Sicurezza e tecnologie

Un orizzonte incerto caratterizza la crescente dipendenza dell’uomo medio del terzo millennio dalle tecnologie informatiche, tra molteplici opportunità di mercato ed un numero sempre crescente di truffe poste in essere con infinite modalità.

Le cronache riportano ormai quotidianamente, pur con enfasi che meriterebbe migliori applicazioni, dell’appropriazione di somme anche ingenti di denaro, da parte di ignoti malfattori tecnologici, in danno di ignari utenti di strumenti ormai di uso comune, come i servizi di banking on line, di pagamento automatico o di prelievo automatico di denaro contante.

Negli Stati Uniti il furto di identità digitale è stato teorizzato da tempo, e nell’ordinamento italiano è stato già parzialmente sanzionato dall’art. 615 quater del codice penale, che punisce anche la detenzione illecita di codici di accesso a sistemi informatici o telematici protetti da misure di sicurezza.

Gli eventi che ormai quotidianamente si verificano, dimostrano che l’intero sistema delle autenticazioni ha bisogno di una svolta epocale, che dia effettivamente la certezza della presenza di un soggetto dietro il dispositivo azionato.

Anche nelle indagini di polizia giudiziaria tale aspetto non è irrilevante, poiché il tracciamento di un’utenza consente, per l’appunto di giungere ad un sito, ad un apparato, certamente intestato ad un soggetto fisicamente determinabile, ma non consente di stabilire con certezza, anche in presenza di un sistema di autenticazione (User Id e Password, o smart card e PIN), che sia effettivamente l’interessato ad azionare il dispositivo.

Potrebbe infatti aver subito la sottrazione delle credenziali da parte di altri soggetti, o averle cedute lui stesso, magari alla segretaria, per consentirle di svolgere delle incombenze che non aveva il tempo di seguire personalmente. E quest’ultima potrebbe aver abusato della fiducia accordata.

Non è infrequente, infine, lo scambio di credenziali tra colleghi, al fine di consentire la prosecuzione del lavoro in caso d’emergenza, o permettere temporanee sostituzioni volte a garantire la continuità del servizio.

Situazioni che certamente non sono ispirate ai migliori criteri di sicurezza, ma che costituiscono comunque la prassi in molte realtà aziendali ed istituzionali, anche per la scarsa consapevolezza delle gravi conseguenze che detti comportamenti possono avere per i titolari delle credenziali.

Anche l’abituale superficialità con la quale si custodiscono i sistemi di autenticazione più delicati (è sufficiente pensare a quante persone conservano il codice del Bancomat nello stesso portafogli in cui si trova la tessera) contribuisce a rendere poco attendibili le tracce informatiche che quotidianamente ognuno lascia dietro di sé e a facilitare l’attività dei malintenzionati.

La sottrazione delle credenziali di autenticazione

Tali realtà, infatti, contribuiscono ad accrescere le possibilità di successo di quanti hanno fatto della sottrazione di identità digitale un business decisamente remunerativo. È sufficiente pensare alla crescita esponenziale che ha avuto in questi ultimi mesi il fenomeno del phishing per comprendere la gravità della situazione.

Una nuova variante riguarda l’e-mail che indirizza l’utente su un sito civetta e – subito dopo la digitazione di User Id e Password – lo rinvia al sito istituzionale della Banca di cui è cliente, affinché non sospetti neppure la sottrazione delle credenziali di autenticazione.

Essendo evidenti, ormai, i problemi di sicurezza, viene spontaneo chiedersi quale sia la ragione che induce gli Istituti di Credito a non adottare sistemi di identificazione dell’utente più sicuri degli ormai obsoleti User Id e Password, per quanto sofisticati.

Se a ciò aggiungiamo il crescente diffondersi delle c.d. password dispositive (ossia quelle da utilizzarsi per autorizzare bonifici e trasferimenti di fondi), che possono facilmente essere sottratte con le stesse modalità con le quali vengono “soffiate” al cliente le credenziali principali, è abbastanza ovvio concludere per la sostanziale incapacità degli addetti ai lavori. Inutile poi commentare sistemi di autenticazione basati su passaggi che richiedono la parziale digitazione del codice fiscale del cliente, che hanno come unico risultato quello di far perdere la pazienza al titolare del conto.

