Cara Fineco ti scrivo…


… e la risposta non mi piace.

Come vi avevo raccontato giorni fa, non sono affatto soddisfatto di come la miglior banca online del paese, quella di cui mi servo e di cui vorrei continuare a servirmi, gestisca la sicurezza del mio conto.

key.jpgHo scritto quindi suggerendo loro di utilizzare una tecnica simile a quella già in fase di adozione presso molte altre banche, quella della one time password.

Ovviamente chi mi ha risposto è un addetto del customer care e la risposta sarà probabilmente il copia e incolla di un testo standard su questo tema, vale però la pena di analizzarla perchè rappresenta davvero una divertente lettura.

Ecco il testo della mia domanda:

Mi chiedevo se Fineco sta pensando di migliorare la sicurezza adottando
un qualche tipo di sistema one time password come quello per esempio usato
da unicredit (http://www.unicreditbanca.it/it/privati/servizi/sicurezza/?idc=2257&ida=0) oppure da paypal (https://www.paypal.com/securitykey).
Avete in piano qualcosa ?????

Ed ecco la risposta di Fineco:

Gentile Mario Pacchiarotti,
in merito alla sua richiesta, riguardante la sicurezza del nostro sito
internet, le comunichiamo quanto segue:

- in primo luogo, tutti gli scambi di dati sensibili avvengono in
modalità protetta SSL 128 Bit; questo vale per il login (accesso)
dalla home page pubblica e così per tutte le pagine che
contengono dati personali.
La protezione SSL 128 Bit è la massima consentita per usi non
militari.

- Il lucchetto, che di norma appare nei browser quando le pagine
sono protette, in Fineco non appare perché le pagine sono
composte da "frame", cioè in ogni pagina ci sono almeno tre
pagine: la barra superiore, la barra degli indici e la finestra dei
contenuti.

Quest'ultima è in modalità SSL 128 Bit quando contiene dati
sensibili. E' possibile verificare ciò posizionando il mouse in una
zona libera della pagina e selezionando, col tasto destro del
mouse, la voce "Proprietà".

- Le ricordiamo che, affinché gli scambi di dati siano protetti, NON
è necessario che lo sia anche la pagina di partenza: l'home page
pubblica non è protetta, ma quando si inviano a Fineco i codici, la
procedura passa in modalità protetta.

- Fineco utilizza, oltre al Codice Utente e alla Password, il
PIN di sicurezza, che viene richiesto prima di qualsiasi operazione
dispositiva.

Nel sito, potrà ottenere ulteriori informazioni sulla sicurezza,
cliccando il lucchetto situato in alto sulla topbar.

Fineco archivia tutti gli accessi al sito in file di Log.

In questi file, per ogni richiesta, vengono memorizzati
una serie di dati che consentono di risalire alla data e
ora d'accesso, alla pagina visualizzata, all'utente e al
computer da cui è partita la richiesta.

Tutte queste informazioni (decine di milioni di record al giorno)
vengono archiviate e, in caso di anomalie, risaliamo a tutti
i dati dell'autore delle stesse.

La informiamo inoltre di collegarsi al sito sempre dalla Homepage
di FinecoBank in modo da non avera problemi.

Infine desideriamo informarla che Banca Fineco aderisce
al Fondo Interbancario a tutela dei depositi, secondo le
regole stabilite dallo Statuto e valide per tutti gli istituti
che aderiscono al Fondo stesso.

Le ricordiamo inoltre che il nostro Customer Care
e' a sua disposizione ai numeri:

- 800.52.52.52 (da telefono fisso e dall'Italia)
- 02.2899.2899 (da telefono cellulare e dall'estero)

Cordiali saluti.
FinecoBank
Customer Care

Analizziamo i punti della risposta:

  • Il server utilizza la crittografia SSL a 128 bit.
    Ottimo, niente da dire su questo, in effetti non è il canale trasmissivo che mi preoccupa al momento.
  • Il lucchetto bla bla bla.
    E’ evidente un po di disagio in questi argomenti. In effetti hanno ragione su tutto, la sicurezza della trasmissione riservata è distinta da quella delle pagine e degli oggetti non riservati. Devo comunque dire che ritengo intrinsecamente più sicuro un sito che utilizza una struttura senza FRAME, sicuramente più trasparente e facile da verificare per l’utilizzatore.
  • Fineco utilizza oltre al Codice Utente ed alla Password anche il PIN di sicurezza.
    Beh la cosa non mi rassicura più di tanto. Se c’è un trojan sul mio PC avrà vita facile nel registrare tutti e tre questi elementi, quindi nel caso in cui il mio PC sia compromesso avere un ulteriore codice statico aiuta poco. Una one time password invece vale una sola volta, non se ne fanno niente, il mio conto sarebbe comunque al sicuro.
  • Fineco utilizza file di log.
    Tutto quello che si ottiene in questo modo è il codice IP del tizio che entra nel mio conto e mi ruba i soldi. Mi vengono in mente due tre paesi nel mondo ai quali sarebbe difficile chiedere a chi corrisponde quell’IP. Insomma tenere i log è d’obbligo ma non risolve il mio problema.
  • Fineco aderisce al Fondo Interbancario di Tutela dei depositi.
    Questa è una ciliegina. Mi preoccupo di essere frodato e nella risposta mi dicono che aderiscono a questo fondo. Se me lo dicono vuol dire che la cosa dovrebbe rassicurarmi. Ma io sono curioso, vado a vedere cosa fa questo fondo (in realtà lo so già perfettamente) e scopro che interviene in due casi:
    a) nei casi di liquidazione coatta amministrativa delle banche consorziate autorizzate in Italia e, per le succursali di banche comunitarie consorziate operanti in Italia, nei casi in cui sia intervenuto il sistema di garanzia dello Stato di appartenenza;
    b) nei casi di amministrazione straordinaria delle banche consorziate autorizzate in Italia.

    In soldoni il fondo interviene (forse) se la vostra banca fallisce, ma non muove un capello per rimborsare una frode (ci mancherebbe altro).
    Argomento quindi non pertinente.

Morale? La mia banca non sta facendo “il possibile” per salvarmi da tentativi di frodi, in particolare sono completamente scoperto quando dovessi essere vittima di trojan o altri tipi di attacchi che riuscissero ad impadronirsi della tripletta magica di codici statici: User/password/pin esecutivo.

E da quanto si capisce da questa risposta non sembra a prima vista che abbia in piano di fare qualcosa a breve.

Ora la domanda successiva è la seguente: c’è là fuori un’altra banca che offra un livello di servizi comparabili a quelli di Fineco ed una sicurezza maggiore?

Nei prossimi giorni cercherò la risposta.

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: