminali onnipotenti” (possibilità di violare), a “esistono presidi più difficilmente violabili dai criminali” (probabilità di violare). Viene così recuperato anche il ruolo delle associazioni di consumatori attraverso informazioni, consigli, raccomandazioni ai propri associati ed ai correntisti in genere. Eccone alcune. 1)
Smettiamola con la ricerca affannosa della velocità, della semplicità e della
comodità di esecuzione, soprattutto nel campo delle operazioni finanziarie on
line. Abbandonare il mito della velocità, della semplicità e della comodità di esecuzione degli obbiettivi che vogliamo raggiungere. Più il sistema ci permette di raggiungerli facilmente e senza passaggi “rognosi”, più è possibile che ci renda intrappolabili da parte della rete cybercriminale, per via del grande numero di dati sensibili che dobbiamo affidare ad altri. Questo meccanismo compulsivo fa premio sulla sicurezza delle operazioni. 2) Usare smartphone che abbiano il
riconoscimento tramite impronte digitali. Dagli interventi dei nostri esperti ci sembra di aver capito che se le app di gestione di un conto corrente on line sono attivabili tramite impronta digitale il sistema di sicurezza risulta meno facilmente violabile rispetto a quello che richiede solo la PW. A detta di tutti, invece, non è assolutamente affidabile il riconoscimento facciale, tanto che i costruttori di smartphone inseriscono questo warning direttamente tra le istruzioni del telefonino. Abbiamo quindi individuato una prima barriera più difficilmente scavalcabile. Quindi premere perché si usino smartphone che abbiano il riconoscimento dell’impronta digitale. 3) Il
fenomeno della “sim swap” si elimina cancellando la
possibilità di ottenere duplicati delle Sim
originali. Alcuni siti di gestori finanziari raccomandano di non diffondere ai quattro venti il proprio numero di cellulare, perché, in genere, tale numero è anche quello utilizzato quale ulteriore livello di sicurezza attraverso la gestione degli OTP autorizzativi. La raccomandazione è fornita perché se si è titolari di una Sim e questa, oltre a permetterci telefonate, sms e collegamenti in rete, viene accreditata per l’autorizzazione di operazioni sul conto corrente, è facile per il criminale procedere ad intrusioni di successo sostituendo una sua sim clonata a quella originale. Ma tenere riservato il numero di cellulare è un ossimoro! Abbiamo personalmente attivato da tempo una Sim (2 euro al mese) dedicata unicamente alla funzione di gestione autorizzativa di operazioni sul C/C tramite la ricezione di OTP. Quel numero è conosciuto solo da noi e dal gestore di telefonia, a meno che il cyber criminale non abbia valenze aperte con qualche impiegato infedele del gestore telefonico o sia stato in grado di violarne gli archivi informatici. Trattandosi di sim non operativa per l’uso normale (mai usata per telefonare, mai usata per accedere al web), la mia è stata relegata su un vecchio Nokia di sedici anni fa. Questo cellulare non ha l’operatività in rete: credo risulti difficile al criminale procedere alla clonazione ed alla sua esclusione (se non tramite l’azione di un dipendente infedele del mio gestore di telefonia) per sostituirsi nella ricezione delle comunicazioni autorizzative. Comunque le truffe tramite “sim swap” possono essere tagliate alla radice vietando ai gestori di telefonia la possibilità assoluta di effettuare duplicati di sim rubate, smarrite o danneggiate. Il cambiamento della sim di regolamento del conto e delle carte dovrà essere effettuato personalmente recandosi in agenzia o in ufficio postale. 4) In
subordine, obbligate almeno l’operatore telefonico a fare una telefonata al
numero di cui il criminale
richiede il duplicato. In attesa che si riesca ad imporre il divieto di duplicazione delle Sim, i gestori di telefonia impongano agli operatori, ai quali il criminale chiede il duplicato della Sim, di rimandare di 24 ore l’emissione della nuova Sim duplicata, e di effettuare, nel frattempo, una serie di tentativi di contattare per telefono il numero indicato come non più utilizzabile (per smarrimento, furto, distruzione dello smartphone). Potrebbe scoprire subito che quella Sim è viva e vegeta. 5)
Resettare a fondo gli apparecchi (magari vecchiotti) destinati a gestire le
nostre finanze. Per le operazioni finanziarie on line non usare un device dove i ragazzi hanno scaricato centinaia di giochi e tanta paccottiglia pericolosa. Soprattutto non usare lo stesso computer per l’operatività on line dei vari conti della famiglia. 6) Per l’ e-commerce usare una carta prepagata. Le spese di e-commerce vanno gestite non tramite il conto corrente, ma tramite una carta prepagata dove terremo giacenti pochi euro. Con le prepagate le spese on line sono gestibili anche in assenza di conti correnti o in presenza di conti correnti che non abbiano la gestibilità on line. La ricaricheremo in funzione degli acquisti on line programmati, effettuati i quali, il saldo tornerà ad essere di pochi euro: in caso di violazione cyber criminale, il danno sarà di piccola entità. Oltre che tramite app, le ricariche dal conto corrente possono essere effettuate tramite ATM, quindi approfittando dei sistemi di sicurezza delle banche, di Poste, delle finanziarie. Se siamo inclini all’esterofilia, possiamo anche attivare prepagate radicate in altri paesi. La N26 è ad esempio tedesca, con società di gestione a Francoforte, quindi con iban teutonico (ma si può avere anche con iban italiano). 7) Adusbef
prema per la modifica dei contratti sottostanti al sistema on line. Più che con iniziative individuali del correntista miranti a porre dei paletti al sistema ed all’ente che gestisce il suo conto corrente, è opportuno che Adusbef ponga in essere una azione mirante a fare pressioni d’impatto ma “ragionate” presso il legislatore e le autorità monetarie e di controllo affinché vengano modificati i contratti sottoscritti dal cliente. Nei contratti per la gestione on line del conto, occorrerebbe imporre modifiche che forniscano al consumatore la possibilità di definire quali servizi e operazioni possano essere modificati accedendo direttamente al sistema informatico e quali quelli modificabili unicamente col classico strumento della raccomandata con AR o “a mano” consegnata allo sportello (facendosi firmare una copia per ricevuta). Del resto, già il contratto di delega sul C/C, che autorizza un terzo ad operare sul conto, permette al correntista di decidere quali operazioni sono consentite al delegato e quali no. Ad esempio il titolare può decidere di permettere al delegato la firma degli assegni, ma non di poterne ritirare il libretto allo sportello. Da decenni è offerta al correntista questa possibilità in materia di delega, e l’informatizzazione dei servizi bancari ha tenuto conto di quelle opzioni. Allo stesso modo, il correntista deve poter decidere quali operazioni “bloccare” (con possibilità di modificarle solo per raccomandata) da una lista di operatività che il contratto deve elencare esplicitamente. Il sistema deve adeguare obbligatoriamente i suoi processi informatici perché sia in grado di gestire queste nuove opzioni senza la necessità di interventi umani. Pensiamo con fondatezza che azioni individuali miranti ad ottenere gli stessi risultati non avranno successo. E’ da ritenere che la banca non accetterà quelle integrazioni contrattuali apportate da clienti isolati se dovesse valutare (o decidere) che il rispetto dei vincoli imposti da un singolo correntista risulti troppo costoso e troppo oneroso dal punto di vista procedurale e dei controlli da porre in essere: le banche non amano le eccezioni procedurali, rifuggono da gestioni personalizzate che scantonino eccessivamente dalla gestione informatica processata in automatismo ed obblighino a costosi - e fallibili - interventi umani. E siccome la banca non è obbligata e tenere come cliente me, Persichetti (o Agnelli, si diceva qualche decennio fa), convocherà il correntista e cercherà di convincerlo a ritirare blocchi e cancelletti. Se non riesce nell’operazione di convincimento, gli metterà a disposizione le somme da lui detenute in banca e procederà alla chiusura del conto (soprattutto se parliamo di Novelli e non di Agnelli). Quella della pressione per la modifica generalizzata dei contratti è la strada che suggeriamo ad Adusbef, assieme ad imporre il divieto di duplicare le Sim. La nostra associazione dovrebbe farsi capofila per creare un movimento con tali scopi: se saremo capaci di raggiungere l’obbiettivo i cambiamenti apporteranno benefici alle stesse banche. Suggeriamo di