Il taccuino di Armando Leotta Rotating Header Image

Frode online bancoposta: poste italiane risponde

Un saldo drasticamente basso, il controllo della lista dei movimenti e scatta il panico: le frodi online sono dolorose, fanno male e si ha la sensazione di combattere un nemico invisibile.

Non riconoscendo gli addebiti si punta immediatamente a denunciare l’accaduto alle autorità e ad interpellare la propria banca sull’accaduto.

Vale la pena, a mio avviso, soffermarsi sulla risposta che è stata fornita dall’ufficio reclami di BancoPosta ad un amico, vittima della frode. Impeccabile, trasparente e corretta anche da un punto di vista tecnico. Riassumo e stralcio.

Gentile Cliente,

con riferimento alla sua richiesta d’informazioni riguardante le operazioni online diposte dal conto corrente a Lei intestato, Le facciamo presente che dalle verifiche effettuate dette transazioni risultano eseguite con il corretto inserimento dei codici di accesso segreti per il riconoscimento del titolare.

Leggi “non ci sono errori tecnici o contabili a noi imputabili: le transazioni sono avvenute nel rispetto delle modalità previste“.

Possiamo perciò supporre che i fatti da Lei segnalati siano riconducibili ad un caso di frode informatica. Come Le sarà certamente noto, le modalità mediante le quali può essere realizzato in furto d’identità online può essere vario.

Leggi “Sei in buona fede e credo perfettamente alla tua versione dei fatti. E ti aiuto anche a capire come può essere successo tanto…“.

Può ad esempio accadere che sia lo stesso cliente a digitare inconsapevolmente i propri codici d’accesso in un sito che solo apparentemente risulta essere quello del proprio istituto di credito al quale si è collegato direttamente da un link ricevuto via posta elettronica.

Leggi “Lo sai che non devi MAI accedere alla banca tramite link ricevuti in posta? Lo sai quante mail di phishing del nostro istituto girano giornalmente?

Può anche verificarsi che sul personal computer non adeguatamente protetto vengano installati all’insaputa dell’utente “programmi spia”, in grado cioè di raccogliere informazioni dal computer e di trasmetterle via rete.

Leggi “Il personal computer è un problema tuo, non della tua banca: dovevi “proteggerti adeguatamente”

Una volta carpiti i dati personali sono utilizzati fraudolentemente a danno degli ignari utenti. Deve, perciò, essere cura di chi utilizza strumenti informatici adottare tutte le cautele necessarie per garantire la riservatezza dei propri dati.

Chiusura con applauso: in altre parole, è colpa tua quindi Poste non può fare nulla a riguardo.

Per la massima correttezza e trasparenza, nel caso in questione gli ammanchi erano riconducibili a transazioni online che prevedevano, oltre ad utente e password anche l’inserimento di un pin dispositivo. Anche la comunicazione agli utenti è stata chiara e costante, come segnalato anche nella lettera stessa al cliente.

Nella fattispecie, le probabili cause sono entrambe altamente verosimili.

Volendo escludere che sia stato carpito qualche dato di troppo nell’ultimo attacco ai server di posteitaliane, così come ci piace sperare che non sia andato a buon fine uno dei tanti tentativi di phishing ai danni di Poste Italiane e dei suoi clienti, resta altamente probabile la presenza sul personal computer dell’utente di qualche malware e/o rootkit e/o keylogger.

Per una volta mi voglio togliere dai panni di chi i sistemi di sicurezza li disegna e governa e voglio mettermi nei panni dell’utente che si avvicina timidamente al cosiddetto home banking.

Oggettivamente gli interrogativi esistono.
Siamo sicuri che in questo scenario l’istituto di credito abbia messo in campo tutte le possibili accortezze per eliminare, abbattere o semplicemente mitigare a sufficienza il rischio che una frode possa andare a buon fine?
A questo punto, l’ignaro utente truffato come può essere tutelato?
Le associazioni di consumatori possono essere d’aiuto in questi casi?
Non è pensabile dotarsi di una copertura assicurativa per il trasferimento del rischio residuo (come mi risulta succeda in altri istituti di credito)?
Perchè non adottare una notifica diretta dell’imminente transazione (telefono, mail, sms)?
Perchè non dotare i propri clienti di un certificato digitale per il riconoscimento?
Perchè non verificare la presenza a bordo del dispositivo client di un antivirus/malware aggiornato prima di garantire l’accesso alle operazioni online?

Possibile che bastino informative, disclaimer e bacheche per demandare completamente all’utente la verifica della auspicata “adeguata protezione” ?

Forse qualche attenzione in più sull’offerta ai clienti è lecito ipotizzarla.
Riflettere e condividere come sempre mi sembra la strada maestra.

_____
Clusit

Be Sociable, Share!
  • Pingback: SicuraMente()

  • Attilio A. Romita

    La risposta delle Poste Italiane è sintomatica del fatto che questo Ente, malgrado le apperenze di modernità, marketing, CRM, etc, continua ad avere la mentalità di un Ente con le peggiori caratteristiche degli Enti Asburgici o Borbonici: Io sono io e Tu sei un povero minus habens.
    La situazione di Monopolio che caratterizza le Poste, le aiuta a mentenere questo atteggiamento, ma, prima o poi, qualcuno le butterà giù da cavallo!

    • Condivido il tuo punto di vista ma mi chiedo: se questo atteggiamento deriva dal monopolio e della capillarità della presenza, chi mai li butterà giù da cavallo?
      Con quale strumento?
      Metafore a parte, sarebbe il caso che funzionassero sul serio vista la loro presenza sul territorio

  • Attilio A. Romita

    Le POSTE non sono un ente divino che come gli antichi Re, è soggetto solo a Dio ed a Se Stesso.
    Le POSTE sono proprietò dello Stato e come qualsiasi cittadino sono soggette alle regole emesse dal Parlamento.
    Se questo circuito non funziona, la colpa è di tutti noi che abbiamo delegato le persone che non fanno i nostri interessi.
    Per far “scendere le poste da cavallo” dovrebbero bastare le elezioni o …, ma non vorrei arrivarci, il kalanshikof!

    • Dopo la privatizzazione certe cose son peggiorate secondo me. Ad ogni modo, hai esperienza di casi analoghi e di come siano stati gestiti da altri gruppi? E degli interrogativi posti?

  • Attilio A. Romita

    La Privatizzazione degli Enti Pubblici è stato un artificio legale per eliminare mille garbugli che leggi, reglamenti, consuetudini, circolart, editti e quant’altro non permettevano l’uso di strumenti che andavano oltre la matita copiativa.
    Purtroppo non è la privatizzazione, ma il monopolio che provocano certi danni.
    I telefoni erano un unico ente sino a 20 anni fa (più o meno) e trattavano l’utente come un essere inferiore. Poi è arrivata la concorrenza e i “Dipendenti della SIP” continuavano ad avere lo stesso atteggiamento mentre le altre Compagnie avevano maggior cura del Cliente. Con gli anni molti exSIP sono andati in pensione, i meno flessibili sono stati emarginati ed ora TELECOM è sul mercato normalmente.

  • Mi sembra di capire che sei fermamente convinto che sia un problema circoscritto al caso descritto? Io credo sia una scarsa attenzione nei confronti dell’utente che si avvicina ai nuovi servizi online.

  • Attilio A. Romita

    Forse mi sono spiegato male.
    Il caso descritto è un’ottima esemplificazione del fatto che una impresa che agisce in regime di non concorrenza è portata a non curarsi del Cliente/utente.
    Nel caso di imprese pubbliche, di proprietà dello stato, l’unico sistema che ha il Cliente/utente per farsi sentire è quello di “parlare con il Padrone” e questo in uno strato civili si fa con lo strumento elettorale.
    E tutto questo vale per i servizi online, per lo sportello tradizionale,
    per il Sindaco e per la Guardia Comunale.

    • Chiarissimo. Da un punto di vista tecnico invece?

  • Attilio A. Romita

    Se vai su InnovatoriPA e leggi tutti i miei interventi puoi avere un’isea.
    E’ ovvio che, purtroppo, non ho una ricetta semplice.
    Gutta cavat lapidem oppure la goccia cinese.
    Scrvendo, denunciando, sputtanando se ci si riesce, combattendo le leggende metropolitane e ….. sperando prima di morire disperato!

  • bruno

    A proposito di posta online,CONTO clik!pur volendo aderirvi mi e impossibile,perche!perche nella richiesta dei dati personali,alla voce DOMICILIO,devo domiciliare aSAN MARINO,O VATICANO,il mio domicilio lo sapete bene come si vede dalla email e la repubblika ceca.Vorrei potervi assecondare e darvi un indirizzo di vostro gradimento,ma non sarebbe quello giusto.Sono gia vostro cliente,anche se per come vanno le cose,vorrei gia non esserlo piu!Avviso chi non lo sapesse che la repubblika ceca e in EUROPA,COME SAN MARINO O IL VATICANO!azioni,pendo dalle vostre labbra!ttendo istru

    • Bruno, hai provato a sentire direttamente le poste? Magari è solo un problema di form ovviabile.
      Per la cronaca, la Repubblica Ceca è uno Stato membro dell’Unione Europea (UE).
      Vaticano e S. Marino sono Paesi d’Europa, geograficamente in Italia ma che non sono membri dell’Unione Europea

  • Attilio A. Romita

    Bruno, non mi stupisce quanto ti è accaduto.
    Le Poste Italiane, magrado un tocco di colore alla facciata sono restate nei comportamenti all’epoca delle Regie Poste Asburgiche o delle Reali Poste Borboniche ed è già tanto che risconoscano Vaticano e San Marino.

  • Pingback: Il taccuino di Armando Leotta()

  • Pingback: Phishing? Cronaca di una truffa su un conto Bancoposta | Il taccuino di Armando Leotta()

  • luciana

    vorrei cancellarmi da poste italiane,
    come posso fare potete voi disinstallarmi
    senno spiegatemi come posso fare luciana

    • Luciana, ti consiglio di rivolgerti a qualsiasi ufficio postale: saranno sicuramente in grado di aiutarti