Sarebbe sufficiente, direbbe un esperto, far ricorso a sistemi di autenticazione più sicuri, in grado di valorizzare la condotta prudente dell’utente. Ad esempio, una smart card a microprocessore associata ad un codice che varia ogni volta che lo si utilizza. In tal modo, ad ogni collegamento, l’utente legittimo dovrebbe autenticarsi con la smart card e successivamente autorizzare la disposizione di trasferimento fondi con un ulteriore codice generato dalla stessa card o da un altro dispositivo.

Un sistema analogo è stato già adottato da alcune banche, che non hanno introdotto la smart card ma hanno sostituito, ai clienti che ne hanno fatto richiesta, la password dispositiva con un generatore di codici basato su crittografia a chiave asimmetrica, affinché la disposizione di pagamento sia, in sostanza, munita di firma elettronica dell’utente legittimo.

Tuttavia, in “tempi duri” come gli attuali – in cui l’utente medio non è certo in grado di percepire la differenza sostanziale che intercorre tra la coppia User Id – Passowrd e un dispositivo di autenticazione basato su un sistema crittografico robusto, ed è quindi portato a scegliere semplicemente quello che meno gli “rompe le scatole” – sarebbe più opportuno imporre la soluzione al cliente e non consentirgli l’esercizio di facoltà che non è in grado di valutare.

Ma allora perché nessuno provvede ad irrobustire i sistemi di autenticazione e di disposizione? Certo non per una presunta incompetenza degli addetti ai lavori, che hanno dimostrato di conoscere perfettamente i sistemi di autenticazione sicura, ad esempio adottando rilevatori di impronte digitali e apparati di videosorveglianza per regolamentare l’accesso ai locali a rischio (scontrandosi, non di rado, con le censure del Garante Privacy, che ha ritenuto decisamente invasivo tale sistema di schedatura di tutti gli utenti della banca, anche non clienti). Il problema è semplicemente di natura economica. La protezione degli utenti richiederebbe costi notevoli a carico delle imprese ed è quindi preferibile che a farsi carico del problema e dei relativi rischi siano gli utenti stessi.

La particolare delicatezza dell’attività svolta dagli Istituti di Credito, e la vulnerabilità dimostrata dai sistemi di autenticazione normalmente adottati (User Id e Password sono concetti risalenti agli anni 60 e quindi alla preistoria dell’informatica), richiederebbero oggettivamente altre soluzioni, anche per non incorrere nelle censure di omessa adozione di idonee misure di sicurezza a tutela degli utenti, che, a ben vedere, potrebbero prestare il fianco a richieste di risarcimento da non sottovalutare.

I bancomat obsoleti

Costituiscono una ulteriore dimostrazione della ormai scarsa affidabilità dei sistemi di sicurezza comunemente usati, le carte di debito abitualmente utilizzate per il pagamento ed il prelievo di denaro contante, meglio note come tessere bancomat. Nonostante le cronache avvertano ormai quotidianamente del rischio di utilizzare tali strumenti di pagamento, per la facilità con la quale possono essere clonati ed utilizzati all’insaputa dei titolari, non c’è verso di ottenere la sostituzione di tali tessere con dispositivi che almeno integrino un microprocessore in grado di evitarne la clonazione per semplice lettura.

Le carte a banda magnetica sono assistite da una tecnologia ormai superata da almeno un decennio, che può essere messa in crisi anche da un ragazzino infraquattordicenne che abbia nozioni elementari di informatica e abbia acquistato ad una qualsiasi fiera dell’elettronica un lettore/scrittore di banda magnetica.

Non a caso, le recenti truffe perpetrate ai danni dei titolari di carte a banda magnetica sono state rese possibili da apparati elettronici di dimensioni ridottissime, installati sugli sportelli bancomat originali o addirittura dentro i dispositivi di pagamento elettronico (POS), che non fanno altro che leggere e memorizzare i dati della banda magnetica della carta. Una telecamera miniaturizzata posizionata in prossimità del dispositivo, o una tastiera digitale sovrapposta o collegata in parallelo a quella originale chiudono il cerchio, consentendo l’acquisizione del PIN.

