Il fattore sicurezza nell’internet banking fa un balzo in avanti grazie ad un oggetto che tutti abbiamo sempre con noi a casa, al lavoro, in giro: il telefono cellulare.
Prima in Italia e tra le prime in Europa, Cariparma ha sviluppato una nuova modalità di esecuzione delle operazioni dispositive online, sia per i privati che per le aziende. La soluzione battezzata ‘SecureCall’ porta con se un duplice vantaggio: sul lato lato clienti in sicurezza, velocità e facilità delle operazioni – sul lato banca in sicurezza, facilità di gestione e significativo risparmio economico (sono oltre 1.400.000 i clienti del gruppo bancario Cariparma FriulAdria).
“Il punto debole di un conto online in termini di sicurezza – sottolinea Simone Bonali, Responsabile Ufficio sicurezza informatica di Cariparma – è la postazione di lavoro dei clienti. Gli attacchi informatici più difficili da contrastare sono di tipo ‘man in the middle’ o ‘man in the browser’, dove l’attaccante è in grado di intercettare ed osservare lo scambio di messaggi tra le due parti – Cliente e Banca - leggendo, inserendo e soprattutto modificando le informazioni scambiate tra i medesimi, senza che le parti coinvolte abbiamo la percezione della manomissione avvenuta. La grande novità che proponiamo è quella di utilizzare un ‘media’ per inserire le informazioni della transazione ed un ‘media’ differente per esprimere la volontà di eseguire tale transazione.
Sul proprio computer il cliente imposterà i dati della transazione quindi via Internet li comunicherà alla Banca, con il proprio telefono cellulare darà l’ok a procedere. Vogliamo trasformare il telefono cellulare in una sorta di telecomando con il quale governare il proprio internet banking.
Prima di ‘Securecall’ i sistemi di autenticazione forte utilizzati nell’internet banking erano principalmente tre: una card con codici inseriti in una griglia (come una battaglia navale), una scratch card (una sorta di grattino con circa 30 codici a esaurimento “usa e getta”) una chiavetta che su richiesta genera un codice randomico di 6/8 cifre(One Time Password).
Tutte queste soluzioni obbligano il cliente ad avere un oggetto aggiuntivo con se fornito dalla Banca; ‘Securecall’ non ha questo limite (e relativi costi).
La procedura è semplicissima, rispetto alle altre soluzioni tecnologiche nella fase in cui bisognerebbe inserire sul proprio computer i codici dispositivi, con SecureCall bisognerà effettuare una telefonata gratuita al numero che comparirà a video. Ricevuta la telefonata la Banca eseguirà gli opportuni controlli quindi procederà nell’operazione.
Il cliente ha la possibilità di rendere ancor più sicura la transazione impostando una propria soglia di “sicurezza” (importo per singola transazione) inserendo nel corso della telefonata un PIN numerico a 5 cifre, che avrà precedentemente impostato.
“Un elevato livello di attenzione – aggiunge Bonali – è giustificato anche dai risultati degli studi sul fenomeno del phishing. Nel 2008 questo tipo di attacco informatico è aumentato a livello mondiale del 66% rispetto al 2007, con oltre 135mila attacchi. L’Italia risulta la terza nazione per attacchi, dopo USA e UK, con un 10% sul totale a livello mondiale”.
‘Securecall’ è integrato con un sistema di monitoraggio in tempo reale che analizza le ‘abitudini’ umane e tecnologiche del cliente creando un profilo digitale nel quale sono contenute le modalità di utilizzo dell’internet banking (da uno o più pc, verso determinati conti, con operazioni di importi simili, etc.) e in caso di attività che si discostano dal profilo, la banca procede ad accertamenti, contattando direttamente il cliente e verificando con esso quanto accaduto.
“In caso di controversia legale ‘SecureCall’ assegna a ciascuno i propri compiti e responsabilità – conclude il responsabile Ufficio sicurezza informatica di Cariparma, Simone Bonali – coinvolgendo quindi l’operatore fisso della Banca e l’operatore mobile del cliente. La banca torna a fare la banca, garantendo sempre la massima tranquillità al cliente stesso”.
Il prossimo passo di Cariparma nell’ambito dell’innovazione tecnologica è quello della ‘smaterializzazione’ della firma digitale del cliente agganciandola al sistema SecureCall.
