Cybercrime. Lotta senza fine. Ma i "buoni" a volte vincono

La sicurezza
Nella classifica generale, la novità importante è l’avere tolto il raddoppio del punteggio della banca più sicura. Un punteggio doppio nella sicurezza ha permesso in questi 7 anni anni ad Of-Osservatorio Finanziario di sottolineare l’importanza fondamentale del fattore sicurezza per lo sviluppo dell’Home Banking in Italia. La scelta è stata operata prima di tutto per permettere di aggiungere numerosi nuovi punti di osservazione in quest'area e, in secondo luogo, per sottolineare che la sicurezza si gioca anche sul fronte dell'informazione, della formazione del cliente e della trasparenza.

Anche nel corso del 2008, gli attacchi alle banche sono stati numerosi e sono in costante aumento: questo è un dato accertato da operatori internazionali quali RSA, del gruppo EMC e da diversi guru come Bruce Schneier. Il centro anti-frode di RSA, ad esempio, ha chiuso più di 32 mila siti di phishing nel 2007, che nel 2008 sono già saliti a oltre 80 mila. Il problema oggi non riguarda però solo il phishing, le email false che invitano a collegarsi in falsi siti di banche, ma anche e soprattutto di attacchi provenienti da virus troiani che si installano direttamente nel computer dell'utente navigando in siti insospettabili e considerati sicuri, tra cui anche pagine di noti quotidiani online, di università, supermercati senza parlare di blog e community online. Questi attacchi, che vanno sotto il nome di pharming, sono in grado non solo di carpire informazioni sensibili e dirottarle verso vere e propri mercati virtuali d' identità rubate, ma anche e soprattutto di reindirizzare il cliente verso falsi siti di banche. Questi nuovi attacchi sono molto meno visibili di quelli delle email false ed è quindi più faticoso educare il cliente ad evitarli, anche perché i codici criminali (crimware) sono difficilmente intercettabili anche dagli antivirus aggiornati. Oltre ai sistemi di crittografia standard, oggi, sono necessari sistemi di sicurezza aggiuntivi soprattutto all'accesso, cioè quando ci si connette al proprio conto bancario su web o via cellulare.

Le banche devono quindi diventare "proattive" verso il cliente ed aiutarlo con sistemi più sofisticati. Tra questi ci sono i sistemi di identificazione "intelligenti", in grado di riconoscere chi si collega e si autentica nell'area riservata, attraverso domande personali e personalizzabili: qual è il nome della prima insegnante, il nome dell'animale domestico, il cognome della madre fino a domande più riservate come qual è l'ultimo libro letto o il vino preferito. E' questo il sistema innovativo più usato in USA e in Europa, perché è semplice per l'utente, ma estremamente sofisticato e di difficile intercettazione: è infatti necessario conoscere molto bene il cliente che si vuole derubare.

Tra le banche che usano questo sistema, ma solo parzialmente, quando si richiede il cambio di Pin e solo con domande che riguardano il rapporto con la banca, come ad esempio "quanti conti di deposito hai?", c'è Ing Direct Italia, nota per il Conto Arancio. Ci sono poi le banche che usano il certificato residente nel Pc come la Banca Popolare di Verona e la Banca Popolare di Lodi, duramente attaccate dal phishing nel corso del 2007. Il certificato residente è un sistema di sicurezza eccellente, ma di difficile gestione da parte del cliente perché deve sapere gestire il certificato, scaricarlo correttamente e installarlo nel proprio Pc che va tenuto al sicuro da intercettazioni: il certificato, infatti, può essere copiabile da terzi. Nel 2008, è cresciuto da 8 a 12 sul campione di 55 gruppi bancari (50%), il numero di banche che hanno adottato il sistema di doppia autenticazione con token che genera password usa e getta, un sistema abbastanza sicuro, ma purtroppo non apprezzato dal pubblico che lo considera "faticoso". Una chiavetta simile a un portachiavi che genera password monouso (da qui l'acronimo OTP, one time password), deve essere usata come password aggiuntiva all'accesso e per tutte le disposizioni in conto. La preferenza oggi va ai sistemi di doppia autenticazione con password usa e getta inviata via SMS. Le banche del Gruppo MPS e quelle del gruppo Credito Valtellinese sono le uniche che hanno un servizio di password “usa e getta” via cellulare in alternativa utilizzano una “chiavetta Usb”: per ogni accesso al sito, l’utente chiede una nuova password, via cellulare, telefono o computer, che arriva via SMS. Finita l’operazione la password non è più valida. I cyberladri, che le rubare attraverso i virus iniettati nel computer, non possono riutilizzarle per prelevare il denaro dal conto dell’utente. Webank.it ha recentemente aggiunto un sistema analogo per le ricariche: la password aggiuntiva di 4 caratteri è inviata via cellulare. Tutto questo per evitare che i truffatori svuotino il conto semplicemente facendo ricariche a diversi numeri di telefonino. Banca Sella, a sua volta, utilizza più sistemi di sicurezza insieme: il token, il tastierino digitale, l'avviso via SMS di accesso al servizio e l’avviso di cambio pin ogni mese. Quello dell'avviso del cambio password è una buona norma di quasi tutte le banche online "pure", mentre i gruppi bancari maggiori a partire da UniCredit hanno promosso l'acquisto scontato di antivirus.