Le carte a microprocessore hanno l vantaggio di essere molto più sicure (sono dei veri e propri sistemi informatici dotati di misure di sicurezza, che impediscono, ad esempio, di estrarne i dati da utilizzare come credenziali di autenticazione) e di poter essere utilizzate con la stessa praticità delle tessere bancomat.

Per non parlare dei sistemi di rilevazione biometrica, che consentirebbero effettivamente solo al titolare di effettuare operazioni o prelievi, salvo voler ipotizzare un’asportazione cruenta della parte anatomica (anche in tal caso, peraltro, alcuni lettori biometrica sono in grado di associare alla scansione il rilevamento di parametri vitali quali calore corporeo, battito cardiaco o pressione sanguigna, segno evidente di perfetta salute dell’organo utilizzato per l’autenticazione)

Ancora una volta, l’unica spiegazione possibile a tale mancanza di attenzione alle esigenze degli utenti, viene dal costo che comporterebbe una operazione di riconversione degli apparati esistenti, che sarebbe a carico delle aziende e non dei clienti.

I telepass “taroccati”

Anche le società di gestione delle autostrade iniziano ad avere i loro problemi di natura tecnologica. Il funzionamento dei telepass (che altro non sono che trasponder a radiofrequenza che colloquiano con un ricevitore installato in prossimità dei caselli) è ormai noto ai più, così come è noto il meccanismo utilizzato per documentare l’ingresso e l’uscita delle autovetture dall’autostrada.

Accade quindi che il telepass venga clonato ed utilizzato all’insaputa del titolare, o che venga semplicemente avvolto nella carta stagnola per impedirgli di colloquiare con il ricevitore all’ingresso in autostrada (accedendo da una porta normale) per poi dichiarare all’uscita (la sbarra non si alza perché mancano di dati di entrata ed è necessario l’intervento dell’operatore) di essere entrati da un casello vicino, mentre magari l’auto ha percorso 500 Km.

Sostituire il telepass sarebbe oggi possibile grazie a software che eseguono la lettura automatica delle targhe automobilistiche attraverso l’elaborazione delle immagini dei sistemi di videosorveglianza. Ma costoso, perché richiederebbe la riconversione dei sistemi di elaborazione e di trasferimento dati, per cui si preferisce continuare a sfruttare i vecchi apparati.

Inutile parlare, poi, dei sistemi di rilevamento delle sagome dei veicoli, in grado di associare la targa della vettura alla sagoma del modello corrispondente a quello risultante immatricolato presso la Motorizzazione, e procedere così al confronto e all’eventuale individuazione di auto con targhe false o diverse da quelle normalmente utilizzate, segno di potenziale illiceità.

Conclusioni

Dal punto di vista legale, le responsabilità per le situazioni che si vengono a creare sono solo apparentemente chiare, poiché la normativa in materia di trattamento dati personali e l’ancor più vecchia legge sui reati informatici hanno tracciato una strada abbastanza chiare nel senso di responsabilizzare il titolare del trattamento per l’adozione delle misure di sicurezza necessarie a proteggere i dati e l’affidabilità del sistema di elaborazione.

Le clausole contenute nei contratti di abbonamento ai vari servizi, inoltre, sono solitamente vessatorie e comunque non contrattate singolarmente, e tale circostanza, soprattutto in un settore delicato come quello del credito, ha più volte comportato l’annullamento dei contratti o la disapplicazione delle clausole che esoneravano l’azienda da responsabilità o semplicemente la addebitavano al cliente, con la giustificazione dell’omessa custodia dei codici di accesso o dell’incauto utilizzo del prodotto.

Le recenti notizie di cronaca hanno ulteriormente messo in discussione l’affidabilità dei sistemi informativi che garantiscono l’erogazione di determinati servizi e, in particolare, hanno posto l’accento sull’inadeguatezza delle misure di sicurezza adottate.

Le prevedibili cause per il risarcimento dei danni subiti dagli utenti non potranno non tener conto dell’idoneità (e della non idoneità) degli strumenti tecnologici utilizzati, in rapporto agli interessi da tutelare. Sarà interessante vedere cosa ne penseranno i giudici italiani ed europei.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *