Ancora sulla sicurezza di Fineco


Ho già avuto occasione in passato di esprimere la mia opinione sulla sicurezza del conto Fineco. Sono loro cliente da sempre e sotto tutti i punti di vista la considero la migliore banca online italiana, tranne che per l’aspetto, importantissimo, della sicurezza.

Vi basti pensare che si tratta credo di una delle ultime banche online a non utilizzare un sistema di sicurezza forte per l’accesso online, continuando a basarsi sulla semplice accoppiata user-password e pin dispositivo.

Torno sul tema, sia per ribadire che questo aspetto rimane estremamente critico, sia perché da qualche settimana Fineco ha inserito un ulteriore aspetto di sicurezza che dovrebbe migliorare la situazione: il così detto SMS PIN per bonifici.

Quando l’ho visto in un primo momento, pur capendo che si tratta di un palliativo che non risolve il problema più grande dell’accesso, sono stato felice di vedere che in questo modo avrei potuto proteggere almeno i bonifici in uscita, che probabilmente sono il modo più facile per chi dovesse impadronirsi del mio account per spostare soldi.

Il meccanismo è semplice, si registra un proprio cellulare e quando si fa un bonifico si riceve una one time password sul proprio cellulare, senza la quale il bonifico non viene effettuato. In questo modo si lega la possibilità di fare bonifici al possesso fisico del cellulare in questione, una misura di sicurezza abbastanza forte per garantire una difesa da eventuali accessi non autorizzati sul conto. Quanto meno non riusciranno a fare bonifici in uscita. Ci sono una marea di altri danni che possono fare, ma non voglio parlarne ora.

Sono entrato nella mascherina per l’attivazione del servizio ed ho avuto la sgradita sorpresa:

Quanto è sicuro questo form?

Quanto è sicuro questo form?

Notate niente di strano?

Beh ve lo dico io cosa c’è che non va. Il problema sono quelle simpatiche domande, peraltro fisse e selezionabili solo all’interno di una scelta molto limitata.

A che servono? A bypassare completamente il vostro sistema di sicureza SMS PIN.

Perchè sono un problema? Per vari motivi, il principale dei quali è che suggeriscono di utilizzare risposte piuttosto banali per proteggere una risorsa assolutamente importante come il vostro denaro.

Certo potrei inventarmi risposte assolutamente astruse e mai intuibili, che so, il mio soprannome? “3723jifolwjf8-asd83hn” e via dicendo, ed è quello che IO esperto di sicurezza alla fine farò per attivare il servizio, ma una persona normale sarà portata a rispondere: “Topolino”, “Cucciolotto”, “1980” e cose così…

Un orpello di sicurezza superabile rappresenta sempre un doppio rischio, prima perchè superabile, e poi perchè aggiunge una falsa impressione di sicurezza.

Ma nessuno conosce il responsabile della sicurezza di Fineco? Me lo potete presentare, ci vorrei tanto parlare, perchè escludendo che sia un idiota ci deve essere qualche buona ragione per non proteggere i conti Fineco con un sistema REALMENTE sicuro, e non riesco neppure sforzandomi ad immaginare quale possa essere…. Per favore fatemelo conoscere….

Advertisements

3 commenti (+aggiungi il tuo?)

  1. mario
    Lug 29, 2009 @ 15:07:25

    Un ulteriore commento. Le cose sono ancora peggio di quello che credevo quando ho scritto l’articolo. Se un malintenzionato avesse a disposizione user, pin e password dispositiva, il presunto blocco operato tramite il PIN SMS potrebbe essere pura illusione. E’ infatti possibile cambiare online, utilizzando user, pin, password dispositiva, il numero del cellulare colletato al servizio SMS PIN, dunque chi volesse rubarci denaro una volta dentro il conto non avrebbe altro da fare se non cambiare il cellulare di riferimento con il proprio e quindi effettuare il bonifico verso il suo conto, confermandolo con il pin ricevuto sul suo cellulare….
    Questo capisco io utilizzando il servizio e non mi piace per niente……

    Rispondi

  2. Paolo
    Dic 20, 2010 @ 18:38:03

    Anche io vorrei aprire Fineco, ma l’aspetto sicurezza mi frena. È pur vero che l’sms pin vale alla stregua del token (solo per le operazioni dispositive), ma non mi fa la stessa “impressione”.

    Il sito dell’OF porta però Fineco a soli 4 punti di distanza da un’altra banca online pure che utilizza il token per entrare e disporre denaro. BAH!

    cordiali saluti

    Rispondi

    • mario
      Dic 20, 2010 @ 17:37:43

      Dovrei fare una prova. Il numero di telefono e le altre opzioni di sicurezza si cambiano dal sito con codice e password. Bisogna vedere se c’è qualche accortezza altrimenti è ovvio che è una falsa sicurezza….

      Rispondi

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: