|
|
PRIVILEGIA
NE
IRROGANTO |
|
|
|
Il
PuntO n°
415 del 9-11-2020. Terza Nota a margine dei convegni organizzati nell’ambito del
progetto e-RA DIGITALE. Violazione dei presidi di sicurezza. Possibilità e
probabilità. Dieci punti da approfondire. |
|||
|
Il PuntO n° 414 29-10-20. Seconda Nota a margine dei
convegni organizzati per il progetto “e-RA DIGITALE”. On line e sistemi di
pagamento elettronici: la loro debolezza strutturale dipende anche
da noi. |
|||
|
Il PuntO n° 411. 26-9-2020. Note a margine dei convegni
organizzati per il progetto “e-RA DIGITALE”. |
|||
|
|
Documento
inserito: 17-11-2020 Il PuntO
n°416 Quarta Nota a margine dei
convegni organizzati nell’ambito del progetto e-RA
DIGITALE. Alcune proposte. Di
Mauro e Federico Novelli 14-11-2020 Quanto segue non crea impacci
procedurali a coloro che vivono nel mito di avere in pugno il mondo con un click:
basta limitarsi a “firmare” i contratti senza inserire opzioni aggiuntive e
tutto sarà semplice e veloce, com’è adesso. Banche, Poste It.,
Finanziarie. Contratti di operatività on line. Modifiche da apportare.
Si sostiene che le
banche, nella loro offerta di operatività on.line, non adottino adeguati strumenti di
protezione perché troppo costosi. E’ necessario
quindi che le autorità monetarie di controllo obblighino il sistema a
modifiche contrattuali affinché banche, Poste e finanziarie siano obbligate
ad adeguare i presidi di sicurezza perché i nuovi contratti siano rispettati. Banche, Posta, finanziarie. La modifica più incisiva potrebbe essere
costituita dall’obbligo contrattuale di rispettare la volontà del cliente
circa le procedure di modifica dei parametri inerenti il contratto
sottoscritto. Il contratto deve infatti prevedere l’elenco delle operazioni e
dei relativi livelli quantitativi (se previsti) che il cliente può eseguire o
dare ordine di eseguire. Per alcune di queste (scelte dal correntista) deve
essere prevista l’impossibilità di modifica tramite procedure on line qualora
il cliente opti per la modifica tramite lettera raccomandata o
lettera raccomandata a mano. Segue obbligatoria verifica telefonica. A titolo di esempio il correntista potrebbe
decidere di modificare solo per iscritto l’opzione circa l’operatività
sull’estero del conto tramite l’uso di bonifici; potrebbe decidere che i
massimali indicati nell’uso delle carte non possano essere modificati con interventi
on line, ma per iscritto; che i bonifici interni possano prevedere un limite
massimo e un ritardo di esecuzione (ma non della valuta di addebito) di tot
giorni, anch’essi modificabili solo tramite lettera ecc.; di modificare solo
con lettera il numero di telefono di riferimento operativo sul conto per i
contatti e per i livelli di sicurezza PSD2.
Del resto già adesso in molti contratti è lasciata al cliente la
facoltà di scegliere, da un elenco merceologico proposto, quali tipi di
prodotti e servizi è vietato acquistare tramite bonifico: potrebbe decidere
di rinunciare all’operatività nel gaming e nel
gioco d’azzardo, nei prodotti e servizi per soli adulti ecc. Anche queste
limitazioni qualitative devono poter essere variate, a scelta del cliente, solo
tramite raccomandata. Gestori di telefonia.
Nuovo tipo di schede SIM?
