Asset Publisher

Truffa sim swap, le banche: “L’addio alle chiavette token ha aumentato sicurezza. I clienti devono essere più attenti al phishing”

17.04.2020
Il Fatto Quotidiano

Romano Stasi, Segretario Generale di ABI Lab, nega che con l'addio al token fisico i rischi siano aumentati. Ma apre: "Con la disponibilità degli operatori si può arrivare a una piattaforma comune che aiuti le banche, mettendole al corrente dei recenti cambi di sim legati a un numero di telefono”

Le nuove procedure di sicurezza, con il secondo fattore di autenticazione tramite l’applicazione sullo smartphone al posto del token fisico, non aumentano i rischi per i clienti. Che dovrebbero però essere più attenti a non abboccare al phishing con cui i truffatori spesso riescono a farsi inviare le credenziali dell’home banking e a non scaricare software “ruba password”. E’ questa la posizione dell’Associazione bancaria italiana rispetto alle nuove truffe del tipo “sim swap fraud“. Come raccontato dal fattoquotidiano.it, nel caso dell’applicazione sullo smartphone per “bucare” il secondo fattore di autenticazione basta sostituire la sim card della vittima: a quel punto i messaggi e codici di conferma inviati dalla banca arrivano sul telefono del truffatore. Che prima, però, si è appropriato in altro modo delle credenziali di home banking.

“Il secondo fattore di autenticazione introdotto dalla direttiva europea Psd2 non ha affatto aumentato i rischi, al contrario ha rafforzato la sicurezza introducendo un ostacolo ulteriore da superare”, commenta Romano Stasi, Segretario Generale di ABI Lab, il Centro di ricerca e innovazione per la banca promosso dall’Associazione Bancaria Italiana. “Non dimentichiamo che il presupposto di quasi tutte le truffe online è il furto delle credenziali di internet banking, che di solito avviene tramite phishing o con l’installazione di un malware sul dispositivo”. Il primo passaggio riguarda quindi anche il cliente, che deve fare attenzione a non cadere nelle trappole di ingegneria sociale degli hacker, oltre ad utilizzare con consapevolezza gli strumenti digitali.

Sul passaggio legato al furto della sim, però, “bisognerà lavorare. Con la disponibilità degli operatori si può arrivare a una piattaforma comune che aiuti le banche, mettendole al corrente dei recenti cambi di sim legati a un numero di telefono”. Per questa, come per tutte le truffe online, recuperare il denaro non è mai semplice: “La Psd2 prevede che a fronte di un disconoscimento dell’operazione da parte del cliente la banca provveda al risarcimento. Poi però bisogna verificare che il comportamento del cliente stesso sia stato diligente, e a maggior ragione quando è coinvolto un operatore lo scenario si complica. Da parte sua, il cliente deve avere coscienza dei pericoli del mondo digitale: se prima il rischio di perdere i nostri soldi era legato a una rapina sull’autobus, ora si nasconde in una finta mail che sembra inviata dalla nostra banca, e invece arriva da un ladro informatico“.

I dati ABI parlano di uno 0,5% di clienti che hanno subito un furto di credenziali nel 2018, leggermente in aumento rispetto all’anno precedente (0,4%), mentre è in calo la percentuale di chi ha perso denaro a seguito del furto (0,0018% nel 2017). Da parte loro, nel 2018 le banche italiane hanno investito oltre 300 milioni di euro in sicurezza digitale. Al momento quasi tutte (l’89%) dispongono di strumenti per il monitoraggio delle transazioni anomale, che viene svolto nella maggior parte dei casi con l’analisi automatica dei log di accesso all’internet banking (92,6%), con l’analisi comportamentale (63%) e la presenza di software per la rilevazione di malware nel device utente (48,1%).

Truffe e furti si inseriscono in un contesto che vede ormai 9,7 milioni di clienti accedere ai servizi bancari tramite smartphone o tablet, una fascia di utenti quasi raddoppiata in 5 anni. Ad oggi un italiano su tre utilizza il telefono per effettuare operazioni di ogni tipo, dal pagamento delle bollette fino al trading online. I dati si riferiscono al 2018, ma è molto probabile che siano aumentati nell’ultimo anno: in settembre è entrata in vigore la direttiva europea Payment Services Directive 2, che ha regolato un cammino già intrapreso dalle banche, con la graduale scomparsa del token fisico. Oggi tutte le banche del campione analizzato da ABI Lab offrono servizi tramite l’applicazione per smartphone, l’89% permette di agire anche con il tablet, quasi la metà con i dispositivi indossabili.

Leggi l'articolo