Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/sim-swapping-cresce-l-allarme-ecco-perche-e-pericoloso-e-quali-contromisure-adottare_104742.html

L'FBI lancia l'allarme, ma la minaccia esiste anche in Europa e la polizia spagnola ha appena sgominato un'organizzazione criminale impegnata in questo tipo di attacchi. Ecco di che si tratta

Click sul link per visualizzare la notizia.

La miglior difesa non esiste in caso di negozianti collusi con i malviventi. Secondo me la verifica quotidiana del saldo e del funzionamento della sim, può già bastare. In ogni caso se sostituiscono la sim, la maggior parte delle volte smette di funzionare dalle 24. La mia app bancaria richiede un codice di verifica ottenibile solo tramite call center negli orari previsti ogni volta che cambio telefono e la reinstallo, e già questo dovrebbe garantire una maggiore sicurezza

Quindi l'articolo sta dicendo semplicemente che l'autenticazione a due fattori fatta con il cellulare fa schifo e se uno è così ingenuo da metterci tutti i propri soldi con a guardia l'autenticazione a due fattori basata su SIM ovvero basata su cellulare allora deve affrontare "una vera e propria corsa contro il tempo difficile da vincere.".

Anche perché un attaccante ha gioco facile ad entrare nel nostro cellulare, quindi impossessarsi solo di dati quali le nostre credenziali di accesso al conto corrente (che abbiamo sul cellulare, il nostro nome e cognome che è sicuramente sul cellulare, il nostro numero di telefono, i dati della nostra carta di identità che sicuramente sono sul nostro cellulare (data di nascita, luogo, residenza, ovvero codice fiscale).

Con i solo dati (che sono numeri e lettere), l'attaccante fa lo SIM Swap e ci frega i soldi del conto corrente, tutti e subito. I soldi di una vita andati in fumo solo perché il "cellulare è tanto comodo". Alla faccia...!

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

non è che non era considerato più sicuro è che con il token fisico (che anche io preferisco) non c'era la correlazione con l'identità dell'utente cosa che secondo chi ha scritto la legge c'è maggiormente con un app sul cellulare

La miglior difesa non esiste in caso di negozianti collusi con i malviventi. Secondo me la verifica quotidiana del saldo e del funzionamento della sim, può già bastare. In ogni caso se sostituiscono la sim, la maggior parte delle volte smette di funzionare dalle 24. La mia app bancaria richiede un codice di verifica ottenibile solo tramite call center negli orari previsti ogni volta che cambio telefono e la reinstallo, e già questo dovrebbe garantire una maggiore sicurezza

la migliore difesa sarebbe imho ritardare la procedura di cambio sim di ad esempio 24h con sms sulla vecchia sim di richiesta di cambio e possibilità di blocco ma purtroppo in questo modo se uno ad esempio perde il telefono impiega un giorno in più a tornare operativo

In ogni caso la mia banca permette di annullare i bonifici entro le 19, per cui...certo che se non ti funziona la sim e non ti fai delle domande...

Il problema non è solo l'autenticazione a 2 fattori, ma anche il funzionamento tipico del "recupera password" che si appoggia molto spesso al solo fattore telefonico.

non è che non era considerato più sicuro è che con il token fisico (che anche io preferisco) non c'era la correlazione con l'identità dell'utente cosa che secondo chi ha scritto la legge c'è maggiormente con un app sul cellulare


Quindi un dispositivo che tengo (tenevo) sempre nel cassetto è meno sicuro di uno che bene o male ho sempre con me.
Tra l'altro, il mio token chiedeva di inserire il bancomat, il PIN del bancomat e poi generava una coppia di codici in risposta a quella richiesta dall'operazione online... A me pareva sicuro :boh:

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

Perché la maggior parte della gente conservava il token fisico insieme a un foglio con scritto username e password.

Il numero degli accessi illeciti dovuti a questo tipo di conservazione aveva raggiunto livelli devastanti e quindi han dovuto trovare altro.

Quindi un dispositivo che tengo (tenevo) sempre nel cassetto è meno sicuro di uno che bene o male ho sempre con me.
Tra l'altro, il mio token chiedeva di inserire il bancomat, il PIN del bancomat e poi generava una coppia di codici in risposta a quella richiesta dall'operazione online... A me pareva sicuro :boh:

La "calcolatrice" di Bancoposta? Era una ottima soluzione. Comunque è falso quel che è stato detto riguardo il fatto che il token non è legato alla persona. Diverse banche attualmente danno il token legato alla persona e applicano il SMS come terzo fattore di autenticazione.

