Attualità
Quel pasticciaccio brutto della introduzione della Strong Customer Authentication (SCA) prevista dalla Direttiva UE 2015/2366 – PSD2 – Payment Services Directive 2
Da oggi, 14 settembre 2019. i correntisti per accedere ai sistemi bancari online devono avere maggiore sicurezza nell’utilizzo dei servizi di pagamento e banking online, lo comanda l’Europa!
Questo è infatti l’obiettivo della nuova norma PSD2 , la direttiva europea sui Servizi di Pagamento che impone l’“autenticazione forte” qualificata, con l’onnipresente e pervasivo anglofonismo come: “Strong Customer Authentication” – SCA.
L’introduzione della Strong Customer Authentication precisa, per l’accesso ai servizi di banking online, l’uso necessario di un incrocio di almeno due parametri; parametri che sono raccolti in tre gruppi definiti come:
- gruppo di parametri di “Possesso” – qualcosa che solo l’utente possiede;
- gruppo di parametri di “Inerenza” – qualcosa che caratterizza l’utente come può esserlo l’impronta digitale;
- gruppo di parametri di “Conoscenza” qualcosa che solo l’utente conosce, come la password.
L’autenticazione forte “SCA” si realizza effettivamente quando almeno due di questi tre parametri tenuti tra loro distinti si incontrano correttamente nel momento della autenticazione.
Un caso vissuto può esemplificare come un gruppo bancario ha affrontato questo obiettivo del miglioramento della sicurezza dei pagamenti online.
Prima della riforma SCA, si poteva accedere al sistema online di questa banca da PC tramite login, password ed una OTP (One Time Password) generata al volo (ogni 100 secondi) da una chiavetta. Tramite l’incrocio di login, password e OTP si poteva operare sul conto in maniera consultativa (accedendo alle liste di operazioni e documentazioni bancaria) e dispositiva (facendo operazioni).
Vi era poi una app per cellulare che poteva essere settata solo in consultazione con sola login e password, o anche in maniera dispositiva aggiungendo per l’operazione l’OTP sempre generata al volo da una chiavetta.
Ebbene questo sistema bancario apparirebbe già “compliant” alla “SCA” dato che al parametro di “conoscenza” (login e password) si affiancava, separatamente conservato, il parametro di “possesso” che era la chiavetta generatrice di OTP.
Eppure ed incredibilmente, il gruppo bancario decide un cambiamento di procedura totale ai propri clienti, imponendo loro di passare necessariamente ad una nuova app su cellulare, non più limitabile alla sola consultazione ma sempre abilitata con totale operatività e dunque anche operatività dispositiva. L’operatività tramite PC è ora validata online dalla nuova app dispositiva, questa app funzionando come una sorta di chiavetta dispositiva, ma validando l’operazione con la semplice e sola digitazione di un nuovo codice PIN di sei cifre, sempre lo stesso, deciso all’inizio della installazione della app.
Dunque una volta installata la nuova app sul cellulare, questa è totalmente operativa (in consultazione e in operazioni di pagamento e trasferimento fondi) con la semplice e sola digitazione del PIN di sei cifre.
Questa modalità appare un passo indietro, in termini di sicurezza, rispetto al sistema precedente che necessitava, separatamente, del parametro di “possesso” (della chiavetta OTP) e del parametro di “conoscenza” (la login e password).
Sulla nuova app possesso e conoscenza possono coincidere in maniera rischiosa essendo il cellulare intrinsecamente più esposto all’hackeraggio e manipolazione dei dati tramite i nuovi e potenti malware, virus e trojan che aggrediscono proprio i cellulari, rispetto il rischio di impossessamento della chiavetta generatrice di OTP da parte di terzi malintenzionati.
Il cellulare, occorre osservare, viene portato sulla persona, lasciato anche momentaneamente in luoghi insicuri e dunque statisticamente più a rischio di violazione rispetto una chiavetta generatrice di OTP. I malware hanno la caratteristica di nascondersi e rendersi apparentemente invisibili concedendo al male intenzionato più tempo per la raccolta di dati rispetto il furto della chiavetta OTP. In particolare, sono ormai piuttosto diffusi i malware qualificati “keyloggers”, programmi malevoli che permettono di raccogliere il testo digitato e “spedirlo” a terzi, ed estrarre moltissime altre informazioni. Solo per sollecitare consapevolezza sui pericoli possibili per la violazione dei dati del cellulare, basti andare su google e vedere le sole caratteristiche di tre tra i moltissimi keyloggers facilmente e liberamente disponibili e osservare quanto siano potenti e dunque pericolosi: FlexiSpy, mSpy, Hoverwatch. Inoltre, più sofisticati sistemi keyloggers sono rinvenibili (acquistabili) sul darkweb.
Ne consegue che, nel nostro caso, la nuova app facilmente accessibile con il solo PIN a sei cifre non appare affatto rispettare lo spirito della norma europea che ha coniato l’introduzione della Strong Customer Authentication (SCA). Tra l’altro, il trasferimento da un cellulare ad un’altro il comando del conto via nuova app è piuttosto semplice perché richiede solo login e password che si accompagna ad una OTP generata dal sistema che arriva per SMS al numero di cellulare stesso. Questo diverso cellulare, con il trasferimento, diventa il nuovo dispositivo operativo. Questa procedura facile del trasferimento di cellulare è da ritenersi pericolosissima perché basterebbe poco ad un malintenzionato premunirsi dei darti di login e password tramite malware che pazientemente raccoglie in maniera nascosta le informazioni sul cellulare e quindi, impossessandosi per un minuto del cellulare della vittima, trasferire il comando totale ed operativo dei conti correnti su un cellulare in proprio dominio.
In questo caso bancario vissuto, ci si rende conto che, se non si volesse utilizzare la app su cellulare, allora la banca impone una nuova chiavetta generatrice di OTP, addossandone la spesa al correntista, e limitando l’operatività al “solo PC”. In questa modalità “solo PC”, la app non può funzionare per impostazione (e vincolo) del nuovo sistema della banca. Curiosa riduzione di flessibilità, no?
Questa storia, probabilmente comune ad altre, dovrebbe far riflettere che l’accesso ad un sistema bancario online può peggiorare in flessibilità, e sarebbe il meno, ma anche rendere più esposta la clientela alle frodi informatiche, paradossalmente in virtù di una rivoluzione informatica per l’accesso ai sistemi pensata e spinta in sede europea per rendere il sistema complessivo più omogeneo e sicuro, da questa normativa definita “strong” e che nel caso vissuto appare meno strong di prima.
Sarebbe socialmente utile che Banca d’Italia intervenga con la massima urgenza per stigmatizzare la effettiva efficacia e corretta implementazione della SCA per le nuove modalità di accesso ai sistemi bancari online imposte dalle banche in virtù della imposizione europea, stigmatizzando anche i costi addossati ingiustamente dalle banche alla clientela (vi sono banche che fanno pagare le nuove chiavette anche 30 euro, quando il loro costo industriale è di pochi euro).
Inoltre attivarsi per fare diffusa sensibilizzazione verso i cittadini che il cellulare (rispetto il PC) è maggiormente esposto ai rischi di frode ed un suo uso non continuamente attento può introdurre gravissimi rischi all’utente. D’altro canto non è neppure sufficiente l’attenzione continua da parte dell’utente, dato che si sono verificati in passato situazioni in cui app validate come sicure sui noti sistemi di distribuzione delle app, sono poi successivamente risultate vulnerabili ed attaccabili dagli hackers.
Grazie al nostro canale Telegram potete rimanere aggiornati sulla pubblicazione di nuovi articoli di Scenari Economici.