Negli ultimi venti anni la digitalizzazione ha cambiato radicalmente la maniera con cui tutti noi ci relazioniamo alla nostra banca e al nostro denaro. Se da una parte i vantaggi si rivelano indiscutibili e concreti, l’altra faccia della medaglia è rappresentata dai criminali informatici.
Ne parliamo con Emanuele Palmas, responsabile della sicurezza di BancaStato, che sottolinea l’importanza di semplici ma cruciali comportamenti da parte della clientela.
Direttor Palmas, innanzitutto: come è cambiato il concetto di sicurezza informatica negli ultimi quindici anni?
“È evoluto di pari passo con la tecnologia informativa. Venti anni fa gli strumenti digitali erano più semplici e le attività criminali ad esse legate implicavano ancora una componente fisica preponderante e il frodatore doveva “sporcarsi” le mani. Per finalizzare una frode si rendeva ad esempio necessario reperire informazioni o dati presenti su supporti cartacei. Per clonare una carta occorreva innanzitutto averla fisicamente in mano. Oggi il lavoro degli hacker è più “pulito” e richiede conoscenze specialistiche. Con il tempo è diventato tutto più digitale e anche l’interazione umana o fisica si è rarefatta. I dati vengono sempre di più sottratti a distanza, spesso tramite software appositamente creati a tale scopo. Rispetto al passato, inoltre, le persone dispongono di molte più app o strumenti di pagamento, e ciò implica dunque più potenziali veicoli di attacco per i criminali. Tutto questo impone a tutti gli attori coinvolti di dedicare le necessarie risorse per tutelare gli interessi dei clienti. Va comunque detto che i rischi informatici non hanno soppiantato alcune tipologie di truffe che prevedono tuttora una forte componente fisica: pensiamo ad esempio alla truffa del “falso nipote”.
Quali sono i maggiori rischi attuali per un cliente di una banca?
“Ve ne sono diversi e colgo l’occasione per segnalare ai lettori due piattaforme molto ben fatte dal punto di vista divulgativo: la prima è quella di “E-banking ma sicuro!”, piattaforma indipendente sviluppata dalla Scuola Universitaria Professionale di Lucerna che aiuta gli utenti Internet a rafforzare la propria sicurezza in ambito informatico. È consultabile all’indirizzo https://www.ebas.ch/. La seconda è quella dell’Ufficio federale della cibersicurezza (UFCS), visitabile all’indirizzo https://www.ncsc.admin.ch/. Entrambe le pagine offrono una panoramica aggiornata delle attuali minacce informatiche. Per citarne alcune, direi che è certamente opportuno menzionare il “phishing”, termine inglese con cui si intende il furto di credenziali per l’accesso a siti internet come l’e-banking delle banche. A tale scopo i malintenzionati spediscono comunicazioni e-mail, Whatsapp o SMS fasulle o creano siti falsi che imitano quelli originali. Questi siti ingannevoli spesso appaiono sui motori di ricerca (Google, Bing, Yahoo) anche sotto forma di pubblicità. Lo scopo è trarre in inganno gli utenti e far loro digitare le credenziali di accesso, intercettandole per riutilizzarle in maniera fraudolenta. Negli anni recenti il “Phishing” sta conoscendo una recrudescenza di casi: basti pensare che nel 2023 l’UFCS ha ricevuto mezzo milione di segnalazioni. Vi è da dire che i malintenzionati adottano strategie in costante evoluzione. Ad esempio possono anche spacciarsi per finti esperti di sicurezza o per finti operatori telefonici della propria banca. Purtroppo, anche i casi di truffe legate alle “chiamate shock”, in cui si palesa una situazione di pericolo o di emergenza, o del “falso nipote” non sembrano voler passare di moda. Ad ogni modo, le tipologie delle odierne minacce si basano su un punto cardine: gli autori delle frodi “phishing” – non potendo per l’appunto violare direttamente i sistemi di sicurezza delle banche – sfruttano in maniera sofisticata e subdola i punti deboli e le possibili disattenzioni dell’utente”.
Prima di chiederle le regole di sicurezza che i clienti devono seguire, partiamo dalla Banca: cosa fa per assicurare un livello adeguato di sicurezza ai suoi clienti?