Riassumendo: credenziali per accedere al conto, token fisico e EMS per confermare l'operazione.

Ricordo a un commentatore qui sopra che esistono i bonifici istantanei e che le banche li stanno implementando. Questo significa che dopo un minuto tutti i propri soldi sono sul conto corrente dell'attaccante il quale può prelevarli. Quindi non è più annullabile un bonifico istantaneo.

Perché la maggior parte della gente conservava il token fisico insieme a un foglio con scritto username e password.

Il numero degli accessi illeciti dovuti a questo tipo di conservazione aveva raggiunto livelli devastanti e quindi han dovuto trovare altro.

Quindi è falso che il sistema attuale è più sicuro di quello vecchio ed è vero che è più sicuro solo per quegli utenti che conservano il PIN del token insieme al token fisico.

Diciamo le cose come stanno perché poi i soldi di una vita sono i miei e non di quelli che mettono il fogliettino insieme al token.

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

Come ha detto Darkon (penso sia vero) il token fisico è enormemente più sicuro ma è stato tolto perché si voleva agevolare gli utenti che conservano il PIN insieme al token fisico.

Poi diverse banche forniscono su richiesta il token fisico, basta informarsi e chiedere. Io ho scelto la mia banca sulla base del fatto che mi fornisse il token fisico altrimenti avrei scelto un'altra banca.

Quindi è falso che il sistema attuale è più sicuro di quello vecchio ed è vero che è più sicuro solo per quegli utenti che conservano il PIN del token insieme al token fisico.

Non è proprio così semplice. Stabilire qual è più sicuro non è così linearare. Ad esempio è molto più semplice fare un sim swap che intercettare una notifica in app. Quindi avere l'app che ti fa da chiave con un codice biometrico di sblocco è molto sicuro.
Allo stesso tempo se non blocchi mai il telefono, usi un pin banale e hai tante info salvate in chiaro puoi avere tutte le sicurezza di questo mondo ma le rendi inefficaci.

Diciamo che ad oggi il truffatore medio difficilmente si sbatte con complesse tecniche di hacking dato che spessissimo riescono a farsi dare le credenziali direttamente dalle persone spacciandosi per "antitruffa" ad esempio.

La miglior difesa non esiste in caso di negozianti collusi con i malviventi.

Essite la possibilità che dici ma esiste anche la possibilità (penso la più usata) che il malvivente si faccia un Carta di Identità falsa on line (molti siti la offrono a bassi prezzi) con i dati che l'attaccante preleva dal proprio cellulare infettato.

Con la C.I. l'attaccante va in un negozio Vodafono e si fa fare la nuova SIM dell'utente ingenuo che ha tutti i propri soldi sul cellulare e glieli preleva con un bonifico istantaneo.

Non è proprio così semplice. Stabilire qual è più sicuro non è così linearare. Ad esempio è molto più semplice fare un sim swap che intercettare una notifica in app. Quindi avere l'app che ti fa da chiave con un codice biometrico di sblocco è molto sicuro.
Allo stesso tempo se non blocchi mai il telefono, usi un pin banale e hai tante info salvate in chiaro puoi avere tutte le sicurezza di questo mondo ma le rendi inefficaci.

Diciamo che ad oggi il truffatore medio difficilmente si sbatte con complesse tecniche di hacking dato che spessissimo riescono a farsi dare le credenziali direttamente dalle persone spacciandosi per "antitruffa" ad esempio.

Ok, la app che genera la OTP con autenticazione biometrica ha un suo livello di sicurezza, Ok anche che l'attaccante medio ha vita facile e non necessita di tecniche di hacking per ottenere quello che può fare con tecniche di social engineering. Ma io non affiderei tutti i miei soldi a queste certezze che tu esprimi.

C'è ragionevolmente quella percentuale di malfattori che applica tecniche evolute e in tal caso ne sarebbe notevolmente gratificato con un bel bottino. Ricordo che nei conti correnti c'è pure chi ha i soldi per comprarsi casa, non ci sono solo conti in rosso.

