Era meglio il token fisico?

Posted on Apr 17, 2024

Mi ha davvero irritato la scelta di Poste Italiane S.p.A: integrare un software anti–malware nelle sue applicazioni per servizi di banca telematica; ne ho scritto ieri: O installi il mio malware o con te non gioco piú. Di fatto, però, l’applicazione bancaria stessa diventa malware: crea un canale di accesso a informazioni riservate che può essere sfruttato da pirati informatici nella, inevitabilmente, complessa gerarchia di fornitori software che contribuiscono all’ingegnerizzazione delle applicazioni, sia all’interno che all’esterno di Poste Italiane S.p.A.

Poste Italiane S.p.A. non è una società di sicurezza informatica come l’antica Norton; non può che rivolgersi a società esterne per la produzione di anti–malware e queste società, magari, subappaltano i lavori di routine ad altre società e contractor esterni; e via cosí. Alla fine: se succede qualcosa nessuno di Poste Italiane S.p.A. è responsabile e magari neanche ci dicono cosa capita; si veda il caso di pirateria ai danni di SolarWinds, di cui ho scritto in passato (See Può sembrare che io esageri sui problemi di sicurezza informatica… in Marco’s 2020 Weblog).

Perché un’applicazione di servizi telematici bancari deve integrare un anti–malware? Ho ragionato in passato sull’opportunità di usare o meno lo smartphone come dispositivo di sicurezza (See Password, spid, eccetera in Marco’s 2020 Weblog). Negli ultimi dieci anni le banche hanno sostituito il token fisico, che generava numeri casuali per autenticare l’accesso ai servizi, con un componente software integrato nelle applicazioni; buona idea o cattiva idea?

Negli anni ho sempre tenuto d’occhio le offerte di Poste Italiane S.p.A, per ben riposto o mal riposto patriottismo finanziario; ho insistito anche quando, tanti tanti anni fa, hanno cercato di rifilarmi prodotti finanziari chiaramente inadeguati alla mia situazione; avrei voluto trovare una varietà di prodotti attraenti, invece è una delusione dopo l’altra.