“La Banca e i suoi principali fornitori di servizi informatici investono molte, moltissime risorse innanzitutto dal punto di vista tecnico e organizzativo. Inoltre la Banca investe in capitale umano al fine di garantire le necessarie figure professionali per proteggere, monitorare e continuamente mantenere aggiornati ed evoluti i propri applicativi informatici. Le esigenze legali e regolamentari da rispettare sono estremamente severe al riguardo e ciò è perfettamente comprensibile. Semplificando, possiamo dire che la Banca si prodiga per offrire tecnologie informatiche le più sicure possibili e ciò avviene sia per le piattaforme che lavorano “dietro le quinte” sia per quelle direttamente offerte alla clientela, come ad esempio l’e-banking. Il sistema di controlli allestiti al riguardo ci consente di offrire relazioni bancarie con una gestione opportuna del rischio. Tuttavia, non vi è solo il lato tecnico. Lavoriamo anche intensamente sulla formazione di collaboratici e collaboratori: ciò avviene dalla formazione ai consulenti nell’ambito delle truffe come ad esempio quella del falso nipote a quella trasversale riguardante i rischi informatici. L’intensità della formazione in tal senso è proporzionale al ruolo rivestito, ma tutti devono essere consapevoli dei rischi attuali, e sapere come agire nel caso emergesse un sospetto”.
E cosa viene invece chiesto al cliente?
“Come già detto in precedenza, i malintenzionati concentrano i loro sforzi sul fattore umano e, in particolare, sugli utenti finali, per sfruttare le loro disattenzioni. Per questo motivo è importante rispettare semplici ma cruciali regole di sicurezza: grazie ad esse è possibile porsi al riparo dalle frodi di tipo “phishing”. Ripercorriamo insieme le regole base per un uso sicuro dell’e-banking:
- Custodite gelosamente le vostre credenziali di accesso all’e-banking (numero di utenza e password);
- inserite sempre manualmente “www.bancastato.ch” o “www.inlinea.ch” nella barra degli indirizzi del browser;
- non accedete mai al sito di BancaStato o al sito dell’e-banking tramite un link ricevuto per e-mail;
- non accedete mai al sito di BancaStato o al sito dell’e-banking tramite un link ricevuto tramite altri canali digitali;
- non accedete mai al sito di BancaStato o al sito dell’e-banking tramite motore di ricerca;
- verificate che la connessione sia sicura (presenza dell’icona a forma di lucchetto con il nome dell’isti-tuto finanziario e del dominio corretti);
- al termine della sessione, effettuate il “logout” e chiudete il browser;
- chiudete immediatamente la connessione in caso di interruzione del sistema o messaggi di errore insoliti;
- qualora utilizziate le app InLinea e accessoSICURO, provvedete a scaricarle dagli store ufficiali;
- controllate attentamente i messaggi di conferma richiesti dalle app. Verificate che di esser stati veramente voi ad aver eseguito la richiesta di accesso o di pagamento;
- segnalate in ogni caso e senza indugio a supportoATTIVO eventuali dubbi o sospetti al numero 091/803.77.99
Vorrei inoltre ricordare che BancaStato non invierà mai alla sua clientela una comunicazione (e-mail, SMS o altro) nella quale richiede i dati di accesso, di digitarli o di rinnovarli, o contenente qualsiasi genere di richiesta che contempli l’esecuzione di transazioni; analogamente non chiederà mai per telefono la password (parola d’ordine) e non proporrà mai di installare un software a distanza. Di fronte a tale evenienza, chiedete il nome dell’operatrice o dell’operatore, terminate la conversazione e siate voi a richiamare supportoATTIVO di BancaStato al numero 091/803.77.99: così facendo saprete di parlare veramente con la Banca”.
Ed esulando dall’e-banking?
“In generale occorre essere consapevoli che una “sana diffidenza” è utile. Ci si deve sempre chiedere se si stanno rispettando i comportamenti di sicurezza e se i canali utilizzati per relazionarci con la Banca sono quelli ufficiali. È poi sempre opportuno verificare regolarmente le proprie transazioni bancarie e conoscere a fondo gli strumenti di pagamenti che si utilizzano. Molti di essi consentono infatti all’utente di impostare parametrizzazioni più o meno stringenti dal punto di vista della sicurezza. Come sempre il proprio consulente di riferimento è a disposizione in caso di domande o richieste di informazioni aggiuntive”.