Pagina iniziale Navigazione Contenuto Contatti Sitemap Cerca

Veri­fica del certificato

I cer­ti­fi­cati digi­tali ven­gono uti­liz­zati per cifrare le con­nes­sioni e offrire agli utenti la sicu­rezza di essere con­nessi al sito Internet cor­retto. Dato che ven­gono uti­liz­zati anche da siti Internet frau­do­lenti, è impor­tante veri­fi­carne l’autenticità, soprat­tutto nell’e-banking.

Pro­teg­ge­tevi così:

  • Nella barra degli indi­rizzi del browser digi­tate sempre manual­mente l’indirizzo Internet (URL) dell’istituto finan­ziario.
  • Pre­state la dovuta atten­zione ai mes­saggi d’allarme e d’errore che ven­gono visua­liz­zati mentre si instau­rano le con­nes­sioni, ed even­tual­mente inter­rom­pete l’operazione.
  • Assi­cu­ra­tevi che la barra degli indi­rizzi sia con­tras­se­gnata da un’icona a forma di luc­chetto.
  • Con­trol­late che il cer­ti­fi­cato sia stato rila­sciato espli­ci­ta­mente a nome dell’istituto finan­ziario (mostrato dopo aver fatto clic sul luc­chetto nella riga «Rila­sciato a:»).
  • Veri­fi­cate che l’indirizzo Internet (URL) con­tenga il nome di dominio cor­retto dell’istituto finan­ziario e che l’ortografia sia cor­retta. (Mag­giori infor­ma­zioni sulla strut­tura di un indi­rizzo Internet (URL) sono dispo­ni­bili qui.)
  • Inse­rite i vostri dati d’accesso per­so­nali solo dopo un esito posi­tivo della veri­fica del certificato.

Pro­te­zione e rischi dei certificati

Ogni browser veri­fica auto­ma­ti­ca­mente l’autenticità e la vali­dità dei cer­ti­fi­cati TLS durante l’instaurazione della con­nes­sione, e visua­lizza il sito Internet cor­ret­ta­mente e senza mes­saggi di errore solo se la veri­fica si è con­clusa regolarmente.

Tut­tavia, sempre più con­traf­fa­zioni dei siti Internet degli isti­tuti finan­ziari sono dotate di un cer­ti­fi­cato TLS valido a scopo di phi­shing, e per questo il sem­plice con­trollo del cer­ti­fi­cato da parte del browser non è più suf­fi­ciente per avere la cer­tezza che il sito Internet visi­tato sia quello giusto.

Quindi, digi­tate sempre manual­mente l’indirizzo Internet (URL) dell’istituto finan­ziario nella barra degli indi­rizzi del browser e con­trol­late il cer­ti­fi­cato prima di ogni ses­sione di e-banking!

Veri­fica del cer­ti­fi­cato nel browser

In estrema sin­tesi, quando si passa a una con­nes­sione pro­tetta nel browser non devono com­pa­rire mes­saggi di errore, altri­menti ci sono dei pro­blemi con il cer­ti­fi­cato o con la con­nes­sione, che va inter­rotta immediatamente.

Ciò signi­fica che se com­pa­iono mes­saggi d’allarme o d’errore non con­fer­mate mai manual­mente il pro­se­gui­mento della connessione!

Una con­nes­sione TLS cor­retta – e quindi una con­nes­sione sicura – al sito Internet giusto, basata su un cer­ti­fi­cato auten­tico e valido, si rico­nosce da queste tre chiare indi­ca­zioni del browser:

  1. Icona a forma di luc­chetto nella barra degli indirizzi
    La con­nes­sione è stata crip­tata con un cer­ti­fi­cato TLS valido.
  2. Nome dell’istituto finan­ziario giusto (mostrato dopo aver fatto clic sul luc­chetto nella riga «Rila­sciato a:»)
    L’identità del tito­lare del cer­ti­fi­cato (banca) è stata confermata.
  3. Nome di dominio cor­retto nell’indirizzo e orto­grafia cor­retta dell’indirizzo Internet (URL)
    Vi tro­vate dav­vero sul sito dell’istituto finanziario.
    Qui potete leg­gere come è strut­tu­rato un indi­rizzo Internet (URL).

Google Chrome:

Micro­soft Edge:

Mozilla Firefox:

Apple Safari:

La rap­pre­sen­ta­zione di queste carat­te­ri­stiche dif­fe­risce leg­ger­mente da un browser all’altro ed è ripor­tata nelle istru­zioni dei browser più comuni.

Veri­fica del cer­ti­fi­cato tra­mite impronta digitale

L’autenticità di un cer­ti­fi­cato può essere con­trol­lata manual­mente: la pro­ce­dura è un po’ più ela­bo­rata ma pro­prio per questo motivo più sicura. L’«impronta digi­tale» (fin­ger­print) mostrata dal browser deve coin­ci­dere con quella pub­bli­cata dall’istituto finanziario.

Se non è pos­si­bile veri­fi­care le impronte digi­tali, inter­rom­pete imme­dia­ta­mente la connessione!

Sul sito Internet «eBanking – ma sicuro!» tro­vate le impronte digi­tali delle pagine di login per l’e-banking dei nostri banche partner e istru­zioni det­ta­gliate per veri­fi­care l’impronta digi­tale in diversi browser.

Nell’e-banking si uti­liz­zano cer­ti­fi­cati digi­tali per garan­tire l’autenticità del server Web con­tat­tato e cifrare la con­nes­sione di comu­ni­ca­zione con il server. A tal fine viene uti­liz­zato il pro­to­collo TLS (suc­ces­sore del pro­to­collo SSL). Per questo si parla anche di cer­ti­fi­cati TLS e con­nes­sioni TLS.

