In risposta all’indagine di RSA di cui sopra, FBI e Federal Financial Institutions Examination Council (FFIEC), hanno richiesto ufficialmente agli istituti di credito di migliorare i sistemi di sicurezza nei servizi di home banking.
La soluzione consigliata è quella di adottare forme di autenticazione a due fattori entro il 2006.
Questo tipo di autenticazione sfrutta sinergicamente più sistemi di "riconoscimento" dell'utente: quindi non solo PIN o password, ma anche, ad esempio, dispositivi hardware con codici che si aggiornano quotidianamente, oppure periferiche che permettono analisi biometriche o smart-card per reader specifici da collegare al PC.
Senza contare l'implementazione di applicazioni che potrebbero essere in grado di localizzare lapostazione dell'utente e confrontarla con gli indirizzi rilasciati in banca dal correntista.
Alcune banche statunitensi hanno già reso disponibili soluzioni opzionali a "due fattori", ma si tratta di limitate eccezioni.
La richiesta della FFIEC riguarda i servizi finanziari, ma è evidente che questa policy potrebbe stimolare l'utilizzo dei nuovi sistemi di sicurezza anche in altri settori, tendenzialmente sinergici a quelli bancari. In questo modo si otterrebbero soluzioni decisamente integrate .
Si sta infatti sviluppando un progetto che prevede per tante banche una sola password. Una sola password per accedere a diversi servizi dal trading all'e-banking, dallo shopping on-line alle news.
La password multipla rafforza la sicurezza e crea, con un piccolo token, tanti chiavi usa-e-getta. Il servizio partirà negli Stati Uniti nei primi mesi del 2006.
Mettiamo che io abbia un conto con la banca X e un conto con la banca Y. Mettiamo anche che io abbia anche un conto per il trading con un altro istituto . Il problema è: dove tengo le password? Mi devo ricordare tutto, il Pin del bancomat, quello della carta prepagata, quello della banca X e Y e così via. Un vero caos.
L'idea per una sicurezza completa sta nell'avere una chiave unica per tutto. E’ ciò che propone la RSA, la società leader statunitense nello sviluppo di sistemi e applicazioni per la sicurezza: una password unica per cliente, possibilmente una password che serva a crearne tante altre, usa e getta, che durano quei pochi minuti necessari a collegarsi a un servizio di trading on-line o di e-banking e poi spariscono. Senza problemi di craccatori e ladri virtuali.
Il nuovo servizio con una password unica per tutto è partito in forma di prova (trial) con due clienti RSA di tutto rispetto come E*Trade e Wells Fargo.
La password usa e getta è creata grazie a un Token, come quello già distribuito da BNL (e da MPS con il cellulare e i palmari). E da adesso anche dal gruppo UniCredit che a quanto risulta ne distribuirà entro il 2006 almeno 500 mila tra utenti privati e utenti aziendali (con token e firma). Una volta che più banche avranno un sistema che funziona con le password usa e getta e i token, la password multipla (unica per diverse banche e servizi) non sarà più un problema.
Intanto le banche hanno fatto sapere che preferiscono non scambiarsi informazioni tra loro, ma di lasciare alla RSA il compito di fare il suo dovere di garante della sicurezza e dell'autenticazione del cliente.
Dott.ssa Maria Michela Lucignano
Successivo: Conclusioni.
Sommario: Indice