Pagina iniziale Navigazione Contenuto Contatti Sitemap
Gli istituti finanziari si impegnano a rendere l’e-banking il più sicuro possibile grazie all’uso di diverse procedure di login e tecnologie. La panoramica che segue analizza le procedure attualmente seguite e ne spiega il funzionamento.

TAN (lista di stralcio)

Con la classica procedura TAN il cliente riceve dall’istituto finanziario una password o un PIN e un elenco di sequenze numeriche (TAN) in formato cartaceo. Al momento del login, ed eventualmente per altre azioni, viene chiesto al cliente di digitare nella maschera di login del sistema di e-banking il primo TAN dell’elenco non ancora utilizzato, e di barrarlo poi affinché sia utilizzato solo una volta. Il TAN vale come integrazione della password o del PIN. La password o il PIN, il TAN e il numero di identificazione vengono inviati contemporaneamente all’istituto finanziario e verificati. Una volta utilizzati tutti i TAN dell’elenco, il cliente riceve dall’istituto finanziario un nuovo elenco.

Consigli:

  • Conservare l’elenco con le sequenze numeriche (lista di stralcio) in un luogo sicuro.
  • Non salvare l’elenco con le sequenze numeriche (lista di stralcio) in formato elettronico.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

iTAN

Con la procedura iTAN il cliente riceve dall’istituto finanziario un elenco di sequenze numeriche (TAN) indicizzate. Al momento del login digita quindi il proprio numero di identificazione e la password o il PIN nella maschera di login del sistema di e-banking e invia i dati all’istituto finanziario.

L’istituto finanziario conferma al cliente i dati memorizzati su di lui (per es. il nome del cliente e la data dell’ultimo accesso) e chiede di inserire un determinato iTAN. Il cliente digita l’iTAN richiesto e lo trasmette per conferma all’istituto finanziario.

Il cliente pertanto non può più convalidare il proprio accesso con il prossimo TAN valido, ma deve inserire, su richiesta dell’istituto finanziario, un dato iTAN casuale del suo elenco attivo, contrassegnato da un numero di posizione.

Consigli:

  • Conservare l’elenco di iTAN in un luogo sicuro.
  • Non salvare l’elenco di iTAN in formato elettronico.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

 

Panoramica della procedura iTAN

mTAN (Mobile TAN o smsTAN)

Come si può intuire già dal nome, questa procedura sfrutta un ulteriore canale di comunicazione oltre a Internet, ossia la rete di telefonia mobile. Dopo aver effettuato il login tramite numero di identificazione e password o PIN, l’istituto finanziario comunica il codice di accesso (mTAN) via SMS. Solo dopo aver inserito il codice di accesso è possibile accedere al conto. Inoltre, le transazioni potenzialmente pericolose vanno confermate mediante mTAN. Non è necessario confermare tutti i bonifici. Molti sistemi tengono infatti traccia dei destinatari ricorrenti di un cliente, in modo da non dover più richiedere la conferma per ogni singolo bonifico.

Il doppio canale di comunicazione complica l’acquisizione dei TAN per gli hacker.

Consigli:

  • Alla conferma della transazione verificare sempre i dati da convalidare.
  • Non conservare il proprio telefono cellulare insieme ai dati di accesso.
  • Non utilizzare il telefono cellulare per l’e-banking.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

 

Panoramica della procedura mTAN

eTAN

Con la procedura basata su eTAN il cliente riceve dall’istituto finanziario una password o un PIN e un generatore elettronico di TAN. Sul display di questo dispositivo viene visualizzato l’eTAN da utilizzare. Il generatore di TAN contiene un orologio preciso sincronizzato con un orologio presente presso l’istituto finanziario e garantisce così che l’eTAN indicato corrisponda a quello calcolato dal server. Per il resto la procedura di login è la stessa dei TAN.

