Of Miglior Home Banking 2015/Ma quanto è sicuro?

Leggi anche:
Of Miglior Home Banking 2015/Ecco cosa è cambiato negli ultimi 365 giorni
Of Miglior Home Banking 2015/E il vincitore è…Banca Generali
Of Miglior Home Banking 2015/Banca nuova, cliente vecchio

Quanto è sicuro l’home banking? E’ la domanda di sempre. Questa volta Of l’ha girata a Anthony Cecil Wright, ingegnere, esperto di sicurezza informatica con quasi 50 anni di esperienza. Ex Responsabile Sicurezza e Business Continuity della Banca Nazionale del Lavoro, oggi in pensione, è fondatore e Presidente di ANSSAIF l'Associazione Nazionale Specialisti di Sicurezza in Aziende di Intermediazione Finanziaria. ANSSAIF ha recentemente avviato un progetto di indagine sui sistemi di autenticazione offerti dalle banche per l’accesso all’Internet Banking coinvolgendo i giovani studenti dell’ELIS College di Roma. Il College offre tre programmi formativi: IT Systems Achitect (ISA); Linguaggi & Tecnologie Multimediali (LTM); Operations & Maintenance Management (OMM). Francesca Tedeschi di Of-Osservatorio finanziario fa parte della giuria composta da docenti universitari ed esperti di sicurezza informatica.
L'indagine si basa sulla raccolta del parere da parte di un campione casuale di cittadini, sia tramite web che interviste telefoniche. È possibile rispondere al questionario online attraverso il seguente indirizzo: http://goo.gl/Sa8hH5.

Of: Le banche italiane sono sicure?
Wright: Innanzitutto dobbiamo distinguere fra i grandi gruppi, di cui fanno parte quelli di interesse sistemico e che ora sono sotto la vigilanza europea, dalle banche di minore rilevanza che, molto probabilmente, dovranno crescere di dimensione e pertanto cercare con chi fondersi. I principali gruppi, in particolare quelli con filiali e banche controllate a livello internazionale, investono continuamente nella sicurezza; altro fattore da non trascurare è che hanno incontri informali fra di loro per scambiarsi esperienze ed apportare miglioramenti nei controlli.

Of: Possiamo dunque dormire sonni tranquilli?
Wright: Non proprio. Il quadro generale è preoccupante: i controlli di compliance sono sempre più complessi e impegnano molte energie; infatti, il mercato del credito è sempre più sotto pressione, le norme antiriciclaggio richiedono energie ed estrema competenza, le frodi richiedono sempre maggiore attenzione.

Of: Gli attacchi dei cybercriminali sono così pericolosi?
Wright: I cosiddetti “APT” sono una minaccia che richiede energie, sistemi, intelligenza e una esperienza non comuni. Ma mi lasci lanciare un allarme.

Of: Prego...
Wright: Le banche italiane stanno mandando a casa coloro che proprio hanno quelle esperienze, nei sistemi gestionali, operativi e manageriali, che sono maggiormente richiesti oggi.

Of: E allora?
Wright: Posso aggiungere un altro problema non meno grave. Il cliente delle banche, alle prese con costi crescenti e scenari lavorativi da incubo, taglia i costi. Non ha nemmeno il tempo per tenersi al corrente delle minacce informatiche, aggiorna il software di base. Peggio ancora è la situazione delle le piccole e medie aziende che devono fare i conti con le spese correnti.

Of: Quante hanno rinnovato il sistema operativo o le licenze per il sistema antivirus?
Wright: Posso aggiungere un’altra domanda? Quante hanno un esperto di sicurezza continuamente aggiornato sulle nuove minacce? Le conseguenze di questo disinvestimento o trascuratezza nella sicurezza informatica sono la causa degli attacchi vecchi e nuovi. I nuovi virus fanno sì che quando un utente si connette ad una banca, può accadere che stia colloquiando con dei delinquenti e non la sua banca. Questo si chiama attacco “man in the middle”. ---- Of: In pratica non è nemmeno semplice capire come fare per proteggersi da questo "uomo nel mezzo", perché i virus navigano facilmente attraverso le email...
Wright: A questo proposito, ANSSAIF ha lanciato un progetto finalizzato ad identificare un modello “tipo” di home banking: ciò per misure di sicurezza tecniche, organizzative, di awareness, e così via. in linea anche con l’evoluzione in corso. Siamo convinti che vada ripensato il modello di riferimento: oggi è basato sulle solite vecchie tecniche. Approfitto anche per dire che ANSSAIF cerca di dare una mano alle banche ed alle piccole e medie aziende, avendo come soci tanti esperti di sistemi informativi, organizzazione, ICT Security, Safety, Business Continuity, incident e crisis management.