Se il vecchio cliente della banca online, molto pratico dell’uso del computer, non teme particolarmente la sicurezza del proprio conto online, i nuovi utenti e soprattutto gli affluent sono ancora frenati dalla paura dei furti. Nonostante che le banche stiano puntando su tecnologia e marketing per portarli ad utilizzare i servizi via web.

La cosiddetta autenticazione forte, con o senza token, è la soluzione definiva del problema phishing o pharming, una risposta "forte" al problema della sicurezza online? RSA commenta che il problema del pharming si sta aggravando sempre di più: sarebbero oltre mezzo milione i siti di banche online e di carte di credito compromessi dal crimware, con la immediata conseguenza di siti in panne e servizi inaccessibili anche per giorni. Google ha effettuato una analisi dei siti indicizzati e ha scoperto che sarebbero centinaia di migliaia quelli infettati, almeno una pagina ogni dieci, tra le 4,5 milioni di pagine controllate, sarebbero a rischio. Sophos parla di una nuova infezione ogni 14 secondi. Al momento, in Italia non asi hanno evidenze di attacchi che aggirino i sistemi di autenticazione forte e ABILab opera insieme a partner tecnologici sulla sicurezza online, per aggiornare al livello nazionale ed internazionale sulle minacce presenti e le banche italiane oggi operano a stretto contatto con organizzazioni come OWASP (www.owasp.org), la community aperta internazionale gratuita per applicazioni dedicate alla sicurezza. OSWAP è l'acronimo di Open Web Application Security Project. In altre parole s'incontrano qui tutti coloro che lavorano nel campo della sicurezza per confrontarsi e far crescere la consapevolezza nei vari ambiti di questa settore.

La guerra al cybercrimine
Si sta combattendo nell'e-banking una vera e propria guerra, dove le banche italiane si sono trovate a volte in contropiede rispetto alle organizzazioni criminali, nonostante suggerimenti utili che provenivano, oltre che dalle società che si occupano di sicurezza, anche da istituti no profit e indipendenti, come è anche Of. Il problema della sicurezza oggi è però molto ampio e riguarda prima di tutto l’informazione e l’educazione del cliente dell’Home Banking. I servizi bancari e finanziari online, infatti, sono usciti dalla nicchia dei cosiddetti technofan, persone cioè che sanno utilizzare le tecnologie e Internet in particolare. Sono a disposizione e soprattutto piacciono a un pubblico di clienti che del web sanno molto poco e del computer ancora meno. Il “digital divide” di cui Of parla ormai da 7 anni è paradossalmente aumentato: i giovani che oggi aprono un conto online o utilizzano una carta prepagata o un bancomat sanno molto meno del web di quanto ci si aspetterebbe da una generazione che è nata con il computer. Un ampio pubblico di over 50 che si è avvicinata al web più per motivi di praticità e di convenienza, ha da sempre un rapporto molto difficile con la tecnologia. Internet richiede molto tempo e molta applicazione: entrambi mancanti sia ai più giovani, occupati dai problemi della scuola e da quelli di una adolescenza prolungata, sia a chi ha sulle spalle incombenze come il lavoro e la gestione della famiglia. La sicurezza bancaria non riguarda più soltanto la tecnologia, pur fondamentale, ma anche la comunicazione, l’informazione, l’educazione e l’interazione con le persone che rappresentano la banca. Un valido servizio di Home Banking deve essere facile da usare, da ricordare e anche “simpatico”, ovvero gradevole, personalizzabile, e soprattutto “portabile” su qualsiasi tipo di computer o supporto “telematico”. Per ovviare a questi inconveniente, le banche multicanale sfruttano sinergie con le filiali e bancomat o ATM che sono in grado di avvicinare all'Home Banking utilizzando una carta di debito e percorsi semplici e guidati. In questo, le banche online "pure" sembrerebbero svantaggiate, ma non lo sono: da queste infatti partono infatti iniziative interessanti, come l'avere predisposto l'Home banking anche su iPhone e canali mobile, l'avere siglato alleanze con Poste Italiane per l'uso degli uffici postali, l'avere promosso l'uso del "bollettino freccia" per depositi in contanti in qualsiasi filiale di qualsiasi banca e soprattutto, l'avere attivato sistemi di sicurezza "proattivi".

