La mia banca (online) è stata assorbita da un’altra banca, il che significa che ho dovuto cambiare app e ricominciare tutta la trafila. Mi ero preparato in anticipo i nuovi codici di accesso, e mercoledì ho provato a entrare. Il sistema accetta codice utente e pin, e mi dice che mi ha mandato la One Time Password via SMS. Non vedo nulla. Richiedo l’OTP: continua a non arrivare nulla. Con un po’ di fatica riesco ad arrivare al servizio clienti che mi dice che è un problema del mio operatore, e che non sono il solo. Scrivo al mio operatore (fino all’anno scorso eravamo sotto la stessa struttura, adesso hanno di nuovo separato sviluppo ed esercizio ma comunque siamo sempre cugini) che mi dice che non trova nulla. Oggi richiamo il servizio clienti, che mi dice di fare una ricerca sul nome del mittente degli SMS. Da pc non trovo niente, prendo il telefono e uso l’app nativa Samsung invece che quella mia solita Google… e trovo le OTP!
Cosa era successo? A novembre mi era arrivato un messaggio di phishing con mittente quella banca. Visto che tanto non era la mia banca, l’ho semplicemente indicato come spam per non vederne più. Solo che il controllo antispam sui messaggi è sul nome, e quindi l’app bloccava tutto (senza nemmeno farmeli vedere nella cartella spam, tra l’altro). Ora devo aspettare 24 ore perché dopo tre richieste di OTP c’è un blocco (bah), ma forse ce la farò. Morale della favola? Gli sms con mittente non numerico sono il male, bloccare troppa roba non è a volte una grande idea, ma soprattutto le applicazioni di SMS fanno schifo.
Il vero problema è che oggi gli SMS non li usa più nessuno…od almeno nessun umano. E’ per questo che le applicazioni che le gestiscono fanno un pò schifo: non sono di fatto più manutenute.
Sono almeno 10 anni che ci sono standard per gli OTP: HOTP (RFC 4226) e TOTP (6238). Più sviluppi recenti come WebAuthn. Google e Microsoft li usano, quindi direi che sono abbastanza sicuri e testati sul campo.
Essendo standard aperti ci sono dozzine di implementazioni hardware e software, oramai integrati in tutti i sistemi operativi desktop e per cellulari.
Per quale motivo tutte le banche devono ancora fare questa stupidaggine degli SMS o, peggio ancora, farti installare applicazioni pessime sul tuo cellulare?
Si usano ancora gli SMS per un banalissimo motivo: diversi utenti, specie le persone più in là con gli anni, non hanno un furbofono e vogliono gli SMS per non dover cambiare il telefono. Piano piano si evolve, ma specie le app bancarie più anziane deliberatamente mantengono gli SMS.