Banche online, cambiano le regole per la sicurezza
Mancano pochi giorni ad un cambiamento che coinvolgerà milioni di correntisti utenti delle banche online. Dal 14 settembre infatti saranno operativi i nuovi meccanismi che garantiranno maggiore sicurezza. Si tratta della data ultima relativa all’applicazione della direttiva europea sui servizi di pagamento, nota anche come PSD2 (Payment Services Directive Revisited), che è in vigore dal 13 gennaio 2018. È quindi possibile che alcuni istituti abbiano già reso operativi i nuovi criteri da tempo.
La PSD2 prevede l’utilizzo di standard di sicurezza per l’accesso alla banca online e per la disposizione di pagamenti onlineche ricadono nella definizione di Autenticazione Forte (Strong Customer Authentication).
L’Autenticazione Forte è un sistema di sicurezza che permette di identificare e autenticare in maniera univoca il cliente e l’operazione, riducendo i rischi legati all’accesso ai propri conti online e all’esecuzione di operazioni fraudolente da parte di soggetti terzi non autorizzati.
L’autenticazione viene rafforzata tramite l’uso di almeno due criteri determinati da:
qualcosa in possesso dell’utente: normalmente un codice (generalmente generato dal token o dal cellulare)
qualcosa conosciuto dall’utente: un elemento che solo il cliente conosce, ad esempio il pin o informazioni segrete
un elemento biologico dell’utente: di solito le impronte digitali o i lineamenti del viso
Ogni istituto ha deciso il proprio modo di applicare l’Autenticazione Forte, ma in linea di massima tutti hanno deciso di rinunciare ad un sistema che in precedenza era molto usato, costituito dalle chiavette tramite le quali generare il token, preferendogli l’uso dello smartphone, generalmente tramite una app con la quale è possibile effettuare anche tutte le operazioni bancarie.
Perchè sono state rottamate le chiavette ? Ci sono probabilmente diversi motivi; quello più legato agli aspetti della sicurezza è che il telefono è sempre con l’utente e sempre sotto controllo. Se per caso venisse perso probabilmente ce ne si accorgerebbe nel giro di pochi minuti, e lo si potrebbe bloccare rapidamente e anche a distanza.
Naturalmente in molti casi non è necessario l’uso dello smartphone e sono sempre disponibili sistemi alternativi (ad esempio per chi non lo possiede): invio di SMS, telefonate per validare codici temporanei, ecc.
Che ci piaccia o no i cambiamenti in questo settore saranno continui e probabilmente sempre più frequenti, dato che uno degli aspetti deboli della sicurezza è proprio quello che vengono sempre trovati sistemi per superarla. Ecco allora che si rende necessario inventare continuamente nuovi sistemi.
Ultima nota: pare che i sistemi biometrici attualmente usati si siano già dimostrati assolutamente poco affidabili, non mi stupirei di assistere proprio in quel settore a dei cambiamenti molto vicini nel tempo.