Con l’entrata in vigore della nuova direttiva europea Psd2 (Payment services directive 2) i vecchi token “fisici” sono stati sostituiti da quelli virtuali (incorporati nelle app delle banche) per garantire e la SCA (Strong Customer Authentication), autenticazione forte che richiede che i tutti pagamenti online vengano d’ora in poi autorizzati con almeno 2 elementi di autenticazione direttamente legati alla persona del correntista come il suo smartphone; la sua impronta digitale o altro fattore biometrico e un’informazione nota solo a lui (ad es. una password).
Potrebbe quindi sembrare un passo avanti per la sicurezza dei correntisti.
Sono invece molte le motivazioni che fanno ritenere il contrario.
Non è necessario scomodare i principi della sicurezza informatica per sapere che i nostri smartphone sono sistemi aperti all’esterno (attraverso il wifi, il bluetooth,, i connettore usb, l’nfc, l’airport, la stessa sim ecc..) e ciascun canale di comunicazione è veicolo di potenziali attacchi. Il token non aveva alcun canale di comunicazione e l’unico modo per violarlo era quello di entrarne in possesso fisicamente.
Lo smartphone è con noi nell’arco di tutta la giornata e, con tutte le informazioni sulla nostra vita privata che conserva (da oggi anche la chiave per aprire i nostri conti correnti) è naturalmente esposto a pericolo di furto o semplicemente di smarrimento. Il token veniva usato solo per autorizzare una operazione sull’home banking e poi rimesso nel cassetto.
Fino a ieri per violare un conto corrente online c’era bisogno di due oggetti (smartphone e token) oggi basta solo il primo dei due.
Per non parlare del fatto che ogni token dava accesso ad un conto corrente di una certa banca. Oggi lo smartphone fa le veci del token per più conti correnti di banche diverse.
Ragioni per violare uno smartphone ce ne sono a decine (accedere alle informazioni personali o lavorative, spionaggio industriale, infedeltà coniugale). Una volta violato lo smartphone per uno scopo, si apre un ventaglio di possibilità criminali tra cui, da oggi, anche una incursione nei nostri conti correnti bancari.
La soluzione? Temere aggiornato il sistema operativo dello smartphone, usare un buon antivirus (meglio se a pagamento), sistemi di sicurezza per l’accesso (pin o impronta digitale) e osservare particolare cura quando lo si affida a soggetti terzi (ad es. per riparazioni).
Avv. Luca Iadecola
Esperto privacy, dpo