attualita' posted by

Quel pasticciaccio brutto della introduzione della Strong Customer Authentication (SCA) prevista dalla Direttiva UE 2015/2366 – PSD2 – Payment Services Directive 2 (seconda puntata)

 

Non pare che ci sia stata la dovuta attenzione dei media alla rivoluzione in atto per l’applicazione della direttiva europea PSD2 in particolare nel punto dei cambiamenti delle procedure di accesso che devono diventare “Strong Customer Authentication”, ovvero autenticazione forte, robusta.
Eppure chi si è trovato ad andare nelle filiali delle banche nei giorni e settimane scorse apparivano palpabili le perplessità, i malumori e le esposizioni dei correntisti per le problematiche in particolare quelle su riguardanti la sicurezza; problematiche che generalmente il personale bancario, forse non eccelsamene preparato per affrontare anche i meriti procedurali e tecnici del cambiamento, affronta sovente rimandando le questioni ai piani superiori o tecnici e comunque ripetendo laconicamente che è un cambiamento o matrimonio con la PSD2 che “sa da fare” perché così vuole l’Europa, ridotti ad una sorta di bravi quando si rivolgevano a don Abbondio per un matrimonio che “non sa da fare” perché così vuole don Rodrigo.

Curioso che le banche europee, invece, nella stragrande maggioranza si ritengano già “compliant” alla nuova “Strong Customer Authentication” – SCA.

Invece, molte banche e gruppi bancari italiani vogliono il cambiamento radicale che tende, apparentemente, a spostare il traffico delle operazioni bancarie verso il cellulare come dispositivo principe. La semplice discriminazione che la app sia gratuita ed invece la sostituzione della chiavetta generatrice di OPT sia costosa anche per 30 euro connessa alla complicazione (inutile agli fini della SCA?) del micro-tastierino che hanno queste nuove chiavette, fa si che molti correntisti vengano indotti verso l’operatività solo da cellulare.

Eppure il cellulare, per come molte app bancarie si scopre funzionino alla fine del processo di installazione, rende operativo l’accesso e le disposizioni di ordini di pagamento per semplice e solo inserimento della password PIN, spesso a sei cifre, Questa modalità per solo inserimento del PIN appare assai a rischio di hackeraggio, perché un maleintenzionato violando il cellulare con un malware compromette proprio quella differenza ed indipendenza di almeno due parametri tra quelli del “possesso”, “conoscenza” e “inerenza”, che realizzano il principio di sicurezza forte previsto dalla SCA, come meglio era sintetizzato nel precedente articolo. Vedi https://scenarieconomici.it/quel-pasticciaccio-brutto-della-introduzione-della-strong-customer-authentication-sca-prevista-dalla-direttiva-ue-2015-2366-psd2-payment-services-directive-2/

Dunque, queste app. totalmente operative per solo inserimento del PIN non appaiono coerenti con la stessa direttiva europea che ha introdotto la SCA. Il paradosso è che sono andate a sostituire precedenti sistemi che invece apparivano rispettare pienamente il requisito di forte autenticazione, “strong Authentication” utilizzando login e password (parametro di conoscenza) e OTP generata dalla chiavetta (parametro di possesso) tenuti separati e non compromettibili l’uno con l’altro.

Come venirne fuori? Rinunciare ad operare online?
Certamente molto disagevole una volta che ci siamo abituati ad operare online.

Ma un escamotage c’è, per parecchi sistemi bancari. Quello di utilizzare un cellulare pulito e senza sim, un “cellulare muletto”, alla stregua di una semplice chiavetta generatrice di OTP, e tenere questo cellulare in sicurezza e non collegato, collegandolo semplicemente alla wifi di casa o al router wifi abilitato dal proprio cellulare operativo, quello con la SIM telefonica, solo nel momento delle operazioni di accesso al conto.

Non deve essere un cellulare nuovo o sofisticato, il vecchio smarthphone di qualche anno fa che ammuffiva nella scrivania e che stavate per buttare tra i rifiuti speciali, va benissimo, basta che funzioni il wifi.

In sostanza il problema della sicurezza è intrinseca all’utilizzo del cellulare come telefono e come sistema per navigare in internet e ricevere e trasmettere sms e posta elettronica. Portandolo sempre con se, lasciandolo in tasca, negli armadietti, nel cassetto della scrivania, quotidianamente utilizzandolo per ricevere e trasmettere. Il cellulare che si utilizza correntemente è esposto ai rischi dovuti alle connessioni non sicure ed alle ricezioni di messaggi infetti, al caricamento di app che poi si rivelino infette o infettabili ed anche a bachi di sistema che rendono vulnerabile il cellulare alla semplice ricezione di un sms, come recentemente accertato da un team di ricercatori e segnalato dall’articolo “TUTTI GLI SMARTPHONE POSSONO ESSERE INTERCETTATI, e non dipende dal modello….” pubblicato su https://scenarieconomici.it.
Vedi: https://scenarieconomici.it/tutti-gli-smartphone-possono-essere-intercettati-e-non-dipende-dal-modello/

Le app bancarie verificano l’IMEI del cellulare, ovvero quel codice univoco che individua ciascun cellulare ed è quel codice che la polizia vi chiede quando ve lo rubano. Non possono verificare la SIM perché sottometterebbe l’operatività della app alla scelta del gestore telefonico, o ancor più al cambiamento di questa scelta.

Dunque, basta pulire (disinstallare) il cellulare “muletto” di tutte le applicazioni, accedere con un account ai sistemi di distribuzione delle app (google e apple store ad esempio) e installare la app sul “muletto”. All’avvio della installazione la app si accorge che una app operativa è già stata installata su un altro cellulare e vi chiederà se volete il trasferimento della operatività al cellulare “muletto”. Una volta resa operativa la app sul muletto con il nuovo PIN dispositivo che avete deciso, cancellate l’account di accesso al sistema di distribuzione delle app, ed il gioco è fatto.
Avete quindi alla fine una app operativa sul “muletto” che è gestibile in sicurezza, da accendere e utilizzare sono nel caso di voler fare una operazione bancaria e, soprattutto, non asservito alla SIM telefonica.
Semplice no?
Per ora appare interessante questo semplice escamotage, in attesa di quando penseranno ad altri stratagemmi per veicolare milioni di correntisti attraverso una nuova cruna di ago.


Telegram
Grazie al nostro canale Telegram potete rimanere aggiornati sulla pubblicazione di nuovi articoli di Scenari Economici.

⇒ Iscrivetevi subito


comments powered by Disqus
RSS Feed

Archivi