Tecnologia

Truffa sim swap, ormai viene da pensare che la sicurezza dei risparmiatori sia un tabù

Il negazionismo va di moda. C’è chi nega lo sbarco sulla Luna, chi insiste a dire che la Shoah è tutta un’invenzione, e poi ci sono quelli che – con eguale determinata convinzione – si ostinano ad asserire che le truffe bancarie non ci sono oppure – come mi è capitato di leggere anche sul Fatto – riportando statistiche sulle truffe sui conti online con rassicuranti valori di impercettibili percentuali millesimali.

A leggere la replica piccata alla questione della “Sim swap scam”, la truffa bancaria basata sulla fraudolenta sostituzione della Sim telefonica del correntista, viene da pensare che ogni riflessione sulla sicurezza dei risparmiatori sia tabù. Poi si va a constatare che frequentiamo tutti (almeno molti) la stessa gente, perché siamo amici o conoscenti di qualcuno che appartiene all’esiguo novero di “bidonati” che rientra in quello zero virgola zero zero qualcosa di sfortunati e fallaci utilizzatori delle tecnologie più elementari. Fallaci, eh già, perché qualche imprudenza c’è ancora chi la commette – a dispetto della pioggia di raccomandazioni che scrosciano da tempo per invitare alla cautela.

Chi ama instillare un pesante senso di colpa sugli utenti, fino a criminalizzarne i comportamenti “leggeri”, dovrebbe invece cominciare a pensare se davvero ha fatto tutto il possibile per evitare situazioni incresciose. Soprattutto se, conoscendo i malvezzi di parecchi correntisti online, ha immaginato contromisure che riescano a tutelare i più sprovveduti. La migrazione alle app e la concentrazione nel medesimo oggetto – sia fatto salvo a chi ha ruoli istituzionali il diritto di pensarla diversamente – danno l’impressione non solo di non aver risolto i tanti problemi esistenti, ma di averne addirittura generati altri (come la cronaca e la “letteratura non allineata” evidenziano).

Perché adoperare il telefonino invece del generatore di codici? Non bastava il token che già dava una doppia autenticazione, sottolineata – con evidenza lampante di tutti – dalla separazione fisica dei due strumenti (computer e key generator) nel rispetto di una sorta di materiale “segregation duty”, ovvero di ripartizione dei compiti tra gli elementi utilizzati per compiere operazioni delicate?

Le domande del quisque de populo sono come le ciliege: una tira l’altra. Viene da chiedersi, ad esempio, per quale ragione l’utente dovrebbe preferire una app a un accesso via web. I più malvagi corrono a pensare che lo smartphone sia più trasparente di un personal computer. Qualcuno aggiunge che gli utilizzatori dei telefonini intelligenti sono sempre più smaniosi di fare in fretta di altri soggetti che si muovono con lentezza digitando alla tastiera o trascinando un mouse da un angolo all’altro dello schermo. Chi procede con eccessiva speditezza non ha il tempo di accorgersi di quel che accade, a dispetto di chi – magari alle prese con un vecchio pc – è costretto ad attese proporzionali alla vetustà di processore e memoria Ram a disposizione.

Chi adopera il futuribile cellulare, poi, è abituato alla facilitazione dei passaggi che qualche colpo di polpastrello è in grado di fare in un baleno. Si scarica gratuitamente la app dallo store corrispondente al sistema operativo del proprio apparato (Google Play per i telefoni Android, Apple Store per chi ha Apple e quindi iOS), si installa con estrema rapidità e in un attimo si è in grado di fare tutto.

Raccontata così – in ossequio all’omino coi baffi del Carosello della caffettiera Bialetti – “sembra facile”. Chi procede spedito nella descrizione delle celeri fasi di abilitazione a dialogare via smartphone con la propria banca dimentica però un passaggio che è senza dubbio cruciale. L’app – prima di entrare in funzione – chiede all’utilizzatore fresco di download di concedere una serie di autorizzazioni ad agire liberamente sul dispositivo elettronico in suo possesso. Se si pensa di porre dei limiti, la app non completa l’installazione e quindi – dopo una manciata di tentativi non andati a buon fine – chiunque si arrende e accetta le forzature pensando “e che sarà mai…”.

Così facendo il cliente della banca accetta che l’app vada a frugare liberamente all’interno dello smartphone, accedendo ad ogni contenuto che non è necessariamente segreto ma che forse una persona non aveva alcuna intenzione di condividere con gli sconosciuti. L’app prima constata la presenza di “consorelle” già a bordo dello smartphone e comincia a classificare interessi e passioni dell’utente, poi legge posizioni e spostamenti, esamina i contatti, vede le fotografie e magari “prende appunti” su come si è vestiti e con chi ci si fa riprendere, fruga tra le ricerche effettuate sul web e così via.

Diciamo che l’app somiglia a un esploratore che – in ossequio al marketing più invasivo – va a caccia di informazioni commercialmente utili che con altri strumenti sarebbe più impegnativo acquisire.

Se il telefonino bastava solo per ricevere un sms di conferma o di allerta, la riservatezza del singolo cittadino non era forse meno esposta? Se il token veniva smarrito (rara circostanza, visto che nessuno lo porta in giro come un amuleto), quale problema avrebbe mai comportato se non quello della sua sostituzione?

La sicurezza nel mondo bancario, purtroppo, non è solo quella della doppia autenticazione. Si provi, infatti, a parlare di queste cose a un correntista o a un azionista della Banca Popolare di Bari, a suo tempo ammaliato da promesse, incoraggiamenti e garanzie di funzionari che – a volte inconsapevolmente – avrebbero recitato il copione stabilito dal management dell’istituto di credito il cui operato è sulle pagine dei giornali (e degli atti della Procura).

@Umberto_Rapetto