Ogni giorno le nostre dita scivolano sullo schermo digitando codici, disponendo bonifici o ricaricando carte per gli acquisti online. Le continue rassicurazioni degli istituti di credito – insieme all’indubbia comodità e alla poca risonanza di casi eclatanti di hacking delle app per l’online banking – ci hanno portato a considerare senza rischi le operazioni bancarie effettuate con i nostri smartphone. Eppure, i dispositivi che teniamo tra le mani sanno tutto di noi, compresi gli accessi ai nostri conti correnti (ricordatevi che su SosTariffe.it potete trovare i migliori a costo zero). Possiamo davvero usarli senza preoccupazioni?
Il superesperto: io evito l’online banking
Un paio d’anni fa aveva fatto scalpore la dichiarazione di Ross Anderson – professore di security engineering all’università di Cambridge nonché uno dei maggiori esperti di cybersecurity del Regno Unito – di non aver mai fatto ricorso all’online banking. Secondo Anderson, “Dalla fine degli anni Novanta, il passaggio al banking via telefono e poi su Internet ha portato a cambiamenti nei termini e nelle condizioni dei contratti bancari, nello stile di ‘Accettate di essere ritenuti responsabili per qualsiasi transazione effettuata con la vostra password, sia che siano state effettivamente disposte da voi sia da altri’. In sostanza, le banche hanno sfruttato il passaggio all’online per trasferire il rischio di frodi sul cliente”. Non solo: i dati rassicuranti che leggiamo ogni giorno potrebbero non essere del tutto corretti. “Il loro punto di vista è che se in qualche modo sono stati usati la tua password e il tuo pin, o sei stato complice o molto poco accorto, quindi non puoi lamentarti. Ci sono moltissime frodi denunciate dagli utenti che non finiscono nei dati ufficiali”.
Che cosa cambia con Spectre e Meltdown
Ora che i cicloni Spectre e Meltdown si sono abbattuti sui processori moderni, a partire da quelli Intel – si tratta di falle di sicurezza dovute alla speculative execution, una tecnica utilizzata per ottimizzare le prestazioni – arrivano nuovi inquietanti interrogativi sulla nostra percezione della sicurezza. È sicuramente maggiore lo scalpore per il battery-gate di Apple e le relative accuse di obsolescenza programmata rispetto a un problema hardware a cui si può porre davvero rimedio soltanto con la prossima generazione di processori, e che comunque obbliga tutti noi all’aggiornamento immediato dei nostri dispositivi per cercare di limitare i danni.
Già, gli aggiornamenti: quelli che ci costringono a non utilizzare il cellulare per una quindicina di minuti e di cui spesso tendiamo a posporre le notifiche con un moto di fastidio, senza neanche prenderci la briga di controllare esattamente a che cosa servono. In questi giorni sono usciti di tutti gli update assolutamente necessari per non rischiare di essere vittima di attacchi legati alle falle appena scoperte, ma purtroppo in molti faranno finta di nulla. Ed è così da sempre.
Lo studio di Ricompro: il 50% dei cellulari non è sicuro
Secondo uno studio di Ricompro, il portale specializzato nella compravendita di smartphone usati, proprio per la mancata installazione dei dovuti aggiornamenti il 50% dei telefonini italiani non è sicuro per l’online banking. E non è sempre colpa degli utenti distratti: la ricerca ha mostrato come la maggior parte dei produttori proponga con un certo ritardo gli aggiornamenti di sicurezza per dispositivi commercializzati da più di 12 mesi, o addirittura li escluda del tutto dai suoi aggiornamenti.
Secondo Ricompro, i telefonini che ricevono update per più di 4 anni sono soltanto gli iPhone di Apple; HTC prova ad aggiornare tutti i device che utilizzano Android 6 e successivi, ma con aggiornamenti garantiti solo per i 24 mesi dopo l’uscita del dispositivo; Samsung è carente nell’aggiornamento degli smartphone rilasciati da più di 24 mesi (motivo per cui il Galaxy S5 è poco sicuro per le applicazioni che fanno riferimento a dati sensibili) e anche Huawei e Honor, per la maggior parte, forniscono update tempestivi per i loro dispositivi in media per 24 mesi. In genere, dopo 20 mesi dal rilascio sono pochi i modelli di Android (anche a causa del ben noto problema della frammentazione) che vengono ancora aggiornati.
Maggiore sicurezza per gli iPhone, dunque, che possono essere utilizzati per l’online banking (o più in genere per l’uso “sensibile”) per più di 40 mesi, mentre dopo 24 mesi dal rilascio è bene cominciare a usare con più attenzione i propri dispositivi Android. E dire che secondo gli ultimi dati Nielsen gli italiani che si connettono al proprio conto corrente utilizzando un tablet o uno smartphone non sono certo pochi: ben 6,3 milioni, molti dei quali del tutto ignari dei rischi che potenzialmente corrono senza aggiornamenti continui e tempestivi, e che si vanno ad aggiungere alle pratiche deleterie già purtroppo note come password troppo semplici (o, viceversa, troppo complesse e poi dimenticate, con la conseguente odissea di domande di sicurezza, verifiche e contro-verifiche per avere una nuova password, tutte attività che potenzialmente aumentano i rischi).
Gli altri rischi: il phishing
Altra arma assai praticata dai malintenzionati è quella del phishing, e ogni giorno non si contano le segnalazioni di siti fasulli, realizzati più o meno bene per riprodurre la pagina di login di una banca, che invitano a consegnare direttamente nelle mani dei truffatori i propri dati sensibili. In questo caso basta seguire alcune buone pratiche come le seguenti per minimizzare il danno:
- Se non usate app ma direttamente il browser, visitate l’homepage della vostra banca sempre digitando l’indirizzo nella barra, senza cliccare su link arrivati in mail anche se sembrano ufficiali;
- Non scaricate applicazioni che sostengono di essere le versioni “ufficiali” delle interfacce per l’accesso a una banca senza esserne assolutamente sicuri;
- Ricordatevi di avere l’ultima versione del sistema operativo, del browser, del vostro antivirus, oltre al firewall attivo;
- Fate scansioni regolari con il vostro antivirus;
- Cambiate la password dell’online banking a intervalli regolari, almeno una volta ogni due o tre mesi;
- Controllate sempre la data e l’orario di login dopo aver avuto accesso al vostro account;
- Evitate di disporre operazioni di online banking se vi state collegando da un cybercafè o da un PC condiviso;
- Una volta che siete entrati nel vostro account, i pop-up che vi richiedono nuovamente i dati di accesso sono quasi sempre fasulli e possono essere causati da malware che infettano il vostro computer: seguite i passi necessari per provvedere alla sua pulizia.
Fonti: https://www.theguardian.com/money/2015/nov/21/safe-internet-banking-cyber-security-online
https://www.ricompro.it/blog/oltre-50-percento-degli-smartphone-italiani-non-sono-sicuri-per-lonline-banking/banking