Of: Lei, in particolare, ha recentemente pubblicato un libro "Manuale di business continuity & crisis management", edito da Franco Angeli. Giusto?
Wright: Esatto. Contiene anni di esperienza e ciò che lo sta facendo apprezzare è che presenta esempi completi anche di prospetti tecnici come i cosiddetti BIA, BCP, ecc.. Non solo teoria quindi in linea anche con gli Standard Internazionali in vigore, ma “lessons learned”. L’anno prossimo compio 50 anni di esperienza lavorativa e mi fa piacere metterla a disposizione di chi lavora e dei giovani interessati alla gestione dei rischi operativi, della protezione dei dati, e della continuità del business.

Of: Ritiene che l'uso dei social network per dialogare con gli utenti e anche per usare l'home banking sia sicuro?
Wright: Sono perplesso. Il nostro laboratorio sul furto di identità ha segnalato come un problema di sicurezza la necessità di questi sistemi di conciliare le caratteristiche che ne hanno fatto il successo - “sempre connessi”, rapidità di risposta, facilità d’uso, eccetera - con la protezione dei dati personali. Dopo il furto delle credenziali di accesso di tutti gli utenti, ora senz’altro c’è stato un miglioramento nei sistemi di protezione. Il problema lo vediamo soprattutto dal punto di vista dell’utilizzatore, che tende a fornire troppe informazioni a terzi, di cui conosce solo una foto e quello che il terzo racconta o si inventa. E scarica le app, le foto e filmati che questi invia. Thoreau disse: “le cose non cambiano, siamo noi che cambiamo”. Viene quindi da dire: “il cittadino deve essere istruito, avvisato dei rischi, deve saper valutare i rischi”. Ammesso che venga avviato un progetto serio, ci vogliono anni. Come ho detto prima, va ripensato il modello.

Of: I clienti sono diventati maturi rispetto all'uso dell'home banking in sicurezza?
Wright: La situazione è complicata. Però aumenta il numero dei clienti che usa l’home banking. E poi, una volta presa la mano, non ne fa più a meno. Vediamo cosa esce dall’indagine che stiamo facendo, della quale ho parlato poco fa, i cui risultati saranno presentati il 17 dicembre a Roma. A questo proposito, vi chiediamo la cortesia di fare pubblicità al nostro questionario online: ci vogliono 5 minuti per compilarlo. L’indirizzo è: http://goo.gl/Sa8hH5

Of: L'uso del mobile è più sicuro rispetto al web?
Wright: Le domando invece io: quanti cittadini hanno un antivirus sullo smartphone? Quanti aggiornano tempestivamente il relativo sistema operativo? Quanti evitano di scaricare delle app di cui non sono assolutamente sicuri che non contengano istruzioni che consentano a terzi di catturare informazioni quali le credenziali di accesso a sistemi di home banking e carte di credito? La possibile consistenza di tali soggetti “probi” le dà una dimensione del problema. Credo che vada ripensato il modello di riferimento.

Of: Quali sono i minimi requisiti di sicurezza che un cliente deve verificare prima di scegliere una banca?
Wright: Il progetto in corso, le cui conclusioni saranno valutate da una giuria di cui siamo lieti che anche Of-Osservatorio finanziario faccia parte, deve proprio dare delle indicazioni ai cittadini, oltre alle banche. Il modello che dovrà uscire dai lavori, che vedono coinvolti anche gli studenti dell’ELIS College, conterrà informazioni riguardo agli aspetti tecnici di sicurezza, ai contenuti ed alle modalità di “presentazione” delle accortezze di sicurezza per il cliente, al reciproco riconoscimento banca-cliente, alla attualità rispetto agli attacchi ed ai nuovi clienti in particolare i giovani sempre connessi, ma non solo.

© Of-Osservatorio finanziario riproduzione riservata