La trascuratezza nemica della sicurezza
Sono ancora molto numerosi i problemi tecnici riscontrati dal team di analisi di Of anche nel 2008: siti in panne, lenti, messaggi "terrorizzanti" per i clienti, ma soprattutto una certa "trascuratezza" nello sviluppo dei siti e de servizi che diventa complice della criminalità sul web. La complessità è il primo nemico della sicurezza. Un sistema con troppe password, complicate, con più sistemi di sicurezza, alcune volte in conflitto fra loro, produce maggiore insicurezza dal momento che il primo fattore di rischio nell’home banking è il fattore umano. Nonostante i molti inviti alla prudenza, sono ancora numerosi i clienti che scrivono le password su foglietti di carta lasciati incustoditi o che scelgono password molto banali, come la data di nascita o il nome del proprio animale domestico. O ancora, le scrivono su note pad nel proprio computer salvo poi dimenticarsi di eliminarle quando danno il Pc a terzi o lo portano a riparare. Non solo i clienti, però, soffrono di trascuratezza. Molto più grave è scoprire che sono ancora numerose, il 46% del campione di Of, le banche che trascurano norme molto semplici di sicurezza, come, acquistare, a tutela del proprio nome (brand) e di quello dei propri prodotti e servizi (conti, mutui, carte e così via), tutti i domini relativi, non solo i .it, ma anche e soprattutto i .com, .net, .org e .eu. E ancora più numerose, il 96% del campione di Of, sono le banche che non hanno disegnato le proprie pagine web secondo i più semplici standard internazionali, indicati dal consorzio W3C. Casi gravi sono, ad esempio, quelli di We@bank che al dominio “webank.com” rimanda ad un sito giapponese potenzialmente pericoloso o quello di Websella che al dominio “webella.com” pubblica una scritta “no web is configurated”, creando sospetto, ansia e confusione o ancora Credem.com che porta a un sito di una società che commercializza lampade e sistemi luminosi. Ma anche IWBank che a IWBank.org rimanda a una fabbrica di link con pop-up potenzialmente pericolosa.

Per quanto riguarda, invece, la certificazione sicurezzaper il codice HTML e il i cosiddetti fogli di stile (CSS), che serve, in primo luogo, per farsi trovare più velocemente dai motori di ricerca e per una migliore chiarezza di lettura dei browser, le banche OK sono soltanto due, Gruppo MPS e Popolare di Sondrio. Molto poche ancora, meno del 4%, le banche che pubblicano una mappa del sito con indicazione precisa degli indirizzi web della banca.

Perché una banca non può permettersi alcuna trascuratezza? Perché la sicurezza esige accuratezza e rigoroso controllo: le organizzazioni criminali lavorano per infettare pagine web che hanno indirizzi simili a quelli delle banche. Non è il caso, quindi, di facilitare loro il lavoro, tralasciando di proteggere il proprio nome con tutti i domini possibili. Una pagina web mal disegnata, inoltre, è causa di rallentamenti nella visualizzazione o di malfunzionamenti nel browser. Sono ancora numerosi i problemi tecnici legati proprio alla trascuratezza con cui le banche curano i propri siti web, il che crea anche disaffezione, oltre al sovraccarico dei servizi di call center, molto onerosi per una banca.

Web-Banca 2009
Il terremoto provocato dalla crisi finanziaria internazionale avrà conseguenze importanti anche nel settore dell'e-banking. In un recente convegno demo, Finovate2008, che si è tenuto a New York il 14 ottobre scorso, si è parlato della tecnologia come utile strumento per dialogare con i clienti e ridare loro fiducia nel sistema finanziario e bancario. Come? Sono proprio gli strumenti delle Community ad essere selezionati tra i migliori canali informativi e di interazione e con questi anche tutti i sistemi di confronto tra diversi servizi e prodotti. Portare il cliente alla banca sul web più spesso non solo per verificare saldo e fare pagamenti non sarà facile: bisognerà abbandonare la mentalità marketing che premia "il tutto subito". Le Community hanno tempi lenti, a volte estenuanti, ma sul medio e lungo periodo la web-banca avrà un ritmo di crescita accelerato. Il passa parola può sembrare a volte una perdita di tempo, ma non lo è. Creare sistemi di confronto richiede grande applicazione e rigore, ma è un valido supporto per permettere al cliente di scegliere con cognizione di causa e sapere confrontarsi con il mondo bancario in modo adulto e consapevole. Senza conflitti, urlati o meno in Tv, e senza furberie e mezzucci: la trasparenza, anche grazie al web, è il futuro della Web-banca e della Banca, in tutti i suoi aspetti.