Consigli:

  • Conservare il generatore elettronico di TAN in un luogo sicuro, e non insieme ai propri dati di accesso.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

Chip-TAN

Per la procedura Chip-TAN il cliente ha bisogno di ottenere dall’istituto finanziario una password o un PIN, un lettore di schede e una tessera bancaria. Al momento del login il cliente deve digitare il proprio numero di identificazione e la password o il PIN. Il sito Internet dell’istituto finanziario mostra quindi un codice una tantum da inserire nel lettore di schede (valore Challenge) e richiede il relativo codice di accesso del cliente (valore Response). Questo codice viene generato con il lettore di schede e la tessera bancaria indicando il codice visualizzato (valore Challenge).

Consigli:

  • Conservare la tessera bancaria in un luogo sicuro, e non insieme ai propri dati di accesso.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

 

Panoramica della procedura Chip-TAN

Chiavetta USB con browser sicuro

Con la procedura basata su chiavetta USB si utilizza un browser sicuro salvato su una chiavetta USB protetta da scrittura. Il browser funziona come se fosse installato su un PC qualunque, con la differenza che un eventuale hacker non lo può manipolare perché è protetto. In questo modo si previene l’attivazione di software nocivo.
Solitamente il browser sicuro si avvia in automatico quando la chiavetta viene inserita nella porta USB.  Dal browser sicuro il cliente può quindi accedere al suo sistema di e-banking come di consueto. Per il login viene seguita una delle procedure descritte sopra.

Consigli:

  • Non conservare la chiavetta USB insieme agli elementi segreti.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

Chiavetta USB con browser sicuro e certificato

Questa procedura equivale a quella descritta sopra, “Chiavetta USB con browser sicuro”, con l’aggiunta dell’utilizzo di un certificato personale rilasciato dall’istituto finanziario o da un’Autorità di certificazione. Oltre alla chiavetta, per effettuare il login è necessaria una password.

Consigli:

  • Non conservare la chiavetta USB insieme agli elementi segreti.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

Zone Trusted Information Channel (ZTIC)

Con la procedura ZTIC si utilizza un dispositivo USB che aumenta la sicurezza instaurando attraverso il computer del cliente una connessione sicura con il server dell’istituto finanziario e permette al cliente di non preoccuparsi di dover verificare l’autenticità del server stesso. Il dispositivo ZTIC, infatti, consente soltanto la creazione di connessioni SSL/TLS sicure con server noti e preconfigurati.

I dati della transazione ricevuti dal server dell’istituto finanziario attraverso il sito Internet vengono trasmessi in modo sicuro al dispositivo ZTIC e visualizzati sul PC del cliente con la garanzia che non sono stati contraffatti (analogamente alla procedura mTAN). La transazione viene avviata solo dopo essere stata autorizzata dal cliente premendo un tasto.

Come per le due procedure descritte sopra e basate su chiavetta USB, attualmente il malware non è in grado di attaccare e infettare il dispositivo ZTIC.

Qui potete trovare un video (YouTube) che presenta la procedura ZTIC.

Consigli:

  • Non conservare il dispositivo USB insieme agli elementi segreti.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking e/o del dispositivo di e-banking (generatore TAN, ecc.).

 

Panoramica della procedura ZTIC

Flicker-TAN

Per la procedura flicker-TAN (procedura con TAN ottico) il cliente ha bisogno di una password o un PIN e di un cosiddetto generatore di flicker-TAN. Il generatore di flicker-TAN si distingue dai generatori di TAN tradizionali per la presenza di cinque sensori che gli permettono di registrare informazioni ottiche (il cosiddetto codice flicker). Inoltre è dotato di una tastiera o di un lettore di impronte digitali.

Dopo aver registrato una transazione, sullo schermo del PC del cliente viene visualizzato un grafico formato da cinque aree bianche e nere lampeggianti. Queste aree trasportano le informazioni della transazione appena effettuata, garantendone l’autenticità. Se il generatore di flicker-TAN viene tenuto con i sensori ottici rivolti verso lo schermo, è in grado di rilevare, decodificare e visualizzare le informazioni inviate dall’istituto finanziario (in maniera analoga a quanto avviene con la procedura mTAN). In questo modo il cliente può verificare la transazione effettuata e fornire la propria autorizzazione.

