Mobile Banking: cellulari più sicuri del pc?

Fare bonifici, pagare bollettini postali, trasferire fondi da un conto corrente ad una prepagata, ricaricare il cellulare, tenere costantemente controllato il proprio saldo e la lista dei movimenti effettuati. Le operazioni di banking, dispositive e informative, non necessitano più di uno sportello bancario con relativo operatore, ma possono essere disposte da qualunque luogo ed in qualsiasi momento. Non solo standosene a casa comodamente seduti davanti al proprio PC. Ma anche in viaggio, sul treno, in spiaggia sotto l’ombrellone o mentre si cammina per strada. Grazie al proprio telefono cellulare.

Il problema è garantire la sicurezza dei dati personali degli utenti e delle operazioni effettuate con il telefonino. Perché le truffe informatiche che minacciano l’web, e i portafogli degli ignari utenti di mobile banking, sono sempre in agguato. Anche se, per gli addetti ai lavori, operare sul proprio conto da cellulare è molto più sicuro che farlo dal PC di casa. È quanto è emerso nel corso dell’IISFA Forum 2009 dal titolo “Technointellingence, cyber security, information forensics” tenutosi lo scorso 8 maggio a Bologna. Perché la sicurezza dei dati personali è tutta racchiusa nella sim card. Non solo le immagini, la rubrica di contatti, i messaggi sono tutti contenuti nella memoria della scheda sim, ma anche le informazioni personali e i dati sensibili che delineano il profilo elettronico dell’utente, comprese le relative password. In pratica nella sim i virus non possono entrare. Ecco perché è più sicuro operare da mobile che da PC. Anche perché l’accesso alla sim può sempre essere bloccato da un codice identificativo personale, il pin code, conosciuto solo dall’utente. Inoltre, le informazioni immagazzinate, sono crittografate grazie allo standard Advanced Encryption Standard (comunemente noto come AES), che può raggiungere diversi livelli di sicurezza: dal meno evoluto, e ormai superato, Aes-128 alla sua nuova versione potenziata e sicura Aes-256.
Non è la stessa cosa però per i cellulari di ultima generazione, quelli super evoluti dotati di un sistema operativo autonomo come Windows Mobile, Symbian, Palm OS o Android. In questi casi, infatti, il virus può penetrare nel cellulare durante la navigazione web e intaccare tutto il sistema rubando le informazioni in esso contenute.

Se i dati personali dell’utente sono al sicuro nella sim, il problema della sicurezza riemerge quando il telefonino si connette al web per accedere alla propria sezione di home banking, esponendo in tal modo informazioni personali e dati sensibili (ad esempio i codici di autenticazione che permettono il login) al rischio di truffe virtuali. Che mirano a rubare l’identità elettronica del malcapitato cliente, oltre a svuotare il suo conto corrente. Così l’ignaro utente può cadere vittima di sms contraffatti che, falsificando il mittente, lo invitano ad indicare nuovamente i propri codici di accesso al sistema di login di qualche istituto di credito (Smishing). Oppure può anche capitare che un esperto truffatore del web si frapponga nel mezzo della comunicazione tra due vittime, compromettendo il collegamento e intercettando tutto il traffico di messaggi inviati (Man-in-the-middle). È necessario allora garantire anche la sicurezza della navigazione sul web. Che varia a seconda dello standard di tecnologia mobile utilizzato.

I meno sicuri, e dunque più facilmente craccabili, sono i cellulari (oltre 3 miliardi al mondo) che sfruttano la vecchia tecnologia GSM (Global System for Mobile Communications), nata con un livello di sicurezza piuttosto basso e basato su un sistema di crittografia parziale per autenticare l’utente. E anche se le comunicazioni in uscita possono essere cifrate utilizzando appositi algoritmi di cifratura, tuttavia la complessità dell’operazione, l’eccessivo costo, e il conseguente rallentamento del flusso di comunicazione in entrata e uscita, rendono il protocollo GSM poco adatto all’effettuazione di mobile banking dispositivo.
Anche perché il cellulare con protocollo GSM sfrutta una connessione a internet WAP, che rende dunque disponibile la navigazione solo all’interno di siti semplificati (.mobi) appositamente creati per la navigazione da cellulare. Diverso il caso di PosteMobile che, per gestire l’operatività del conto, sfrutta la tecnologia Gsm grazie all’utilizzo degli sms. Perché qui tutto il sistema operativo è contenuto nella sim card, inaccessibile a virus e malware provenienti dall’esterno (leggi intervista).

Poi ci sono i cellulari di ultima generazione che utilizzano uno standard tecnologico più avanzato, UMTS basato sull’evoluzione del protocollo GSM. Che consente una navigazione internet al pari di quella che può essere normalmente effettuata dal PC di casa. Internet, infatti, è accessibile in modalità WEB (non solamente WAP) ed è anche molto più veloce e a banda larga. Perché il pacchetto di dati scambiati viene ampliato ed integrato con la tecnologia HDSPA (High Speed Downlink Packet Access) che raggiunge una velocità massima pari a 7,2 MB al secondo. Fanno parte di questa categoria tutti i telefoni cellulari di ultima generazione, i cosiddetti smartphone e iPhone like, che permettono l’accesso alle pagine internet grazie ad un browser interno, integrato in un sistema operativo creato ad hoc per gestire tutta l’operatività da mobile. E in più permettono l’accesso ad applicazioni personalizzate, scaricabili dal web direttamente sullo schermo del proprio telefonino per mettere, a portata di clic, tutta una serie di servizi creati su misura.

Se i cellulari con protocollo UMTS-3G consentono una navigazione più sicura sul web rispetto ai loro predecessori, il problema della next generation riguarda più che altro le applicazioni. Che possono correre il rischio di aprire un varco nel sistema di sicurezza del telefonino, scaricando al suo interno virus e malware all’insaputa dell’utente. Ecco allora che le stesse case costruttrici si mettono alla prova per tentare di porre rimedio, ideando software e applicativi dedicati per garantire la sicurezza delle informazioni inviate e scaricate tramite i widget di ultima generazione.
Nokia, ad esempio, ha ideato un software, (Application Security Framework), in grado di bloccare l’accesso e il download di applicazioni potenzialmente pericolose. Apple, invece, permette di scaricare widget e applicazioni sul proprio iPhone solamente da un App Store appositamente creato che contiene widget di ogni genere (a pagamento e non) tutti realizzati in linguaggio Apple e, dunque, tenuti sotto stretto controllo dalla casa produttrice. Stesso sistema utilizzato anche dai telefonini firmati Google che utilizzano il sistema operativo Google Android. Questi evoluti smartphone infatti possono accedere ad un Android Market tutto online direttamente sfiorando un’icona da display, e acquistare (o scaricare gratuitamente) applicazioni personalizzate create ad hoc. Mentre Tim ha di recente annunciato di voler seguire la stessa strada tracciata da Apple e Google Android.

L’evoluzione tecnologica del protocollo UMTS ancora non è stata presentata, ma è di prossima uscita. Si chiamerà LTE (Long Term Evolution) e sbarcherà in Europa a partire da fine 2011 - inizio 2012. Il nuovo protocollo conosciuto anche con il nome di Super 3G, rappresenta non solo un superamento dei due standard tecnologici precedenti, ma avrà una velocità di connessione alla rete senza fili del web altissima, fino ad un massimo di 100 Mb al secondo. E in più sarà anche dotato di nuovi standard di sicurezza.

Oltre alla sicurezza dei pacchetti di informazioni scambiati sul web, le case costruttrici dimostrano sempre maggior interesse a garantire anche la sicurezza degli stessi apparecchi mobili. Così se il telefonino viene rubato il malcapitato ha la possibilità, non solo di bloccare immediatamente la sua sim personale presso il gestore di riferimento (proteggendo così le sue informazioni). Ma può anche bloccare il telefonino rendendolo inutilizzabile. Questa specie di antifurto digitale è di fatto un codice e si chiama IMEI, cioè International Mobile Equipment Identity. In pratica è composto da 15 numeri che identificano in modo univoco, proprio come un’impronta, ciascun apparecchio. Per rintracciare il telefonino in qualunque parte del mondo e bloccarlo, impedendo ad altri di accedere alle informazioni e ai contenuti salvati nella sua memoria interna. Anche se il cellulare cambia Sim, anche se rimane spento.

Mobile Banking: chi lo fa e come lo fa
Sono molti gli istituti di credito che permettono di operare sul conto corrente dal cellulare. Ci sono ad esempio banche come Banca Sella, CheBanca!, IW Bank, Webank, che creano un applicativo ad hoc per l’iPhone scaricabile gratuitamente dall’App Store online, che è possibile installare direttamente sul display. In tal modo basterà sfiorar l’icona sullo schermo per poter accedere immediatamente ai servizi di login, in modo del tutto sicuro ed immediato, per poter disporre di tutte le operazioni di home banking normalmente disponibili dal PC fisso. E poi ci sono i gestori di telefonia mobile ibridi, come Poste Italiane e, di recente, Intesa Sanpaolo, che creano una sim card ad hoc per operare sul proprio conto da mobile. In tutta sicurezza, perché tutte le informazioni contenute nella scheda di memoria sono crittografate, mentre il flusso di comunicazione tra cellulare e sistemi di pagamento è criptato. Inoltre offrono anche la comodità di inserire, direttamente nel menù a scorrimento della sim, tutte le voci relative alle operazioni (dispositive o informative) che si intende svolgere da mobile. Senza doversi necessariamente collegare ogni volta al sito web della banca.

Il primo istituto di credito ad entrare nel mondo della telefonia come gestore è stato BancoPosta con PosteMobile. La sim card permette di effettuare il pagamento di bollettini postali, bonifici, auto-ricaricare il telefonino, e le proprie carte Postepay attraverso il trasferimento di fondi direttamente dal conto corrente, semplicemente scorrendo il menù preimpostato. Mentre il servizio di gestione del conto, può essere attivato anche da coloro che non possiedono un cellulare di ultima generazione. Viene utilizzata, infatti, la tecnologia GSM, che consiste principalmente nell’utilizzo di sms.
Anche Intesa Sanpaolo, diventa gestore di telefonia mobile, con Extended Sim, la scheda telefonica nata in associazione con Noverca, la società frutto della collaborazione di Intesa Sanpaolo e Acotel, il Gruppo con sede a Roma che opera nel campo di fornitura di servizi e applicazioni Wireless, impianti di sicurezza e infrastrutture di rete. Il mobile banking di Intesa Sanpaolo permette di controllare il proprio conto corrente, consultare in qualunque momento il saldo e la lista dei movimenti effettuati, ricaricare il telefonino e effettuare bonifici, semplicemente scorrendo il menù preimpostato sul display.