Poste dichiara guerra ai cyber-ladri

Gerardo Costabile, Information Security Manager di Poste Italiane ne è convinto: “Il futuro per l’e-banking sarà sempre più difficile, in quanto le minacce alla sicurezza evolvono con una media impressionante”. I sistemi utilizzati dalle organizzazioni criminali on line sono sempre più raffinati. E in Italia importiamo con un po' di ritardo quello che accade all'estero. Le statistiche mondiali ci rivelano che questo 2008 si sta chiudendo, in termini di infezioni da virus on line, con una media di una pagina web infetta ogni 5 secondi. “Chi pensa che le transazioni bancarie on line siano più economiche perché non ci sono fisicamente gli uffici si sbaglia”, aggiunge Costabile. Che a Of parla in esclusiva dei rischi del phishing e anche del mega progetto che Poste Italiane lancerà nel 2009, contro il crimine informatico. Una scommessa da milioni di euro.

OF: Ma allora, la sicurezza è sempre un problema per la banca sul web?
Costabile: Il problema si chiama ancora una volta phishing, cioè una particolare forma di furto di identità informatico. Poste Italiane ha fatto un percorso che ci ha visto da fine 2005 a tutto il 2008 impegnati in prima linea a far crescere la cultura della sicurezza del cliente, con più campagne informative, nuovi siti web, brochure che oggi il cliente trova negli uffici postali e tanto lavoro dietro le quinte, per scoprire ad esempio 7 giorni su 7 ed h24 tutti i nuovi siti clone di Poste Italiane, per poi chiederne la chiusura in tutti i paesi del mondo.

OF: Come vi siete organizzati?
Costabile: Abbiamo implementato una Security Room che controlla, tra l’altro, tutte le fasi del phishing e delle frodi sui conti correnti e sulle carte di debito, con un monitoraggio costante ed unico in Italia. In passato, quindi, abbiamo investito molto in un programma di educazione e formazione sia del clienti che dei nostri dipendenti. Pensi che abbiamo fatto formazione a circa 60.000 sportellisti degli uffici postali.

OF: Qualcosa è cambiato?
Costabile: Molto è cambiato in questi 3 anni. Nonostante ciò, purtroppo, sono ancora molte le persone meno attente alla custodia delle informazioni riservate e questo anche perchè le frodi sono sempre più affinate.

OF: Cioé?
Costabile: Le email sono scritte in un italiano sempre più corretto e sono sempre più subdole, sfruttando la psicologia più che la tecnica, in quanto Poste Italiane non scrive mai via email, specialmente ad un indiretto privato e non quello fornito da noi. Per questi motivi, abbiamo quindi deciso di "accogliere" il cliente in un nostro modo di vedere la sicurezza, abbiamo circondato il cliente di nuovi strumenti che sono attualmente tra i più sicuri al mondo.

OF: E ora?
Costabile: Renderemo ancora più sicure PostePay e carte di credito, con un progetto a vasto raggio per fronteggiare il furto d'identità digitale. Stiamo lavorando per un 2009 all’insegna della tutela del cliente on line. Ma c’è una grande novità. Parte, infatti, dal gennaio 2009 un vasto programma che ha al centro il Kit sicurezza.

---- OF: Di cosa si tratta?
Costabile: In pratica sarà consegnato a ciascun correntista Bancopostaclick e BancoPostaOnline un lettore di smart card dai colori blu e giallo di Poste Italiane, in grado di leggere il certificato di sicurezza presente sul Postamat di Poste Italiane, creando password usa-e-getta da utilizzare on line.

OF: Non le sembra complicato portarsi dietro un lettore per fare ricariche e bonifici?
Costabile: Il lettore di sicurezza è un oggetto leggero e semplice da utilizzare, anche grazie alle informazioni che passo passo accompagnano il cliente sul web fino alla conclusione delle operazioni di pagamento. E’ stato costruito seguendo gli standard internazionali di settore e, laddove fosse necessario, sarà possibile anche utilizzare il lettore di un amico, inserendo il proprio Postamat, per concludere l’operazione on line. Ma la vera novità è un'altra: il certificato di sicurezza personale risiede nel microchip del Postamat, che ciascuno di noi porta abitualmente con sé e di cui ricorda a memoria, con più semplicità, il PIN di 5 cifre. Non è quindi necessario aggiungere un'altra smart card ad hoc. Oggi usiamo il Postamat per prelevare contanti agli ATM, domani lo useremo anche per pagare on line con maggiore sicurezza.

OF - Ma non tutti i Postamat hanno il chip...
Costabile: Ma lo avranno prestissimo. Stiamo accelerando il processo di migrazione da banda magnetica a microchip, con al suo interno memorizzato un certificato di sicurezza personale, proprio per poter far partire il progetto “cliente sicuro” in tempi brevi.

OF: Vuol dire che non solo chi ha aperto il conto online BancoPostaClick ma chiunque abbia un conto Bancopostaonline si dovrà dotare prima di un Postamat con chip e poi anche del lettore?
Costabile: Lo abbiamo chiamato Kit sicurezza, proprio perché stiamo organizzando l’attivazione del nuovo Postamat e del lettore insieme, rendendo il più possibile agevole il passaggio a questo nuovo sistema.

---- OF: Con quali costi per il cliente?
Costabile: Nessuno, il kit sicurezza è completamente gratuito.