Nella nota n° 3 si
suggeriva al correntista on line di dedicare una sim,
ed il relativo numero non fornito ad alcun contatto, ai livelli di sicurezza
del suo conto. Sebbene sia stata
messa a punto negli USA più cinque anni fa, è di gran moda tra i cybercriminali la Sim
swap. Si tratta di acquisire un clone
della sim il cui numero il correntista ha indicato
per la ricezione di sms quale ulteriore livello di sicurezza. Con artifici e
convincimenti vari (documenti falsi ecc.) si riesce ad ottenere un duplicato
della sim, isolare la sim
“ufficiale” ed ottenere i codici autorizzativi di operazioni di addebito sul
proprio conto (spesso ordinate a raffica) e di accredito su conti in genere
radicati all’estero. Per contrastare
questo tipo di reato, si potrebbe suggerire alle società telefoniche di
emetter sim non duplicabili dal sistema ab origine
(con numerazione particolare?), scelte dal cliente prudente proprio per
quella caratteristica, dovendo indicarne il numero come ulteriore sistema di
sicurezza sull’operatività del conto corrente. In tal modo, al criminale
resta solo lo strumento informatico per entrare in possesso dei codici
necessari ad escludere il vero titolare e ad inserirsi nel processo di
addebito del conto. In subordine,
anche in questo caso, si potrebbe lasciare al cliente prudente la decisione
di non richiedere mai il duplicato della carta e, quindi, in caso di
smarrimento, distruzione, furto per lui risulta impossibile ottenere una
sostituzione. Una tal decisione dimostra che l’utente preferisce andare
incontro al disagio di dover sostituire il vecchio con un nuovo numero. Ma
nella nota n° 3 si suggeriva al correntista on line di dedicare una sim, ed il relativo numero non fornito ad alcun contatto,
ai livelli di sicurezza del suo conto. In tal caso il dover sostituire il
numero creerà un disagio minimo. Comunque, è da ritenere preferibile la
seccatura di dover avvisare i cento o i mille contatti del nuovo numero
piuttosto che correre dietro a banche ed avvocati per cercare di recuperare
quanto ci è stato trafugato. In ulteriore
subordine, le società telefoniche dovrebbero adottare procedure prudenziali
prima di concedere il duplicato della sim:
anzitutto dovrebbero pretendere una denuncia alle forze dell’ordine; inoltre,
l’addetto al servizio dovrebbe cercare di contattare telefonicamente proprio
il numero la cui sim sia dichiarata smarrita,
rubata o distrutta. Potrebbe scoprire che a rispondere sia proprio il
titolare. Inoltre, si potrebbe prevedere che la consegna del duplicato sia
dilazionata di due o tre giorni, indicando al richiedente di tornare
successivamente. Non credo che a questo punto, l’eventuale criminale torni, munito com’è di
documenti falsi, col rischio di trovare i Carabinieri. Nel frattempo operare
verifiche sull’esistenza in vita della sim, anche
tramite e-mail al legittimo titolare. “Impiegato infedele”:
fenomeno in crescita.
Piuttosto che
impegnarsi a violazioni tecnico-informatiche, per la cybercriminalità
è probabilmente molto più economico e sicuro individuare uno o più dipendenti
di società detentrici di grandi banche dati personali in grado di rifornire
l’organizzazione dei riferimenti (anagrafici, finanziari, clinici ecc.)