Con poche ope­ra­zioni è pos­si­bile veri­fi­care se la con­nes­sione è pro­tetta come indicato.

Mag­giori informazioni

Fun­zio­na­mento di una con­nes­sione TLS

Quando si sta­bi­lisce una con­nes­sione pro­tetta con un server Web, soli­ta­mente viene uti­liz­zato il pro­to­collo TLS. Si tratta di una tec­no­logia di tele­co­mu­ni­ca­zione che cifra le infor­ma­zioni da tra­smet­tere in modo che non siano inter­cet­ta­bili e allo stesso tempo garan­tisce l’autenticità del server Web con cui viene sta­bi­lita la connessione.

Alla base della pro­te­zione imple­men­tata si trova un cosid­detto cer­ti­fi­cato digi­tale rila­sciato per un server Web da un ente affi­da­bile, noto anche come Auto­rità di certificazione.

Poiché l’impossibilità di inter­cet­ta­zione e l’autenticità del server Web sono garan­tite solo se il cer­ti­fi­cato su cui si basa la con­nes­sione TLS è auten­tico e valido, acqui­sisce un’importanza fon­da­men­tale la veri­fica del certificato.

Veri­fica del cer­ti­fi­cato con il sup­porto del browser

Quando instaura una con­nes­sione TLS, un browser veri­fica le pro­prietà del cer­ti­fi­cato seguenti:

  • Affi­da­bi­lità dell’emittente del cer­ti­fi­cato: il cer­ti­fi­cato è stato rila­sciato (ossia for­nito di firma digi­tale valida) da un’Autorità di cer­ti­fi­ca­zione affi­da­bile. Questa veri­fica attesta l’autenticità del certificato.
  • Vali­dità del cer­ti­fi­cato: il cer­ti­fi­cato non è sca­duto e non è stato dichia­rato nullo (revo­cato) dall’Autorità di cer­ti­fi­ca­zione prima della sca­denza del periodo di validità.
  • Indi­rizzo del server Web: l’indirizzo del server Web inse­rito nel cer­ti­fi­cato cor­ri­sponde all’indirizzo effet­ti­va­mente uti­liz­zato nella barra degli indi­rizzi del browser.

Solo se queste tre veri­fiche hanno esito posi­tivo il browser non visua­lizza nessun mes­saggio d’errore quando instaura la con­nes­sione TLS.

La veri­fica effet­tuata dal browser delle carat­te­ri­stiche del cer­ti­fi­cato indi­cate offre un livello di sicu­rezza ele­vato, ma non è in grado di rico­no­scere in alcun modo i cer­ti­fi­cati rila­sciati da un’Autorità di cer­ti­fi­ca­zione a un truf­fa­tore in seguito a un’analisi incor­retta di chi lo ha richiesto. Alcune, poche truffe di questo tipo sono già note.

Dato che per il pro­prio cer­ti­fi­cato un truf­fa­tore sce­glie, con enorme pro­ba­bi­lità, un indi­rizzo diverso da quello dell’obiettivo dell’attacco (p. es. un isti­tuto finan­ziario), questi cer­ti­fi­cati emessi in modo inde­bito si pos­sono iden­ti­fi­care con­trol­lando l’indirizzo Internet (URL) mostrato dal browser.

Oltre a questo l’utente deve veri­fi­care se il nome del dominio dell’indirizzo appar­tiene all’organizzazione con­tat­tata (cioè all’istituto finan­ziario). Per faci­lità, spesso molti browser  evi­den­ziano questa parte dell’indirizzo anche gra­fi­ca­mente (p. es. in gras­setto oppure in nero anziché in grigio).

Veri­fica del cer­ti­fi­cato tra­mite con­fronto dell’impronta digitale

Chiunque uti­lizzi una con­nes­sione TLS può veri­fi­care manual­mente l’autenticità del cer­ti­fi­cato su cui si basa il col­le­ga­mento. A tal fine, deve veri­fi­care l’impronta digi­tale del certificato.

L’impronta digi­tale si pre­senta come una sequenza di let­tere dalla A alla F (senza distin­zione tra let­tere maiu­scole e minu­scole) e numeri dallo 0 al 9.

La veri­fica dell’impronta digi­tale viene ese­guita con­fron­tando tale sequenza con una sequenza di rife­ri­mento che l’utente ha rice­vuto dall’istituto finan­ziario. Se la sequenza di carat­teri ripor­tata sul cer­ti­fi­cato e quella dell’istituto finan­ziario coin­ci­dono, si ha la garanzia che il cer­ti­fi­cato sia autentico.

Se la sequenza di carat­teri rice­vuta dall’istituto finan­ziario è auten­tica, la veri­fica manuale dell’impronta digi­tale è il modo più sicuro per veri­fi­care il certificato.

Non è più neces­sario effet­tuare un con­trollo sup­ple­men­tare dell’indirizzo Internet (URL), come indi­cato sopra per la veri­fica con il sup­porto del browser.

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corso di for­ma­zione di base

Sco­prite i rischi posti da Internet e come con sem­plici ope­ra­zioni vi potete pro­teg­gere e usare l’e-banking in modo sicuro.

mag­giori informazioni

Corso online Mobile Ban­king / Payment

Impa­rate a cono­scere Mobile Ban­king e Mobile Pay­ment e come uti­liz­zare tali app in modo sicuro.

mag­giori informazioni

Corso online per minori di 30 anni

Impara a usare lo smart­phone in modo sicuro. Oltre alle basi, ti mostre­remo cosa c’è da sapere su social media, cloud, Mobile Ban­king e Mobile Payment.

mag­giori informazioni

Corso per le PMI

La vostra azienda è suf­fi­cien­te­mente sicura? Sco­prite come raf­for­zare la sicu­rezza delle infor­ma­zioni nella vostra azienda.

mag­giori informazioni