pianificare un’azione ben coordinata anche alla luce delle novità che potrebbero ben presto intervenire nell’operatività della BCE che ha in progetto la creazione di un euro digitale e, quindi, di valenze dirette della banca centrale con i cittadini di Eurolandia attraverso la creazione di conti in moneta unica digitale. Questa iniziativa non può fallire troppo facilmente sotto i colpi dei cybercriminali e, per renderla di successo, le autorità di Francoforte decideranno di destinare tutti gli investimenti necessari affinché sia garantito il massimo di sicurezza informatica al sistema ed ai cittadini futuri correntisti di BCE. Questo atteggiamento, parallelo alla nostra azione, potrebbe essere preso ad esempio da tutti i sistemi bancari della UE, rendendoli più propensi a spendere per la loro sicurezza e per quella dei correntisti. Non è oltretutto escluso che la BCE metta a disposizione del sistema bancario di Eurolandia i punti di forza dei suoi sistemi di protezione. 8) Stiliamo
noi un articolato dei contratti più diffusi e sottoscritti in banca, di conto
corrente e contratti accessori, di custodia titoli ecc. Li sottoporremo
quindi al sistema bancario per vedere l’effetto che fa. Potrebbe essere utile recuperare una vecchia iniziativa proposta ad Adusbef ma che non ha avuto mai seguito: stiliamo noi un articolato di contratto per conto corrente, custodia titoli ed altri; togliamo ogni clausola vessatoria; inseriamo la normazione di argomenti nuovi non contemplati dai vecchi contratti (come quelli trattati in questa sede) e sottoponiamoli agli istituti di credito. Potrebbero avere successo, quanto meno per motivi di concorrenza. 9) Oltre il
progetto, predisponiamo documentazione per i consumatori, anche video, di
esplicitazione dei problemi e delle soluzioni individuate. Dal lato
dell’utente/consumatore, invece, le associazioni dei consumatori dovrebbero
proseguire e intensificare al massimo i momenti e gli strumenti di
informazione, formazione e sensibilizzazione. Fare cultura e diffondere la
conoscenza degli argomenti che hanno un impatto sulla vita quotidiana dei
cittadini deve essere una delle missioni delle associazioni. Pertanto, sulla
base di quanto l’ ADUSBEF sta facendo con il progetto e-RA DIGITALE - IL
CONSUMATORE INCONTRA IL WEB e, in particolare, con i seminari che si stanno
svolgendo in questi ultimi mesi, si potrebbe proseguire – oltre il progetto
- l’ azione di diffusione di cultura e
conoscenza per realizzare una vera educazione consumeristica; ciò può essere
fatto continuando ad approfondire l’argomento con i seminari e archiviandoli
sul sito in modo che possano essere resi fruibili, magari attraverso un
contributo economico oppure ai soli iscritti; in più, si potrebbero produrre
dei video non eccessivamente lunghi, divisi per tematica, nei quali gli
esperti danno informazioni e consigli. Questi video – extra progetto - potrebbero essere visionabili e fruibili
solo per gli iscritti all’ associazione. Questi
momenti di formazione all’ utilizzo critico dei nuovi strumenti di pagamento
e di homebanking dovrebbero essere rivolti in modo
particolare alle giovani generazioni. I ragazzi sono la fascia di cittadini
che maggiormente utilizza i dispositivi tecnologici; sono probabilmente i più
propensi ad aprirsi alle nuove opportunità che il web offre, compresa la
possibilità di investire nelle nuove criptovalute, con tutti i rischi che ne
possono derivare. Per questo è fondamentale che le associazioni, nell’ azione
di formazione e sensibilizzazione, siano particolarmente attente ai
giovani. 10) Sicurezza delle operazioni on-line: la
concorrenza tra sistemi bancari è mondiale. Nell’e-commerce,
nella gestione delle finanze personali e familiari on line e in generale
nella finanza on line la concorrenza travalica i confini nazionali. Se sistemi
bancari di altri paesi si doteranno di sistemi di sicurezza dell’operatività
on line manifestamente superiori a quelli nostrani, sarà molto facile
accedere ad essi. Il metodo più semplice di passare a gestioni estere è
quello di diventare titolari di carte di credito prepagate non radicate in
Italia, quindi con Iban estero. Siccome abbiamo pagato tutte le tasse dovute
sui redditi in Italia, il loro utilizzo è del tutto legittimo. Basta
dichiararne la titolarità. |
|
|
