di Ranieri Razzante
Gli attacchi informatici alle banche sono sostanzialmente di due tipi: il più classico “furto di dati”, il phishing su conti dei clienti, nonché la clonazione di strumenti di pagamento, soprattutto di carte di credito; quelli alle piattaforme informatiche delle aziende stesse, con richieste di corposi riscatti. La navigazione in sicurezza sui siti delle banche non è completa, purtroppo, da quando gli hackers hanno scoperto che è possibile carpire i dati sensibili della clientela, fino a giungere a catturare numeri di conto, codici Pin, dati anagrafici, rivenduti poi sul dark web per poche decine di euro/dollari. Migliaia di identità e profili, forniti spesso ingenuamente dagli stessi clienti, che vengono “adescati” con messaggi-civetta, del tipo “è pregato di mettersi in contatto con…”, ovvero di “confermare i suoi dati…”, quando non di “accedere al link allegato e modificare la password del conto”. Da tempo il centro di ricerca Crst, raccomanda ai clienti degli istituti di credito, ma anche degli altri intermediari finanziari (per i quali progettiamo e gestiamo sistemi di sicurezza), di non rispondere a nessun annuncio o messaggio proveniente dalla propria o altrui banche, anche se formali e con tanto di logo dell’istituto. Si verificano anche sempre più casi di messaggi wapp oppure di sms, che ovviamente una banca non scriverebbe mai. Solo se ciò fosse previsto dal contratto di conto corrente che si sottoscrive, allora il cliente potrebbe aspettarsi della messaggistica, con apposito servizio dedicato, ma con misure di sicurezza che la sua banca gli spiegherebbe e che userebbe, in verità, con molta parsimonia.
Il rimedio: l’immediato blocco della carta, ovvero del conto on line, che potrebbe però non essere immediato, per varie ragioni, e quindi si sopporteranno le relative perdite, che le banche non coprono se non si è tempestivamente segnalato il problema. Qualora invece non vi fosse collaborazione da parte dell’istituto (ad es. call center di blocco non funzionante), si potrebbe – dopo aver registrato il tentativo fallito, esercitare azione di rivalsa in sede civile. Non è cosa buona lasciare il proprio pin o codici di sicurezza scritti nei portafogli o nelle borsette, ma anche nei telefonini; impararli a memoria, va da sé, costituisce il consiglio migliore che si possa dare. La Banca d’Italia ricorda altresì di non fornire dati al telefono, se non ai call center ufficiali (in genere numeri verdi) delle banche con le quali si hanno rapporti. Fantomatici impiegati o consulenti telefonano per segnalare problemi e chiedere i codici di accesso, cosa che non farebbero mai le procedure ordinarie oggi in vigore nel nostro paese. Mi prendo la libertà di ricordare che non esistono siti sicuri per definizione; nel passato sono stati oggetto di clonazione e hackeraggio anche quelli di famose banche, di Trenitalia, Regione Lazio, centri vaccinali, ospedali, Siae, Amazon, e altri big players del settore dei servizi. Ciò non significa che non siano ben protetti, ma che la protezione 100 per cento non esiste. I casi che quasi ogni giorno stiamo commentando ne costituiscono la riprova evidente. Una iniziativa meritoria, pertanto, quella della Banca d’Italia, che si aggiunge a quelle che già lo Stato ha in campo – e di cui ci stiamo occupando – per garantire la sicurezza cyber del nostro mercato finanziario. Ma il tutto passa sempre, è bene ricordarlo, per la collaborazione dei cittadini.