detenuti negli archivi che quei dipendenti dovrebbero proteggere. Col crescere delle
quotazioni del valore dei dati personali, divenuti preziosi con l’avvento di internet, il fenomeno della infedeltà dei dipendenti è
cresciuta esponenzialmente soprattutto perché, con l’adozione di archivi
informatici, i dati consegnati (bon gré, mal gré) alla criminalità organizzata possono riguardare
milioni di cittadini. Parallelamente è cresciuta la capacità di convincimento
della mala nei confronti di dipendenti che devono rendersi riconoscenti nei
suoi confronti. Pensiamo a cittadini in mano ad usurai, o a semplici
dipendenti che hanno avuto gratificazioni aziendali grazie ad interventi di
personaggi al di sopra di ogni sospetto. Anche per questi motivi, da sempre,
le banche hanno adottato la politica delle frequenti sostituzioni soprattutto
nella dirigenza di uffici aperti al pubblico, come le agenzie di città. D’altra parte
nessuno può sinceramente ritenere che le aggressioni informatiche,
soprattutto in materia finanziaria, siano condotte randomicamente,
a caso, pescando la preda nel mucchio, nella speranza, da una parte, di
incontrare posizioni pecuniarie di interessante consistenza e, dall’altra, di
non perdere tempo e denaro violando la posizione del pensionato con 500 euro
sul conto. E per questo tipo di conoscenze non possono bastare le indagini
che la criminalità pone in essere filtrando e spulciando i post inseriti su FaceBook o Twitter e sui social
in genere. Da ciò discende che la
criminalità finanziaria deve essere in grado di violare ogni tipo di sistema
di sicurezza posto in essere da banche e finanziarie, oppure hanno
“suggerimenti” dall’interno delle stesse. E’ da rilevare che la “scorciatoia”
resa praticabile dalla infedeltà di alcuni dipendenti, permette anche alle
organizzazioni tecnicamente non dotate di particolari conoscenze
informatiche, di inserirsi nel business del cyber crimine, magari come
semplici rivenditori di dati. In un paese come
l’Italia in cui la mala organizzata ha infiltrato centinaia di suoi uomini
nei gangli vitali dell’economia, ha investito nell’acquisizione di
centinaia di aziende e dove tutti si rivendono tutto (dai rettori, ai
professori, ai baroni della medicina, ai vigili urbani, ai dipendenti
comunali ai grandi burocrati, alle commissioni di concorsi ecc.) non è
difficile creare grappoli di dipendenti infedeli pronti a soddisfare le
esigenze delle rispettive case madri. Ecco con quanta
facilità opera il mercato nero dei dati: Da Il Quotidiano
del Sud. Del 27-6-2020. Gli immensi archivi della
Sogei (Società Generale d’Informatica S.p.A).
Le dimensioni dell’attività e le banche dati detenuti dalla Sogei sono tali da far tremare i polsi. La società ha un’attività che va dalla conservazione e verifica dagli oltre 800 milioni di ricette mediche, alla gestione delle carte di credito; dal controllo della Carta Acquisti al monitoraggio degli effetti finanziari delle misure previste dalla manovra di bilancio governativa; dal supporto all’attività istituzionale della Corte dei conti, al controllo di legittimità sugli atti e di gestione sul Bilancio dello Stato; dalla predisposizione degli atti dovuti dalla Corte dei conti al Parlamento, alla verifica della copertura delle leggi di spesa; dalla realizzazione di soluzioni tecnologiche avanzate che permettono all‘Agenzia Dogane e Monopoli Queste sono solo alcune delle attività della Sogei.
Ci chiediamo: perché questa società, detenuta dal MEF al 100%, non
mette a disposizione, almeno del comparto finanziario, sia i suoi sistemi di
sicurezza che, vista la preziosità dei dati gestiti e conservati, dovrebbero
risultare praticamente insuperabili, sia le procedure per contrastare
l’azione di impiegati infedeli?
[….] Soluzioni Modelli
previsionali e analisi statistiche Piattaforme
applicative nazionali Sistema
europeo tracciamento tabacchi IT Governance Politica per i
sistemi di gestione Progettazione
e realizzazione di sistemi informativi Processi di
governo e controllo Digital Experience Strategia e
Innovazione Digitale Laboratorio
di ricerca digitale Progetti
Europei e collaborazioni Comunicazione
e disseminazione Altre informazioni Whistleblowing -
Segnalazione di illeciti © 2020 - Sogei
S.p.A. - Sede Legale Via M. Carucci n. 99 - 00143 Roma - P. IVA 01043931003 -
C.F. 02327910580 Reg. Imprese di Roma n. 02327910580 - REA n. 407760 -
Capitale Sociale € 28.830.000,00 (i.v.) - Socio
unico |
|
|
