Avevo trovato una banca che invece di regalarmi la solita agenda, mi dava la sicurezza che cercavo per poter sfruttare al meglio le opportunità dell’effettuare operazioni senza dovermi recare necessariamente in Agenzia.
Per anni mi sono vantato con amici e conoscenti, dicendo con orgoglio che il mio istituto di credito aveva fortunatamente conservato il sistema di autenticazione della clientela con l’utilizzo del cosiddetto “token fisico”.
Parlo di quel minuscolo dispositivo che genera i codici OTP, ovvero le One-Time-Password che altro non sono che sequenze numeriche utilizzabili solo una volta.
Il cosiddetto “codice usa-e-getta” adesso viene generato tramite il cellulare del correntista grazie ad una delle dilaganti “app” che vanno tanto di moda.
La “chiavetta” ad un solo pulsante e la sua sorella più accessoriata con tanto di tastierino erano un indiscutibile punto di forza, ma probabilmente non passare ad una soluzione basata sullo smartphone poteva far sembrare “vecchia” la banca che aveva ancora in esercizio un sistema datato ma straordinariamente arzillo.
Bisogna far tutto con il cellulare per non passare per rincoglioniti. Bisogna farlo anche se le frodi sono in agguato e proprio quello strumento telefonico si configura come l’anello debole della catena.
La comunicazione della Popolare di Sondrio dell’uscita di scena del “token” e del passaggio obbligatorio alla “app” mi ha fatto capire che era venuto il momento di riprendere l’abitudine di presentarmi fisicamente allo sportello oppure era giunta l’ora di trovare un’altra banca capace di offrirmi – tra i suoi servizi – la “serenità”.
Incautamente convinto di saper vagamente qualcosa di sicurezza informatica mi sono permesso di scrivere a Sondrio, ottenendo una risposta non firmata che mi faceva capire che la mia mail non era stata presa sul serio o forse non era stata nemmeno letta. Ci sono certamente delusioni peggiori e tradimenti più dolorosi, ma il venir meno della fiducia è un peso difficile da sopportare.
Il processo di “migrazione” dal generatore di codici “fisico” a quello incorporato nel telefonino non è certo iniziato oggi, perché ad innescarlo è stato un provvedimento europeo (il Regolamento Eba 2018/389) entrato in vigore alla fine dell’estate 2019. Quella normativa imponeva alle banche e alle altre realtà dei circuiti finanziari di adottare iniziative volte ad assicurare ambienti protetti per la consegna e l’invio delle credenziali di autenticazione per le operazioni di pagamento online.
Non c’era nessuna necessità (e tanto meno nessun obbligo) di abbandonare una metodologia efficace, ma la scelta è forse dettata dal voler risparmiare evitando gestione e manutenzione di due sistemi (token e app) per identificare e autenticare i clienti. A dispetto del “due is megl che one” di un vecchio spot televisivo che reclamizzava un gelato, anche la mia banca ha optato per la sola “app”.
Il token poteva esser tenuto a casa o in ufficio, chiuso a chiave in un cassetto, lontano dal rischio di esser smarrito e utilizzato in modo fraudolento, eppure è stato mandato in pensione. Lo smartphone (custode di ogni segreto, password incluse) può essere facilmente perso, dimenticato in giro o sottratto da qualche malintenzionato. Poco importa.
Il fenomeno del “SIM Swap”, quello che fa ottenere indebitamente SIM sostitutive anche a fronte di fotocopie di documento e denuncia di smarrimento “regolarmente false”, non turba nessuno anche se è il punto di partenza di tante dinamiche fraudolente. Va bene così.
Quell’aggeggio che non mi porto in giro e che “dorme” pacioso in un angolo della mia scrivania mi ha sempre dato la certezza che non dovevo credere a qualunque SMS di allarme per bonifici o spese chissà dove. Il token era a prova di bandito hi-tech, ma la sua forza non è bastata a salvarlo dalla rottamazione.
Mi hanno detto che eravamo rimasti in pochi a servirci di quell’attrezzo e mi sarebbe piaciuto sapere se qualcuno aveva illustrato il rovescio della medaglia della “app” a chi l’ha accettata con piacere.
Ne parlerò al convegno “Cybersecurity & Risk Management for Finance and Investments” che si terrà oggi alle 15 alla Camera dei Deputati, evento che andrà anche in diretta web.
Sarà occasione per affrontare il tema della sicurezza rifuggendo dalle solite chiacchiere.
Ma il mondo è pieno di chi crede alle truffe solo dopo esserci cascato e solo per i pochi minuti successivi alla fregatura, e quindi è inutile perder tempo in discussioni. Le urgenze sono altre.
Adesso, infatti, è scattata la caccia ad altra banca che – poco moderna come me – riconosca il valore della rilassatezza che può regalare il token…