OF: Ma in sostanza, come tutto questo funziona?
Costabile: Il lettore ha una tastiera numerica ed un visore a cristalli liquidi di 8 cifre. Ebbene, una volta che il bonifico è pronto per essere confermato, sullo schermo del computer del cliente, connesso al nostro sito web, apparirà un codice da inserire mediante la tastierina, oltre al PIN segreto del Postamat. Dopo il sistema creerà una password usa e getta, da scrivere sul nostro sito in una finestra segnalata. E’ molto semplice da utilizzare, ci saranno disegni e suggerimenti anche per i clienti meno avvezzi alla tecnologia. Sarà più semplice che prelevare contante e, fondamentale, sarà sicuro dai ladri telematici.

OF: Vuol dire che viene creata una password speciale, che è associata a quel codice e basta?
Costabile: Esatto. La OTP, cioè la password usa-e-getta, sarà legata a quella singola transazione.

OF: … e non più anonimamente ai 30-60 secondi per il suo utilizzo, come avviene solitamente nei sistemi più evoluti?
Costabile: Un frodatore tecnologico potrebbe anche carpire una normale password usa e getta - casi nel mondo ce ne sono già stati anche se non si hanno informazioni ufficiali di casi nazionali - ma nonostante le tecniche più evolute non potrebbe fare nulla con quella generata dal kit sicurezza di Poste Italiane.

OF: Questo perché la password di Poste è legata alla singola transazione e quella password usa e getta non potrà essere usata per fare un bonifico diverso, ad esempio a favore del frodatore stesso.
Costabile: Per farlo dovrebbe riuscire a sottrarre tutto quanto il kit: il lettore, la carta postamat e il suo PIN segreto. Ma attenzione. Il kit sicurezza dovrà essere utilizzato per “pagare”, ovvero per quelle che tecnicamente vengono definite operazioni dispositive on line, quali ad esempio bonifici, bollettini, MAV, ricariche telefoniche, F24 etc. Per chi vuole solo consultare il saldo o la lista movimenti, si potrà accedere nell'area personale di Poste.it senza particolari differenze, mediante il nome utente e la password scelta.

---- OF: L’area personale del sito sarà quindi sempre la stessa?
Costabile: Con l’occasione l’abbiamo anche rinnovata, con un nuovo metodo di comunicazione “inventato” da Poste Italiane e chiamato PES, Posta Elettronica Sicura. Questo sistema consente di contrastare con efficacia il fastidioso fenomeno delle false email. Ogni comunicazione elettronica ufficiale di Poste Italiane sarà identificabile con un lucchetto di sicurezza e tutte le email saranno conservate in una cartella ad hoc. In questa cartella potranno esserci solo comunicazioni di Poste Italiane e di nessun altro. Inoltre applicheremo a questi messaggi di posta elettronica anche l’EPCM, una sorta di timbro postale digitale, per avere una maggiore garanzia sul testo dell’email e sulla data. E’ certamente una delle più grandi innovazioni di sicurezza informatica di quest’anno, tutta Made in Italy.

OF: Sembra uno sforzo enorme. Quanto è costato a Poste Italiane?
Costabile: Il programma è molto complesso e gli investimenti sono stati di particolare entità. L’amministratore delegato Ing Massimo Sarmi e tutto il top management coinvolto hanno approvato investimenti per diversi milioni di euro al fine di tutelare al massimo i nostri clienti. Il progetto ha coinvolto la nostra struttura di Tutela Aziendale, il Marketing di Bancoposta, la rete territoriale e gli Uffici Postali, l'area Tecnologie dell’Informazione e la Comunicazione Esterna, oltre al necessario coinvolgimento del contact center ed alla formazione del personale degli sportelli.

OF: La sicurezza è dunque ancora un grosso problema. Ma sembra che non ci sia solo un aspetto tecnologico, ma anche d'immagine, di autorevolezza per la banca?
Costabile: I clienti degli istituti di credito online sono mediamente molto attenti e preparati. Alcuni nuovi clienti lo sono forse un po' molto meno, ma comunque sono sempre molto contenti quando si sentono tutelati in ogni modo, non solo per quanto concerne la sicurezza degli investimenti. A mio avviso la sicurezza, ed in particolare quella informatica, è un elemento distintivo e caratterizzante, segno di affidabilità a tutto tondo per chi decide di operare su internet. Il progetto di Poste Italiane aiuterà certamente anche a trasmettere questo messaggio positivo. La fiducia del cliente è un patrimonio difficile da guadagnare e facile da perdere.

OF: D’altro canto, gli strumenti per frodare online sono poco costosi, qualche decina di dollari e si compera una identità online, e semplici da reperire, anche attraverso community specializzate. La sicurezza bancaria, al contrario, è sempre più impegnativa economicamente. Un progetto come il kit sicurezza se lo può permettere solo Poste Italiane o qualche grande gruppo bancario?
Costabile: Bisogna pensare ad una compensazione di misure di sicurezza che sul web sono meno umane e più tecnologiche, ma ugualmente impegnative in termini di sforzo agli investimenti. Molti istituti internazionali stanno passando alla strong authentication, che è quello che stiamo facendo anche noi con il kit sicurezza. Chi non si adeguerà sarà sempre più attaccato dal phishing e questo non sarà un buon segnale di fiducia per tutto il sistema.

© Le news di OF - Osservatorio Finanziario, riproduzione riservata.