La procedura è in grado di proteggere contro attacchi di manipolazione delle transazioni (per es. gli attacchi del tipo man-in-the-browser) se i dati della transazione visualizzati sul display vengono controllati dal cliente prima della conferma.

Consigli:

  • Conservare il generatore di flicker-TAN in un luogo sicuro, e non insieme agli altri dati di accesso.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

 

Panoramica della procedura Flicker-TAN

Photo-TAN

Per la procedura Photo-TAN (procedura con TAN ottico) il cliente ha bisogno di una password o un PIN e di uno smartphone. Su quest’ultimo deve essere installata l’app per Photo-TAN, la quale è in grado di catturare e decrittografare le informazioni ottiche. Invece di uno smartphone è possibile utilizzare anche un lettore Photo-TAN a sé stante.

Dopo aver registrato una transazione, sullo schermo del PC del cliente viene visualizzato un mosaico statico a colori. Tale mosaico contiene le informazioni della transazione appena effettuata, garantendone l’autenticità. Queste informazioni possono essere riprese con la fotocamera dello smartphone o del lettore, dopodiché decifrate e visualizzate sul display del terminale utilizzato (analogamente a quanto avviene con la procedura mTAN). In questo modo il cliente può verificare le transazioni effettuate e fornire la propria autorizzazione.

La procedura è in grado di proteggere contro attacchi di manipolazione delle transazioni (per es. gli attacchi del tipo man-in-the-browser) se i dati della transazione visualizzati sul display vengono controllati dal cliente prima della conferma.

Consigli:

  • Conservare il lettore Photo-TAN in un luogo sicuro, e non insieme agli altri dati di accesso; oppure applicare tutti i suggerimenti sulla sicurezza riguardanti gli smartphone.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.

 

Panoramica della procedura Photo-TAN

Mobile ID

A prima vista la procedura di accesso con Mobile ID è molto simile a quella con mTAN, ma per niente identica. Anche con il Mobile ID viene utilizzato un telefono cellulare (sono supportati tutti i terminali di uso comune e i sistemi operativi mobili come Apple iOS, Android, Blackberry, Microsoft Windows Phone o Symbian) e anche in questo caso i dati vengono trasmessi su un canale di comunicazione supplementare (rete di telefonia mobile). La differenza determinante risiede nell’importanza del ruolo svolto dalla scheda SIM del telefonino: sulla scheda, infatti, è memorizzato il Mobile ID utilizzato per il trasferimento cifrato dei dati – le chiavi necessarie vengono generate soltanto all’attivazione del Mobile ID e salvate direttamente sulla scheda SIM. Il canale cifrato supplementare di comunicazione con la scheda SIM contenente il Mobile ID impedisce ai malintenzionati di intercettare le richieste di login o i dati relativi alle transazioni. All’occorrenza la scheda SIM con supporto Mobile ID deve essere richiesta al proprio operatore (a seconda dell’età della scheda in proprio possesso).

Durante il login bisogna inserire sul sito Internet dell’istituto finanziario il numero di identificazione ed eventualmente la password o il PIN. Sul telefonino viene quindi visualizzato un messaggio che richiede una conferma (come «OK» o «Ricevi»). A questo punto va inserito sul telefonino il proprio PIN Mobile ID personale. Solo dopo aver eseguito questa operazione è possibile accedere al conto.

Anche con questa procedura di accesso è possibile attivare una conferma opzionale delle transazioni: quando viene inserita una transazione sensibile, sul telefono cellulare viene visualizzato un messaggio che riporta i dati della transazione e richiede una conferma (come «OK» o «Ricevi»). La transazione viene avviata digitando sul telefonino il PIN Mobile ID. Non è tuttavia necessario confermare tutti i bonifici. Molti sistemi sono infatti in grado di distinguere i destinatari di pagamenti sicuri da quelli non sicuri, in modo da non dover richiedere la conferma per ogni singolo bonifico.

