È scom­parso il luc­chetto verde

Finora un’icona a forma di luc­chetto verde e il nome del gestore indi­ca­vano l’autenticità di un sito Internet. Da circa un mese le cose sono cam­biate. Le ultime ver­sioni dei browser, infatti, hanno eli­mi­nato questi impor­tanti con­tras­segni di sicurezza.

Ora gli utenti dell’e-banking devono fare ancora più atten­zione a non cadere vit­tima di attacchi di phi­shing: i browser Chrome, Firefox e Safari, infatti, non mostrano più nessun con­tras­segno visivo per i siti Internet in pos­sesso dei cosid­detti cer­ti­fi­cati EV. Per gli utenti viene così meno la pos­si­bi­lità di un con­trollo sem­plice e rapido dell’autenticità del gestore di un sito Internet. L’unica ecce­zione tra i browser di uso comune è Micro­soft Edge, che non cambia la visualizzazione.

Per pre­ve­nire gli attacchi di phi­shing, la mag­gior parte degli isti­tuti finan­ziari e molti altri for­ni­tori di ser­vizi online uti­liz­zano un cosid­detto cer­ti­fi­cato «Extended Vali­da­tion» (cer­ti­fi­cato EV). Tale cer­ti­fi­cato viene rila­sciato da un’Autorità di cer­ti­fi­ca­zione solo in seguito a una veri­fica appro­fon­dita dell’identità del gestore del sito Internet. In questo modo si impe­disce ai cri­mi­nali di otte­nere cer­ti­fi­cati sotto falso nome per gestire un sito Internet di phi­shing cor­re­dato dell’icona a forma di lucchetto.

Fino a oggi i siti Internet dotati di cer­ti­fi­cato EV veni­vano con­tras­se­gnati in modo spe­ciale dai browser più comuni, gene­ral­mente con un luc­chetto verde e il nome del gestore (p. es. l’istituto finan­ziario) nella barra degli indi­rizzi. Questo sistema ren­deva pos­si­bile una veri­fica imme­diata dell’autenticità del sito Internet – i siti con­traf­fatti come quelli mano­messi per sfer­rare attacchi di phi­shing di solito appa­iono anch’essi con un’icona a forma di luc­chetto, ma grigia. Inoltre in quei casi il nome del gestore non viene visua­liz­zato perché non è pre­sente un cer­ti­fi­cato EV.

Ora i pro­dut­tori di browser hanno rimosso questa fun­zione di evi­den­zia­zione visiva, a quanto pare perché veniva sfrut­tata rara­mente. L’icona a forma di luc­chetto con­ti­nuerà a essere visua­liz­zata, ma con un colore omo­geneo grigio anziché verde.

C’è una buona notizia: basta un clic sul luc­chetto per con­trol­lare se il gestore del sito Internet dispone di un cer­ti­fi­cato EV e quale azienda si trova dietro un sito Internet.

Chrome con cer­ti­fi­cato EV:

Chrome senza cer­ti­fi­cato EV:

Firefox con cer­ti­fi­cato EV:

Firefox senza cer­ti­fi­cato EV:

Per non cor­rere rischi su Internet anche in futuro e in par­ti­co­lare per uti­liz­zare l’e-banking in modo sicuro, seguite questi consigli:

• Abi­tua­tevi a inse­rire manual­mente l’indirizzo URL dell’istituto finan­ziario e, dopo che il sito Internet si è cari­cato, a fare clic sull’icona a forma di luc­chetto per con­trol­lare chi è il pro­prie­tario del cer­ti­fi­cato (cioè l’istituto finanziario).
• Gli utenti di Win­dows, in alter­na­tiva, pos­sono pas­sare al browser Edge.
• Sul vostro dispo­si­tivo mobile uti­liz­zate un’app per il Mobile Ban­king anziché il browser, se il vostro isti­tuto finan­ziario ne ha pre­di­sposta una.