Sicuramente se devono sbattersi il gioco deve valere la candela, non mettono su un casino per 10000 euro sul conto corrente. Anzi ultimamente si sente di gente che comunica per telefono i codici a sedicenti operatori bancari, senza neanche scomodare i sim swapping. Se sei un p1rla e hai tanti soldi, il problema sei tu, non le misure di sicurezza.

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

I vecchi token TOTP (quelli time based per capirci, non gli OTP veri e propri), se intercettati potevano essere riusati più volte nell'ambito della finestra temporale di validità.

Comunque non sono un fan delle app bancarie. La app della mia banca (ING) p.e. consente di fare operazioni con la sola impronta digitale. Questo significa che se uno prende il controllo del mio telefono (anche da remoto), può impersonare me.
Avrei preferito che ci fosse anche un PIN (tipo quello per l'accesso da web, ma con un codice diverso).

Certo le app bancarie non soffrono del problema dello sim swapping, né del problema degli TOTP di cui sopra.

Certo le app bancarie non soffrono del problema dello sim swapping, né del problema degli TOTP di cui sopra.

Con la SIM puoi portare tutta la baracca costruita dalla banca su un nuovo telefono, quello dell'attaccante.

Ti bastano solo le informazioni che sono facilmente disponibili se ha una app infetta nel cellulare: numero di telefono e altri dati personali oltre alle credenziali della banca.

No, se cambi sim e telefono dopo la reinstallazione su un nuovo telefono l'app ti chiede un codice univoco che solo il call center può dare, solo per la prima installazione.
Credem fa così

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

semplicemente perchè costava alle banche. Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.

Però l'sms lo paghi tu e il cellulare ce lo metti tu :sofico: quindi a posto così

Però non capisco, anche se hai la sim e quindi il numero di telefono, non serve anche username e password prima? E' una doppia autenticazione appunto. L'SMS è il secondo livello, ma il primo?

In pratica devono rubarti tutto.

semplicemente perchè costava alle banche. Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.

Però l'sms lo paghi tu e il cellulare ce lo metti tu :sofico: quindi a posto così
Non è vero, sono passato a da Vodafone a Fastweb 1 mese fà, ora sto passando a Ho-Mobile (solamente per questione di costi, da 14€ di vodafone a 5,99 di Ho...) e sia Fastweb che Ho durante l'attivazione, ti chiedono ovviamente il Seriale della vecchia Sim, il numero di telefono e ti mandano un SMS sul vecchio numero con un PIN da inserire e DOPO avviene lo sim Swapping.
Fra le altre cose, 3 gg prima ti arriva un sms dicendo che tra 3 giorni sarà effettuato lo sim Swapping.

Questo è il metodo italiano, in altri stati, boh.

semplicemente perchè costava alle banche.

Il token costa praticamente niente. Perché volete alimentare leggende infondate?!
A conti fatti alla maggior parte delle banche costa di più mantenere una app aggiornata che non il token che era elettronica di bassissimo costo e non richiedeva alcun aggiornamento.

Il resto sono tutte BALLE o comportamenti facilmente correggibili lato utente, mentre invece contro il sim swapping non puoi fare NIENTE.


Seh... guarda vieni in filiale. Voglio proprio vedere i "comportamenti facilmente correggibili".
Ad oggi ci sono ancora quelli che cadono nella truffa del principe nigeriano che ha scelto te, emerito sconosciuto, per portare in Italia 50 milioni ma ha bisogno che gli fai un bonifico per sbloccare i soldi. Ah ovviamente in cambio dei tuoi spicci per sbloccare i soldi ti lascia una stecca milionaria.
Ti posso assicurare che a tutt'oggi continuano a partire fior di bonifici perché ci credono.

E te vorresti farmi credere che puoi correggere i comportamenti?

Ho visto gente che messa a sedere con davanti carabinieri e polizia postale che la invitavano a fare denuncia perché erano CHIARAMENTE vittima di una truffa si rifiutavano di crederci dicendo che le forze dell'ordine volevano sostituirsi nell'affare col principe nigeriano.

L'utente NON lo pieghi. Il motivo per cui le banche cercano sistemi "secure by design" è proprio perché l'utente non lo pieghi in nessun modo. Puoi metterlo anche di fronte all'evidenza e continuerà a credere in quello che vuole.

Però l'sms lo paghi tu e il cellulare ce lo metti tu :sofico: quindi a posto così

L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

ma il sim swapping non si potrebbe evitare obbligando l'utilizzo del codice puk della prima sim associata al numero? quello dovrebbe stare nel cassetto ed è difficile da intercettare dagli attaccanti.
o comunque bisognerebbe adottare un codice segreto di migrazione che solo il legittimo proprietario può avere.
qualcosa simile a quello che si usa per le utenze domestiche.

Il token costa praticamente niente. Perché volete alimentare leggende infondate?!
A conti fatti alla maggior parte delle banche costa di più mantenere una app aggiornata che non il token che era elettronica di bassissimo costo e non richiedeva alcun aggiornamento.



Seh... guarda vieni in filiale. Voglio proprio vedere i "comportamenti facilmente correggibili".
Ad oggi ci sono ancora quelli che cadono nella truffa del principe nigeriano che ha scelto te, emerito sconosciuto, per portare in Italia 50 milioni ma ha bisogno che gli fai un bonifico per sbloccare i soldi. Ah ovviamente in cambio dei tuoi spicci per sbloccare i soldi ti lascia una stecca milionaria.
Ti posso assicurare che a tutt'oggi continuano a partire fior di bonifici perché ci credono.

E te vorresti farmi credere che puoi correggere i comportamenti?

Ho visto gente che messa a sedere con davanti carabinieri e polizia postale che la invitavano a fare denuncia perché erano CHIARAMENTE vittima di una truffa si rifiutavano di crederci dicendo che le forze dell'ordine volevano sostituirsi nell'affare col principe nigeriano.

L'utente NON lo pieghi. Il motivo per cui le banche cercano sistemi "secure by design" è proprio perché l'utente non lo pieghi in nessun modo. Puoi metterlo anche di fronte all'evidenza e continuerà a credere in quello che vuole.



L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

Il "livello sicurezza" concepito dalla maggior parte delle persone comuni te lo riassumo così: Settimana scorsa cambio di bancomat non funzionante a cliente. Sul Bancomat numero scritto con pennarello indelebile.
Chiedo: scusi, non è il PIN, vero?
"Certo che è il pin, mi sono stancato di tenerlo in foglietti che poi perdo e devo richiedervelo, almeno quando mi serve il bancomat lo ho sempre sottomano!"

Ah, per la cronaca, credete mica sia un caso unico e isolato vero? :muro: :muro: :muro:

I vecchi token TOTP (quelli time based per capirci, non gli OTP veri e propri), se intercettati potevano essere riusati più volte nell'ambito della finestra temporale di validità.


Esatto, questa è la "spiegazione ufficiale" della autenticazione a due fattori e della unicità dell'operazione (con inoltre la transazione che non può essere più "dirottata" fraudolentemente verso un altro beneficiario) che sono state imposte per i pagamenti bancari dalla direttiva europea PSD2.

Va detto, però, che la PSD2 non ha imposto l'abolizione del token fisico (che infatti credo alcune banche conservino, almeno come opzione, quale uno degli almeno due fattori di autenticazione indispensabili).

Se i token fisici sono spariti è certamente perchè alle banche non conviene avere un parco di decine di migliaia di token da gestire (da anagrafare, sostituire in caso di malfunzionamento o furto, rinnovare come modello se necessario ecc.) rispetto alla semplicità di far scaricare dai clienti una applicazione, la app, facilmente aggiornabile in modo centralizzato.
E su un dispositivo fisico, lo smartphone, totalmente a carico del cliente.
Se no, le banche si sarebbero tutte tenuti i token fisici ...

La mia banca UniCredit non fa installare la sua app su un altro tel se non viene disistallata/autorizzata sul vecchio dispositivo oltre a mandare notifiche e non sms. Ma voglio credere che ormai siano tutte così.

Per quelli che dicono che la propria banca o la compagnia telefonica non fa fare il cambio di SIM se non si ha la vecchia SIM (o non si riceve un SMS sulla vecchia SIM) oppure se non si ha la vecchia app o cose analoghe ricordo che i cellulari si perdono molto frequentemente e spesso non si ritrovano per cui migliaia di persone o centinaia di migliaia hanno bisogno di avere una SIM nuova con il vecchio numero di telefono Senza avere alcuna SIM (vecchia) oppure hanno bisogno di una app nuova o il codice per l'app che da l'OTP nuova perché se perdono il telefono perdono pure la SIM.

Quindi tutta la baracca (compresa la telefonata alla banca) è basata sulla SIM nuova perché tutto quello che è vecchio è andato perso. Questo sia se la cosa è vera e sia se è una truffa.

Se gli attaccanti hanno la SIM nuova con il vecchio numero di telefono (in rete si trova la lista di 30 milioni di italiani registrati su Facebook o in alternativa milioni di computer italiani sono infettati da virus: in vostro cellulare è sicuro?), una carta di identità valida (per la maggior parte delle persone), allora possono fare quel che vogliono compreso fare una telefonata al call center, compreso installare la nuova app della banca e compreso avere l'app per l'OTP funzionante. Tutto questo lo fa l'attaccante ma anche la persona onesta che perde il telefono.

È per questo motivo che molti anni fa quando sono andato in un luogo di villeggiatura in banca a ritirare del contante ho avuto serie difficoltà e hanno fatto molti controlli prima di darmi i soldi. Avevo pure il PIN del bancomata che ho dovuto digitare in banca per essere sicuri che IO fossi IO.

Adesso invece tutta la sicurezza è affidata a un stagista del negozietto di telefonia cui io mostro una C.I. (magari comprata su Internet per 50 euro) e lui mi fa la SIM swap e con quella e un po' di dati personali io posso prelevare tutti i soldi dal conto corrente.

Ricordo che su Internet ci sono valanghe di dati personali venduti a pagamento perché la gente non ha nulla da nascondere e perché non c'è nessuna cultura della sicurezza informatica e del cercare di non prendersi virus.

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:
Ci sono i nuovi generatori di token, con una piccola tastiera, che sono considerati sicuri.
(per generare il token, devi battere un pin di 5 cifre)

Se lo chiedi alla banca te lo danno.
Anche perche' nessuna legge ti obbliga a possedere uno smartphone.

Per quelli che dicono che la propria banca o la compagnia telefonica non fa fare il cambio di SIM se non si ha la vecchia SIM (o non si riceve un SMS sulla vecchia SIM) oppure se non si ha la vecchia app o cose analoghe ricordo che i cellulari si perdono molto frequentemente e spesso non si ritrovano per cui migliaia di persone o centinaia di migliaia hanno bisogno di avere una SIM nuova con il vecchio numero di telefono Senza avere alcuna SIM (vecchia) oppure hanno bisogno di una app nuova o il codice per l'app che da l'OTP nuova perché se perdono il telefono perdono pure la SIM.

Quindi tutta la baracca (compresa la telefonata alla banca) è basata sulla SIM nuova perché tutto quello che è vecchio è andato perso. Questo sia se la cosa è vera e sia se è una truffa.

Se gli attaccanti hanno la SIM nuova con il vecchio numero di telefono (in rete si trova la lista di 30 milioni di italiani registrati su Facebook o in alternativa milioni di computer italiani sono infettati da virus: in vostro cellulare è sicuro?), una carta di identità valida (per la maggior parte delle persone), allora possono fare quel che vogliono compreso fare una telefonata al call center, compreso installare la nuova app della banca e compreso avere l'app per l'OTP funzionante. Tutto questo lo fa l'attaccante ma anche la persona onesta che perde il telefono.

È per questo motivo che molti anni fa quando sono andato in un luogo di villeggiatura in banca a ritirare del contante ho avuto serie difficoltà e hanno fatto molti controlli prima di darmi i soldi. Avevo pure il PIN del bancomata che ho dovuto digitare in banca per essere sicuri che IO fossi IO.

Adesso invece tutta la sicurezza è affidata a un stagista del negozietto di telefonia cui io mostro una C.I. (magari comprata su Internet per 50 euro) e lui mi fa la SIM swap e con quella e un po' di dati personali io posso prelevare tutti i soldi dal conto corrente.

Ricordo che su Internet ci sono valanghe di dati personali venduti a pagamento perché la gente non ha nulla da nascondere e perché non c'è nessuna cultura della sicurezza informatica e del cercare di non prendersi virus.

Premettendo che nulla è impenetrabile, ma sono deterrenti che è indubbiamente piu sicuro averli che non averli, nel mio specifico caso se perdo il telefono e faccio una nuova sim con il vecchio numero, devo obbligatoriamente andare di persona alla banca con i documenti. Poi se si presenta il mio sosia con documenti falsi, AMEN

Il token (offline) per accedere all'home banking non era più considerato sicuro perché, esattamente...? :mbe:

Da quel che ricordo il problema sta nel fatto che non essendo possibile aggiornare l'algoritmo, se non sostituendo periodicamente il prodotto fisico si teme che prima o poi la cifratura possa essere bucata, mentre l'app appunto può essere aggiornata da remoto con costi minimi.

Anche se in effetti la cosa mi ha sempre lasciato perplesso... possibile che con tutti i trojan telefoni che non ricevono patch di sicurezza da anni ecc.. che circolano nel mondo l'app per smartphone sia più sicura?


Però non capisco, anche se hai la sim e quindi il numero di telefono, non serve anche username e password prima? E' una doppia autenticazione appunto. L'SMS è il secondo livello, ma il primo?

In pratica devono rubarti tutto.

Dovrebbe essere come dici tu, ma qui scatta la cosidetta "ingegneria sociale (https://it.wikipedia.org/wiki/Ingegneria_sociale)" che poi anche solo per fare il sim swap non basta avere il numero di telefono


Ci sono i nuovi generatori di token, con una piccola tastiera, che sono considerati sicuri.
(per generare il token, devi battere un pin di 5 cifre)

Credo che siano considerati non sicuri come i vecchi, tanto che come tu stesso dici li danno solo su richiesta, proprio perché non possono obbligare i clienti ad avere uno smartphone, cercando comunque di fare in modo che finiscano a meno persone possibili.

L'sms OTP che io sappia nessuna banca lo fa pagare all'utente e comunque anche l'SMS è un sistema ormai in graduale dismissione a favore della notifica in app che non puoi intercettare nemmeno con il sim swapping.

si paga si paga ;)

Lo fanno pagare così scegli l'app che è gratis (non tutte le banche però).

Comunque il problema dell'autenticazione su cellulare si potrebbe risolvere attivando dalla banca un blocco temporaneo dell'account online riattivabile successivamente dall'utente recandosi ad un bancomat ad esempio o in fisicamente in filiale. In fondo è a tutela del proprio conto, avere un paio di giorni offline non è la fine del mondo. Si usano le gambine e si tornano a fare i bonifici dalla banca (se proprio servisse :doh: ). Però se ti clonano la carta il problema potrebbe restare anche successivamente (sempre che la sim nuova non venisse spedita direttamente dal provider a mezzo raccomandata tracciabile).

Per superare il problema, per chi ha la linea telefonica a casa, si potrebbe dare la possibilità di attivare una autenticazione a tre fattori con un metà del codice numerico dettato al telefono. Metà via sms, metà tramite telefono di casa. Da usare per le sole operazioni che superino una certa soglia o modifiche dell'area clienti.

C'è una bella differenza tra fare un bonifico di 300 euro e uno di 3000 euro o di più. Avere qualche restrizione in più penso possa solo fare felici gli utenti. Chi non vuole può benissimo usare il sistema tradizionale.

Con le Poste, a causa di problemi di sicurezza, da un po' di tempo richiedono (anche con le carte prepagate) oltre all'sms OTP, anche l'autenticazione con la password dell'area clienti. Ecco questa io la trovo una puttanata perché se la dovessi perdere o qualcuno dovesse sniffare quella password avrebbe accesso all'intera area clienti. Io avrei fatto delle password create nell'area clienti da cambiare ogni 3 mesi (un po' come si fa con yahoo che permette di creare password dedicate per i client di posta). In questo modo l'accesso all'area clienti resta sicuro. Un po' come faceva Ubi, poi Bper con il codice Key6.

Gli accessi all'area Master dovrebbero essere blindatissimi e scomodi (zona modifiche importanti, massimali, anagrafica, operazioni corpose), mentre la zona d'uso comune potrebbe avere accessi più tradizionali.

Questo è il prezzo da pagare per fare tutto a casa, in mobilità e in autonomia. E non è che i canoni annuali siano poi così bassi; forse era meglio prima dove la vera autenticazione era l'utente reale che si recava in banca, conosciuto fisicamente dal bancario presente in filiale.