
Scrive l’Ufficio Stampa di BNL e in chiusura Umberto Rapetto accenna qualche considerazione in proposito.
Gentile Dr. Rapetto,
scriviamo in merito al suo articolo dal titolo “Truffa in corso ai correntisti BNL-BNP Paribas” pubblicato su www.infosec.news e ripreso da altre testate. Riteniamo che ogni azione di sensibilizzazione informata e competente risulti efficace rispetto all’obiettivo di tutelare i clienti da queste truffe che stanno assumendo dimensioni sempre più estese. Da esperto in materia, lei ben sa che il phishing e le altre frodi informatiche riguardano tutto il settore bancario e non solo BNL, interessando, a livello globale, molti operatori, anche quelli non bancari.
Al fine di rappresentare ancora meglio il nostro operato ed il livello di attenzione prestato al fenomeno, ci preme fornirle alcune delucidazioni che, ci auguriamo, possano essere poste in opportuna evidenza. BNL esegue un monitoraggio continuo dei siti “fake” per mezzo dei quali viene eseguito il phishing; azione – come noto – utilizzata per carpire le credenziali di accesso. Non appena individuati, ne viene sistematicamente richiesta la disattivazione, come avvenuto nel caso da lei descritto. I tempi necessari per eseguire tale azione dipendono però non soltanto dalla nostra tempestività ma, soprattutto, anche dalla disponibilità degli Internet provider che in alcune nazioni estere non sono sempre pronti ad intervenire immediatamente. Proprio per questa ragione allertiamo i nostri clienti dei pericoli del phishing e spieghiamo loro, attraverso continue campagne informative e di sensibilizzazione, che in nessun caso le credenziali di autenticazione (codice utente, PIN etc.) devono essere digitate su link ricevuti via SMS o via mail. Del resto anche il suo articolo evidenzia chiaramente come tutti quanti i più comuni browser indicassero il sito “fake” citato come assolutamente non affidabile. Addirittura, per darle la misura di quanto sia difficile trasmettere la cultura della sicurezza, abbiamo rilevato che, in alcuni casi, sono state fornite le proprie credenziali a siti fake contenenti il marchio di altri istituti di credito senza neanche rendersi conto che si trattava di una banca diversa dalla propria.
Ci auguriamo che le nostre delucidazioni la possano aiutare nel comprendere l’impegno costante che la Banca spende per contrastare il fenomeno delle frodi e apprezziamo il supporto di chi fa una corretta ed obiettiva informazione.
Cordiali saluti
BNL Media Relations
Risponde Umberto Rapetto, direttore editoriale di Infosec News
Nessuno ha mai messo in dubbio l’impegno di BNL o di altre realtà alle prese con il phishing o con altre dinamiche fraudolente, ma – a voler fare una citazione deliberatamente non dotta e a tirare in ballo Morandi, Ruggeri e Tozzi – sono fermamente convinto del ritrito “Si può fare di più”.
Gli utenti – come i bambini – hanno diritto di sbagliare e pagano amaramente le conseguenze dei loro errori. I loro errori sono frutto della mancanza di cultura digitale, della latenza di consapevolezza, dello scarso peso che l’intera collettività attribuisce alla sicurezza.
In un periodo in cui (complice il coronavirus) ci si lava continuamente le mani, mi sembra riduttivo il dichiarare l’aver genericamente messo in guardia la clientela a proposito di un determinato rischio. Proprio la conclamata incapacità dell’utente-medio avrebbe dovuto insegnare che certe raccomandazioni non puntuali non perseguono il risultato auspicato.
Sono dell’avviso che l’allerta dovrebbe essere contestualizzata e particolareggiata, così da fornire riferimenti non eventuali ma calati nella realtà del diretto interessato. Avvertire di un pericolo che ci riguarda (anche se ovviamente non addebitabile alla propria organizzazione) non è manifestazione di debolezza ma la schietta dimostrazione di attenzione e cura nei riguardi della clientela.
Occupandomi a tempo pieno di fenomeni criminali hi-tech dal 1986, mi permetto di regalarvi un suggerimento procedurale.
La difficoltà di “spegnere” un sito web pericoloso che si trova all’estero è evidente, ma non è certo una novità.
Le pagine che consultiamo online sono raggiungibili attraverso meccanismi tutt’altro che misteriosi. Quando si digita un indirizzo, questo viene “tradotto” o interpretato dagli apparati di chi fornisce la connessione ad Internet. Proprio quei provider (che dalle nostre parti sono ragionevolmente italiani e facilmente individuabili) sono in grado di bloccare le “destinazioni” insidiose.
Siccome il phishing è un fenomeno che infesta la Rete e la corrispondenza elettronica da quasi un quarto di secolo, credo non sia mancato il tempo per redigere procedure di “emergenza” per contrastare la minaccia e per ridurre i danni. Leggi, norme, accordi, protocolli di intesa e chissà quanti altri strumenti potrebbero codificare la dinamica di segnalazione ai provider e ottenere con estrema rapidità l’isolamento delle pagine e dei siti che costituiscono una minaccia.
Non c’è bisogno di chiudere un sito, ma basta renderlo “non raggiungibile”. Non basta parlare di “pericolo”, ma occorre allarmare la gente proprio su “quel pericolo”.
Succederà, probabilmente, il giorno in cui gli istituti di credito comprenderanno che la “sicurezza” è un servizio e non un accessorio. Forse verrà il momento in cui il correntista preferirà la sicurezza all’agenda, al calendario, alla biro o al bloc notes con il marchio della propria banca, e sceglierà a chi rivolgersi proprio sulla base di questo requisito.