Spesso le banche ci fanno una testa così (immaginate che io stia mimando “una testa così”) sulle questioni di sicurezza per evitare che malintenzionati entrino nei nostri conti e ci svuotino i risparmi di una vita. Ci sono molti metodi per incrementare gli standard di sicurezza, e i vari istituti di credito li usano a propria discrezione e secondo i propri gusti.
Ma il punto è: cosa possiamo tranquillamente reputare sicuro a prova di bomba?
La prima risposta, data con cognizione di causa, è: nulla! Non esiste la sicurezza perfetta e la storia ce ne dà continuamente prova. Tuttavia ci sono stratagemmi più utili di altri, mentre alcuni sono decisamente dannosi, pur sembrando apparentemente “a prova di bomba”, appunto.
L’esempio lampante di questa in-sicurezza è il conto di risparmio Carige che si chiama Contoconto. Io ne ho aperti addirittura due, perché trovo che sia tra i più convenienti sul mercato, ma sul fronte della sicurezza prende secondo me prende grosse cantonate.
Partiamo dallo username: il nome utente è una sbrodolata incomprensibile di lettere e numeri (per la precisione inizia con due lettere e prosegue con una vagonata di numeri). La domanda è: perché? Per aumentare la sicurezza? Assolutamente no, visto che questa informazione mi viene inviata via e-mail, quindi attraverso un canale che, di solito, è potenzialmente insicuro. Inoltre, data la complicatezza del login è molto probabile che io conservi quella mail o, peggio ancora, mi segni questo numero da qualche parte.
Stesso discorso per quanto riguarda la password: una sbrodolata di numeri, inviati la prima volta via SMS. Anche in questo caso, nel migliore dei casi conservo l’SMS sul mio cellulare, ma nel peggiore, di nuovo, me la segno da qualche parte. È come avere una porta ultra-blindata a casa, per poi lasciare la chiave sotto lo zerbino per paura di dimenticarla. Dulcis in fundo: la password non è modificabile.
La sicurezza migliore, e questo le banche forse ancora non l’hanno capito, è far scegliere all’utente certi dati più riservati, ponendo al massimo condizioni che evitino che le password siano troppo semplici. Una volta imposta all’utente una password con maiuscole, minuscole, numeri e simboli, questo è probabile che non abbia bisogno di segnarla perché l’ha creata da solo, e inoltre non ha necessità di conservare una mail o un SMS con l’informazione, perché tale messaggio non è mai esistito!
Persino i produttori di sistemi antifurto hanno capito il vantaggio di questi sistemi. Fino a qualche anno fa, quasi tutti i sistemi antifurto funzionavano tramite una chiave “fisica” (elettronica o meno, era comunque fisica e, in quanto tale, perdibile) che serviva per attivare e disattivare il sistema. Ora tutto funziona tramite codice numerico, rendendo impossibile per un malintenzionato “rubare” la chiave al legittimo possessore.
Un ottimo esempio di online banking molto attento a questo tipo di problemi è Fineco, in cui tutte le password sono a discrezione dell’utente. Ho un conto presso questa banca e non ho scritto in nessun luogo quali siano queste password. Mi possono rubare il computer, il cellulare o l’agenda, ma non avranno mai i miei dati bancari. Più sicuro di così…