L’iniziativa denominata “I Navigati – Informati e Sicuri”, annunciata dalla nostra Banca centrale e partita lunedì, promossa con l’Associazione bancaria ed una serie di banche, ci ricorda che il sistema bancario costituisce una delle principali infrastrutture critiche del nostro Paese e che, non che lo fosse del tutto prima, esso potrebbe trovarsi non compiutamente in linea con la sicurezza informatica in questo periodo in cui il ricorso ai servizi on line si è fatto più massivo e intenso da parte della clientela.
Gli attacchi informatici alle banche sono sostanzialmente di due tipi:
– Il più classico “furto di dati”, il phishing su conti dei clienti, nonchè la clonazione di strumenti di pagamento, soprattutto di carte di credito;
– quelli alle piattaforme informatiche delle aziende stesse, con richieste di corposi riscatti.
La navigazione in sicurezza sui siti delle banche non è completa, purtroppo, da quando gli hackers hanno scoperto che è possibile carpire i dati sensibili della clientela, fino a giungere a catturare numeri di conto, codici Pin, dati anagrafici, rivenduti poi sul dark web per poche decine di euro/dollari.
Migliaia di identità e profili, forniti spesso ingenuamente dagli stessi clienti, che vengono “adescati” con messaggi-civetta, del tipo “è pregato di mettersi in contatto con…”, ovvero di “confermare i suoi dati…”, quando non di “accedere al link allegato e modificare la password del conto”.
Da tempo il centro di ricerca Crst, raccomanda ai clienti degli istituti di credito, ma anche degli altri intermediari finanziari (per i quali progettiamo e gestiamo sistemi di sicurezza), di non rispondere a nessun annuncio o messaggio proveniente dalla propria o altrui banche, anche se formali e con tanto di logo dell’istituto. Si verificano anche sempre più casi di messaggi wapp oppure di sms, che ovviamente una banca non scriverebbe mai.
Solo se ciò fosse previsto dal contratto di conto corrente che si sottoscrive, allora il cliente potrebbe aspettarsi della messaggistica, con apposito servizio dedicato, ma con misure di sicurezza che la sua banca gli spiegherebbe e che userebbe, in verità, con molta parsimonia.
Giorni fa ho ricevuto un sms da Poste; ovviamente non l’ho aperto, ma non perché sia intelligente ed esperto, ma semplicemente perché non sono cliente di Poste italiane!! La curiosità dell’eventuale offerta potrebbe però spingere a farlo.
Altro consiglio che la Banca d’Italia fornisce, e che sarà tra le attenzioni inserite in questa nuova campagna di sensibilizzazione, è quello di non diffondere molti dati su internet.Ad esempio, quando si acquistano on line beni o servizi, si utilizzino solo carte prepagate, caricandoci importi che bastano ciascuna volta a coprire l’ammontare dell’acquisto. In molti, invece, usano immettere informazioni personali, ma su siti sconosciuti, e numeri di carte di credito ordinarie, con limiti magari alti, e le clonazioni fioccano.
Il rimedio: l’immediato blocco della carta, ovvero del conto on line, che potrebbe però non essere immediato, per varie ragioni, e quindi si sopporteranno le relative perdite, che le banche (giustamente) non coprono se non si è tempestivamente segnalato il problema. Qualora invece non vi fosse collaborazione da parte dell’istituto (ad es. call center di blocco non funzionante), si potrebbe – dopo aver registrato il tentativo fallito, esercitare azione di rivalsa in sede civile.
Non è cosa buona lasciare il proprio pin o codici di sicurezza scritti nei portafogli o nelle borsette, ma anche nei telefonini; impararli a memoria, va da sé, costituisce il consiglio migliore che si possa dare.
La Banca d’Italia ricorda altresì di non fornire dati al telefono, se non ai call center ufficiali (in genere numeri verdi) delle banche con le quali si hanno rapporti. Fantomatici impiegati o consulenti telefonano per segnalare problemi e chiedere i codici di accesso, cosa che non farebbero mai le procedure ordinarie oggi in vigore nel nostro paese.
Mi prendo la libertà di ricordare che non esistono siti sicuri per definizione; nel passato sono stati oggetto di clonazione e hackeraggio anche quelli di famose banche, di Trenitalia, Regione Lazio, centri vaccinali, ospedali, Siae, Amazon, e altri big players del settore dei servizi. Ciò non significa che non siano ben protetti, ma che la protezione 100 per cento non esiste. I casi che quasi ogni giorno stiamo commentando ne costituiscono la riprova evidente.
Una iniziativa meritoria, pertanto, quella della Banca d’Italia, che si aggiunge a quelle che già lo Stato ha in campo – e di cui ci stiamo occupando – per garantire la sicurezza cyber del nostro mercato finanziario. Ma il tutto passa sempre, è bene ricordarlo, per la collaborazione dei cittadini.
*Ranieri Razzante, Consigliere per la Cybersecurity del Ministero della Difesa
