Chi mi legge sa che cos’è il phishing – beh, in questi giorni forse lo sa persino chi legge i quotidiani, il che è tutto detto – e sa che in Italia il sito di gran lunga più scelto dai phisher è quello di Poste Italiane, anche se ci sono banche messe molto peggio (per non fare nomi, Fideuram che almeno fino a un paio di giorni fa aveva una possibile falla di sicurezza niente male). È ovvio che da un lato occorre che gli utenti stiano molto attenti a quello che fanno, ma è anche ovvio che anche le banche devono fare la loro parte.
E la stanno facendo alla perfezione, naturalmente in stile italiano. LivePaola racconta che ieri non è riuscita a pagare online i contributi per la colf. Motivo? La sua banca, Fineco, ha silenziosamente messo un tetto massimo di 149 euro per i pagamenti con una loro carta sul sito poste.it. Il tutto, ovviamente, “per motivi di sicurezza”. Detto in altro modo: visto che noi banche non siamo capaci a fare le cose in maniera sicura, ti impediamo di farle, sperando che tu non te ne accorga nemmeno, visto che tanto non è che tutta questa roba di gestione online dei pagamenti sia così importante, e la facciamo solo perché è di moda[*]. Se poi proprio ci va male e vieni a romperci le scatole, ti spieghiamo che lo facciamo per il tuo bene. Mi pare un modo perfetto di spiegare come vanno le cose in Italia.
[*] sì, lo so che Fineco è una banca online. Che lo sappiano loro, non ne sono certo.
Ultimo aggiornamento: 2008-01-09 09:54
Il discorso, secondo me, è molto più complicato.
I sistemi, in un mondo ideale, sarebbero anche sicuri.
Il problema è che ci sono molte variabili esogene da considerare.
In primo luogo la “disattenzione” dei clienti.
Che, per le colpe di pochi, debbano pagarne le conseguenze tutti concordo con te.
Dare la colpa però alle banche che cercano di tutelare i clienti è un’accusa che non mi sento di condividere.
Disclaimer: lavoro in una banca online, e ti garantisco che se ne vedono tutti i colori. Eventuali approfondimenti in privato: ci tengo al posto :)
Garantisco che il baco di cui ho fatto solo un accenno è (era?) parecchio subdolo, e poteva cascarci anche gente che non ha mandato il cervello all’ammasso.
Resta il fatto che io mi aspetterei dalla mia banca online una comunicazione che mi avvisi del tetto di spesa e che mi permetta, chiamando a voce il call center o mandando un fax o in un qualunque modo non telematico, di dire “non voglio quel limite, se mi fregano sono affari miei”.
Del baco di Fideuram ne ha parlato punto informatico oggi:
http://punto-informatico.it/p.aspx?i=2154288
C’è anche un advisory di spamhaus:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL62371
La questione è complessa e non ci sono ricette “facili”.
E’ sicuramente vero che nelle banche online l’anello debole è spesso l’utente finale (che appunto si fa fregare coi soliti sistemi di phishing), è però anche vero che c’è una certa superficialità da parte di fornisce questi servizi.
A parte il discorso sulle falle di sicurezza che è inaccettabile (uno che fornisce un servizio del genere non si può permettere di avere un sistema non sicuro) andrebbe fatto un discorso su cosa fanno i provider internet… mi spiego meglio… non sto ipotizzando un controllo centralizzato di cosa passa su internet (che oltre che difficilmente attuabile, sarebbe pure poco auspicabile), ma certe robe i provider potrebbero e dovrebbero bloccarle sul nascere (piazzando antivirus, filtri antispam e così via direttamente sui server)
Non si capisce perché se uno produce un qualsiasi bene deve rispettare tutta una serie di norme di sicurezza per non arrecare danno al consumatore e invece chiunque può improvvisarsi provider con una logica del tipo “io ti fornisco la connessione, il resto sono cavoli tuoi”.