Home Banking: addio alle chiavette ''token'' dal 14 settembre. Ecco cosa fare e cosa cambia

Home Banking: addio alle chiavette ''token'' dal 14 settembre. Ecco cosa fare e cosa cambia

Dal prossimo 14 settembre non sarà più possibile utilizzare le cosiddette chiavette "token" per accedere ai vari servizi di home banking. Le banche dovranno implementare la direttiva PSD2 che impone sistemi più sicuri di autenticazione. Ecco cosa cambierà.

di pubblicata il , alle 14:01 nel canale Sicurezza
PSD2
 

Dal 14 settembre cambia tutto nella gestione dei pagamenti digitali: la chiavetta ossia la cosiddetta "token" va in pensione a favore di un sistema di codici che, via smartphone, garantiscono immediato riscontro tra banca e cliente in ogni operazione. Entra cioè nel vivo la Direttiva europea per i pagamenti elettronici nota come PSD2 (Payment Services Directive 2) che disciplina i pagamenti digitali garantendo maggior sicurezza e trasparenza dei movimenti.

Token addio: ecco come funzionerà l'accesso in futuro

La nuova direttiva europea sui pagamenti digitali non fa altro che imporre alle banche delle misure di sicurezza più "importanti" affinché si possano proteggere in modo migliore le transizioni realizzate proprio con dispositivi elettronici. Niente più chiavetta "Token" che fino ad oggi era stata utilizzata per accedere ai server della banca. Il suo funzionamento è ormai conosciuto e la chiavetta non faceva altro che generare automaticamente e continuamente i codici necessari per autorizzare qualsiasi tipo di operazione.

Perché allora mandarla in pensione? Il problema del "Token" era quello di non poter associare con certezza un singolo codice ad una specifica operazione. Questo faceva mancare un requisito fondamentale ossia la tracciabilità del denaro. Tutto un mero ricordo perché con i nuovi sistemi di PSD2 si avrà un nuovo concetto di banca digitale.

Dal 14 settembre per accedere e operare sul portale della propria banca online, autenticarsi e autorizzare operazioni dovrà essere fatto tutto attraverso lo smartphone. Entrerà infatti in vigore la SCA (Strong Customer Authentication), autenticazione forte che richiede per tutti i pagamenti online l'autorizzazione con almeno 2 elementi di autenticazione a scelta fra 3 opzioni:

  • un oggetto che possiede solo il cliente (lo smartphone);
  • una caratteristica che possiede solo il cliente (l’impronta digitale o un altro fattore biometrico);
  • un’informazione nota solo al cliente (una password).

In questo modo le transazioni non potranno più essere autorizzate solo inserendo un numero di carta di credito (nemmeno se accompagnato dal codice di verifica CVV riportato sul retro), oppure riportando il codice generato dai token che negli ultimi anni le banche hanno distribuito ai clienti per aumentare la sicurezza delle transazioni. Nemmeno con i “numeri segreti” contenuti nelle “carte-codice” adottate da altre banche. Gli istituti bancari europei avranno l’obbligo di rifiutare le richieste di transazione non autorizzate secondo lo standard SCA.

Banche: come adotteranno il cambiamento?

Un vero e proprio calendario non è presente. Ogni banca segue la propria volontà sulle scadenze dei sistemi. Intesa SanPaolo ha già detto addio alla chiavetta Token dall’estate scorsa e lo stesso è accaduto con Unicredit che ha reso disponibile una nuova modalità di accesso e di validazione delle operazioni dispositive tramite strumenti che generano password "usa e getta". Banca Sella sfrutta le funzionalità biometriche dei nuovi smartphone come il Touch ID o il Face ID per accedere al proprio conto online e stessa cosa è avvenuta con i clienti della Banca Monte dei Paschi di Siena. Anche Banca Medionalum si è mossa aggiungendo oltre al codice cliente e al primo codice segreto, un ulteriore codice Otp che il correntista riceve via SMS.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

99 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Dumah Brazorf13 Settembre 2019, 14:13 #1
Da quel che ho letto il token è ancora buono per la sola lettura dell'estratto conto.
fraussantin13 Settembre 2019, 15:00 #2
Proprio una manovra per la sicurezza...

Un token offline chiuso in cassaforte , è meno sicuro di uno smartphone ultrabuggato e spesso non aggiornato che riceve messaggi in chiaro leggibili da una miriade di app.


Sì sì siamo al sicuro.
Haran Banjo13 Settembre 2019, 15:03 #3
SUPERQUOTONE PER FRAUSSANTIN!
VanCleef13 Settembre 2019, 15:12 #4
mi associo alla critica di fraussantin!

Si passa ad una minore sicurezza per uno standard...
[?]13 Settembre 2019, 15:14 #5
Non mi torna l'articolo...

Il Token non va in disuso, semplicemente viene affiancato da password o altro e cosi ha fatto Unicredit.
Da quello che lasciate intendere sembra che lo si debba buttare.
BlackFrog13 Settembre 2019, 15:16 #6
Come se poi l'intero contenuto del proprio smartphone non fosse accessibile alle app di sistema del SO...
In più qualcuno offre anche il salvataggio sul cloud dei propri documenti bancari...
Hai voglia di tenere riservati i dati...
fraussantin13 Settembre 2019, 15:17 #7
Originariamente inviato da: [?]
Non mi torna l'articolo...

Il Token non va in disuso, semplicemente viene affiancato da password o altro e cosi ha fatto Unicredit.
Da quello che lasciate intendere sembra che lo si debba buttare.


Lavoro con 2 banche , Unicredit ha lasciato il token per le aziende abbinato ad un numero inviato a display ( tipo chapcha ma in chiaro) .e per i privati fa usare l'app di autenticazione ( sicuramente più sicura degli SMS)

Mps solo SMS per tutto anche bonifici. Sto seriamente pensando di cambiare banca.
VanCleef13 Settembre 2019, 15:17 #8
Originariamente inviato da: [?]
Non mi torna l'articolo...

Il Token non va in disuso, semplicemente viene affiancato da password o altro e cosi ha fatto Unicredit.
Da quello che lasciate intendere sembra che lo si debba buttare.


La mia banca l'ha proprio buttato.
Ora sia per accedere all'inbanking, sia per fare operazioni sul conto (bonifici...) mi arriva un sms.
moroboshy13 Settembre 2019, 15:20 #9
Secondo me non funziona esattamente come riportato nell'articolo.
Sono cliente Unicredit e di recente è cambiato il metodo di autenticazione per accedere all'Home Banking:
prima: codice cliente + pin
adesso: codice cliente + pin + codice token (con la chiavetta fisica).
Per eseguire operazioni:
prima: codice token (con la chiavetta fisica)
adesso: pin + codice token (con la chiavetta fisica) + codice di convalida generato dal portale.
nebuk13 Settembre 2019, 15:20 #10
Originariamente inviato da: fraussantin
Proprio una manovra per la sicurezza...

Un token offline chiuso in cassaforte , è meno sicuro di uno smartphone ultrabuggato e spesso non aggiornato che riceve messaggi in chiaro leggibili da una miriade di app.


Sì sì siamo al sicuro.


Ma infatti fra le righe l'articolo dice che il problema del vecchio metodo era la non tracciabilità del denaro, temo che la sicurezza del denaro dei consumatori interessi poco all'UE

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^