Cambiano le minacce, ma non le misure di sicurezza a tutela dei correntisti. Le banche possono ancora “scaricare” la responsabilità sugli utenti? di Andrea Monti – Originariamente pubblicato da Infosec News
Uno dei tanti recenti casi di cronaca documenta l’ennesima frode commessa a danno di un correntista bancario tramite SIM hijacking. Nemmeno una settimana fa ho dovuto gestire un caso analogo, ma commesso tramite social engineering, nel quale i truffatori sono riusciti a ottenere telefonicamente in tempo reale la OTP per concludere l’operazione.
In molti casi la vittima riesce ad ottenere il rimborso della somma sottratta, ma in altri la banca si rifiuta, opponendo la negligenza del cliente per non avere riconosciuto la natura fraudolenta del comportamento criminale. In altri termini e detto in termini crudi: la banca non “risarcisce” la stupidità o l’ignoranza della vittima. Ma è veramente così?
In teoria, le parti di un contratto (bancario) devono comportarsi “secondo buona fede”. Questo significa, dal punto di vista del cliente, custodire codici, pin e credenziali con adeguata cura e adottare quelle minime misure di sicurezza —come antivirus, riservatezza del PIN, e via discorrendo— che possono prevenire accessi abusivi al proprio conto. Dal lato della banca, e più specificamente per via degli obblighi derivanti dal dovere di custodia assunti con il contratto, è imperativo adeguare le misure di sicurezza alle nuove tipologie di attacco. Dunque, se fino a prima della lancia termica erano sufficienti cassaforti di un certo tipo, la disponibilità di un nuovo strumento per forzarle implica l’obbligo per la banca di adeguarsi utilizzando scrigni più robusti o concependo in modo diverso i propri processi di gestione della sicurezza.
Analogamente, dunque, se oggi le truffe sono commesse tramite social-engineering e SIM hijacking le banche dovrebbero prenderne atto e adeguarsi, invece di adottare il classico approccio di colpevolizzazione dell’utente. Solo se la banca dimostra, infatti, di avere adottate specifiche misure di sicurezza contro quel determinato tipo di attacchi potrebbe ribaltare la responsabilità sul cliente. Ma se non lo fa, qualsiasi clausola contrattuale, modulo precompilato con opzioni “assolutorie” per l’istituto e “diniego” del servizio clienti non ha alcun valore.
Due parole, infine, sulla corresponsabilità (quantomeno “tecnica”) degli operatori telefonici, dell’Autorità per le comunicazioni e del Ministero per lo sviluppo economico in questo tipo di frodi.
Il SIM hijacking è possibile perché qualche rivenditore accoglie la richiesta di cambio SIM senza farsi troppe domande. In alcuni casi il rivenditore è anch’esso vittima di un inganno, in altri è compiacente e non è sempre facile stabilire la verità. Certo, se la richiesta di cambio SIM avviene in una città diversa da quella dove l’intestatario risiede, qualche dubbio sulla “genuinità” della richiesta dovrebbe anche porsi. Facile sarebbe rispondere che il truffatore potrebbe avere alterato anche la residenza della vittima sul falso documento di identità. Altrettanto facile, tuttavia, sarebbe rispondere che a questo punto l’operatore telefonico non dovrebbe più accettare la fotocopia del documento di identità come prova della legittimità della richiesta.
Analogamente, nel caso delle truffe basate sul social-engineering, dovrebbe essere sempre possibile risalire agli intestatari del numero utilizzato dai criminali. Questo però non accade perché, in primo luogo, quello degli archi di numerazione è un mondo parallelo e oscuro dove non sempre si riesce a identificare chi sia l’assegnatario di uno o più numeri. In secondo luogo, la migrazione verso sistemi VoIP e il modo in cui funzionano gli SMS consentono di falsificare numeri e mittenti analogamente a quanto accade con le e-mail dove (salvi i casi di particolari accorgimenti e della PEC) chiunque può inserire come mittente l’indirizzo di chiunque altro.
Sarebbe opportuno che i soggetti istituzionali competenti (Autorità per le comunicazioni, ma anche Garante dei dati personali, CONSB, Banca d’Italia e MISE) avviassero delle indagini per capire se il modo in cui operano i gestori telefonici è ancora adeguato ai tempi, o se invece non sia necessario adeguare i processi di sicurezza ad un scenario criminal-tecnologico che è già vecchio.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte