In Europa, secondo dati Eurostat, nel corso del 2015 gli utenti della rete hanno rinunciato a una serie di attività online a causa dei timori legati alla sicurezza: a farne le spese sono stati soprattutto e-commerce e di online banking. Il dato, in sostanza, mette nero su bianco quello che è un problema largamente diffuso quando ci sono in ballo soldi, transazioni, dati sensibili come quelli delle carte di credito: le persone temono di poter essere vittime di attacchi e di frodi che andrebbero a colpire risparmi e conti correnti.
Non stupisce, quindi, che le banche prestino particolare attenzione ad offrire ai clienti sistemi di home banking e di mobile banking integrati atti ad alzarne i livelli di sicurezza prevedendo soluzioni multiple a protezione dei dati e delle transazioni. Ma anche a protezione di eventuali comportamenti incauti degli utenti stessi che, spesso, determina la vera riuscita di attacchi malevoli da parte dei cybercriminali.
C’è una fase estremamente delicata, tra quelle che prevedono l’azione diretta delle persone, quando si attivano app e sistemi di mobile banking: è la fase di autenticazione, quella che richiede l’immissione della password per accedere ai servizi. E’ la fase che fa gola agli hacker, che utilizzando differenti strategie per “trarre in inganno” l’incauto utente e derubarlo delle credenziali di accesso tramite phishing, ma anche keylogger e sniffing.
Le tecniche di autenticazione
Esistono diversi sistemi a protezione di tale fase, tradizionalmente vengono indicate tre categorie principali di metodi di autenticazione.
- Something you know (SYK) – “qualcosa che sai” (tipicamente, una password).
- Something you have (SYH) – “qualcosa che hai” (ad esempio il token, ma in generale può essere un qualunque oggetto identificabile in modo univoco).
- Something you are (SYA) – “qualcosa che sei” (i sistemi biometrici).
E’ chiaro che l’uso combinato di tali metodi, rispetto a un uso distinto, aumenti il livello di sicurezza, si parla di “strong autentication”, ed è un trend sempre più diffuso soprattutto nel sistema bancario, ancor più presso in quelle banche che fanno dell’online e del mobile, canali privilegiati di erogazioni dei loro servizi.
Tralasciando il sistema di autenticazione basato su password che più degli altri chiama in causa la cultura sulla sicurezza dei singoli utenti (che spesso delude, dal momento che nel 2015 la password più diffusa, e meno sicura, era questa), sono token e sistemi biometrici a rappresentare il presente e ancora più il futuro, delle app bancarie e non solo.
Token e sistemi biometrici
Il token per la sicurezza è di norma un dispositivo fisico, normalmente si tratta di un dispositivo elettronico portatile di piccole dimensioni, alimentato a batteria e dotato di uno schermo, oppure software, in cui le informazioni necessarie risiedono direttamente in un oggetto esterno. I token servono a generare un numero pseudocasuale ad intervalli regolari che l’utente può inserire per autenticarsi su sistemi e piattaforme di servizi. Anche un badge, può essere considerato un token che individua in modo univoco quella persona e non un’altra: la sua identità, in sostanza.
Entrambe sono largamente diffusi nei principali servizi di online e mobile banking come nel Wallet di Banca Mediolanum che opta per una versione software. Al suo interno è inclusa una funzione, la token app, che permette allo smartphone di diventare esso stesso un token e generare così terzo il codice B.Med, ovvero un codice segreto “usa e getta” che integra la procedura di identificazione di Banca Mediolanum per le operazioni online, via internet o mobile. Grazie alla token app, nel caso in cui i pagamenti vengano disposti da Mediolanum Wallet, l’inserimento del codice B.Med avviene automaticamente: per autorizzare quindi l’operazione basterà inserire manualmente gli altri codici segreti o l’impronta digitale.
La scelta di optare per una tale soluzione rientra nella visione Mediolanum di facilità e velocità legata ai servizi mobili: si azzerano i tempi di attesa e il codice viene inserito in massima sicurezza e velocità.
“Non si tratta solo di aumentare la sicurezza dei servizi che offriamo, dall’accesso ai pagamenti” – afferma Marco Leopardi, Responsabile Marketing Canali di Banca Mediolanum – “Guardiamo alla tecnologia anche per migliorare l’esperienza d’uso in mobilità. Integrando il riconoscimento dell’impronta digitale nel Mediolanum Wallet, permettiamo ai clienti di operare senza memorizzare o trascrivere i codici segreti e ne consentiamo l’inserimento automatico tramite la Token App. Basti pensare che per effettuare un pagamento in maniera tradizionale in media impieghiamo un minuto e mezzo, con l’utilizzo dell’impronta digitale e della token app si passa a meno di un minuto.”
I sistemi biometrici, invece, sfruttano caratteristiche fisiche, biometriche appunto, per realizzare processi di autenticazione. Apripista indiscusso, certo quello più noto, è il riconoscimento dell’impronta digitale, che ha aperto alle soluzioni biometriche più complesse: Apple, che ha recentemente integrato l’ID touch nei suoi iPhone (dal modello 5S in poi), ha permesso a tale sistema di diffondersi e oggi sono molte le app che permettono di utilizzare l’avanzato sistema di riconoscimento tramite impronta digitale per accedere e autorizzare identificazione mobile. Così come previsto anche dal Mediolanum Wallet ad integrazione di altre funzioni come, ad esempio, la sopracitata token app.
I sistemi biometrici, dicono gli esperti, saranno il futuro dei sistemi di autenticazione, in un mondo sempre più pervaso dalla connettività e anche da possibili minacce alla sicurezza. Già oggi vi sono molte sperimentazioni in corso che potrebbero diventare di largo uso anche presso le banche: l’azienda svedese Behaviosec, ad esempio, usa la posizione, la pressione e la velocità di pressione delle dita sul touch screen per riconoscere gli utenti, mentre Fujitsu ha presentato in collaborazione con NTT DoCoMo lo smartphone Arrows NX F-04G, il primo al mondo che integra un lettore di iride capace di sbloccare e autorizzare funzioni e accessi con un semplice battito di ciglia. E ancora Jack Ma, fondatore di Alibaba, ha presentato la versione beta di Smile to pay, basata sul riconoscimento facciale dell’utente.
Token e sistemi biometrici sono le soluzioni con le quali le banche rispondono e risponderanno sempre più alla crescente richiesta di sicurezza per le operazioni che i clienti effettuano in mobilità. Non bisogna mai dimenticare tuttavia che per rendere un sistema realmente sicuro non si possa prescindere da un uso responsabile dei nostri smartphone e dei nostri dati.
Facebook Comments