Consigli:

  • Alla conferma della transazione verificare sempre i dati visualizzati.
  • Non conservare il proprio telefono cellulare insieme ai dati di accesso.
  • Non utilizzare per l’e-banking il telefono cellulare su cui si ricevono i messaggi relativi al Mobile ID.
  • Non annotare mai password e PIN su fogli di carta, a meno che non li si custodisca sotto chiave.
  • Immettere la password o il PIN esclusivamente nella maschera di login del proprio sistema di e-banking.
  • Inserire il proprio PIN Mobile ID personale esclusivamente sul proprio telefono cellulare.

 

Panoramica della procedura Mobile ID

Push-TAN

Per la procedura Push-TAN (procedura con TAN tramite app) il cliente ha bisogno di una password o un PIN e di uno smartphone. Sullo smartphone deve essere installata la specifica app dell’istituto finanziario, per ricevere le notifiche push attraverso una connessione a Internet crittografata.

Durante il login bisogna inserire sul sito Internet dell’istituto finanziario il numero di identificazione o il nome utente ed eventualmente la password o il PIN. Il cliente riceve quindi sullo smartphone una notifica push. Se il cliente apre l’app, viene invitato a inserire il PIN della sua app personale. Dopo averlo digitato, nell’app viene visualizzato il TAN da inserire come sempre sul sito Internet dell’istituto finanziario. Solo dopo aver eseguito questa operazione è possibile accedere all’e-banking.

Anche con questa procedura di accesso è possibile attivare una conferma opzionale delle transazioni: quando viene inserita una transazione sensibile, sullo smartphone viene visualizzata una notifica push. Il cliente apre allora l’app e inserisce il PIN della sua app personale. La transazione viene autorizzata solo dopo che il cliente, come sempre, inserisce sul sito Internet dell’istituto finanziario il TAN visualizzato nell’app. Non è tuttavia necessario confermare tutti i trasferimenti. Molti sistemi sono infatti in grado di distinguere i destinatari di pagamenti sicuri da quelli non sicuri, in modo da non dover richiedere la conferma per ogni singolo trasferimento.

La procedura è in grado di proteggere contro attacchi di manipolazione delle transazioni (per es. gli attacchi del tipo man-in-the-browser) se i dati della transazione visualizzati sul display vengono controllati dal cliente prima della conferma.

Consigli:

  • Alla conferma della transazione verificate sempre i dati da convalidare.
  • Non confermate nessuna richiesta di accesso che arrivi con un certo ritardo.
  • Non conservate lo smartphone insieme ai dati di accesso.
  • Non utilizzate per l’e-banking il dispositivo su cui avete installato l’app e ricevete i messaggi.
  • Non annotate mai password e PIN su fogli di carta, a meno che non li custodiate sotto chiave.
  • Immettete la password o il PIN esclusivamente sul sito Internet del vostro istituto finanziario.
  • Inserite il PIN della vostra app personale esclusivamente sul vostro smartphone.

 

Panoramica della procedura Push-TAN

 

Aargauische KantonalbankBaloise Bank SoBaBanca del Ceresio SABanca del SempioneBancaStatoBank CoopBank LinthBanque CIC (Suisse)Basellandschaftliche KantonalbankBasler KantonalbankFreiburger KantonalbankBanque Cantonale du JuraBanque Cantonale NeuchâteloiseBanque Cantonale VaudoiseBerner KantonalbankBanca Popolare di Sondrio (SUISSE)cash zweiplusClientisCornèr Banca SACredit Suisse (Svizzera) SAGlarner KantonalbankGraubündner KantonalbankHypothekarbank LenzburgJulius BaerLiechtensteinische Landesbank AGLuzerner KantonalbankMigros BankNidwaldner KantonalbankObwaldner KantonalbankPiguet GallandPostFinanceSchaffhauser KantonalbankSchwyzer KantonalbankTriba Partner Bank AGUBSUrner KantonalbankValiant Bank AGVontobel AGVP BankWalliser KantonalbankZuger KantonalbankZürcher Kantonalbank