Gli inglesi hanno rinunciato alla filigrana, come hanno già fatto i canadesi, per adottare le banconote di plastica. “Impossibili da contraffare”, hanno motivato.
Tutti noi, come gli inglesi, ci auguriamo che i sistemi materiali di pagamento (l’85% dei passaggi di denaro nel mondo) siano davvero sicuri e al riparo da frodi. Ma soprattutto incrociamo le dita che lo siano quelli elettronici (in continua ascesa) dal momento che sfuggono quasi totalmente al nostro controllo, quando ci affidiamo ad Internet dal computer di casa, da uno smartphone o da un tablet o preleviamo da un bancomat.
Così purtroppo non è e, pur senza voler creare allarmismi, va registrato un aumento in particolare dell’incidenza del canale Internet sul totale delle frodi nei pagamenti elettronici. È il quinto anno di fila che succede. Nel 2015 Internet ha assorbito il 56% del valore di tutte le frodi (anticipazione del nuovo Rapporto 2016 dell’Ucamp, l’Ufficio centrale antifrode dei mezzi di pagamento del Ministero dell’economia). Seguono i furti da Pos (bancomat) con il 29% e quelli sui prelievi Atm (carte di credito) con il 15%. Le transazioni non riconosciute sui “Pos virtuali”, ovvero sui siti in cui ci viene richiesto il numero della carta di pagamento fanno registrare un incremento molto forte superiore al 60% (dati 2014).
Che cosa sta succedendo? Sebbene in ritardo sugli altri paesi europei, gli italiani hanno cominciato ad usare massicciamente le carte elettroniche per le spese quotidiane (+15,4% il numero delle transazioni) e c’è poco da stupirsi se la cybercriminalità stia inseguendo l’onda. In più è aumentata la fiducia nell’utilizzo dei servizi on line (+37% rispetto al 2014) spingendo gli accessi all’home banking, cioè ai portali per le operazioni bancarie, a quota 1 miliardo e 800 milioni, come certificano i dati diffusi a giugno dal consorzio Abi Lab (promosso dall’Associazione bancaria italiana): dati da cui si ricava il polso degli italiani fiduciosi e abbastanza protetti, ma anche ignari delle complessità delle movimentazioni.
Bancomat più sicuri, ma il web…
Il baricentro del rischio, nell’era digitale, si sta spostando. La buona notizia è che si allenta la presa sui prelievi fisici: qui le transazioni anomale diminuiscono. Le operazioni, oggi, sono più sicure (-60% le manomissioni agli sportelli, in calo soprattutto al centro-nord), mentre la terra promessa è diventata il web, dove 11,1 milioni di italiani fanno acquisti almeno una volta al mese per un importo medio di 89 euro (stime dell’Osservatorio Netcomm del Poletcnico di Milano) e i siti malevoli specie dall’estero provano ad intercettare i flussi di denaro con l’esca dei siti fake, cioè falsi, da cui carpire i codici di accesso e autorizzativi necessari.
Fa molto gola l’e-commerce il cui valore è salito a 16,6 miliardi di euro nel 2015 (+2,2 miliardi in un anno) pur rimanendo il suo livello di penetrazione appena sopra al 4%, in Italia, sul totale dei consumi.
Il rischio delle frodi in questo scenario appare reale e “pericoloso” soprattutto perché pur essendo contenuto in pochi decimali dopo la virgola, se si trasforma in sfiducia rallenta la propensione all’acquisto. I dati dell’Osservatorio sicurezza e frodi informatiche di Abi Lab dicono che nel 2015 lo 0,0031% appena degli utenti che si sono collegati a un Internet banking hanno subito frodi con danno economico: cioè una frode riuscita ogni 32.200 clienti, una stimata ogni 166.000 operazioni on line (vedi box per gli approfondimenti). Oltre il 94% del volume economico associato alle prove di furto è stato bloccato. Non c’è dunque motivo per spaventarsi troppo, ma è opportuno adottare alcune piccole attenzioni. “Oggi il rischio principale – riassume l’ingegner Romano Stasi, segretario generale di Abi Lab – è che sul pc o sullo smartphone si possano installare malware, cioè virus intelligenti che acquisiscono informazioni e compiono operazioni da remoto a nostro nome”. La prima spia che qualcosa non va è la perdita delle credenziali, per cui “dobbiamo stare molto attenti a chi ce le chiede e a frequentare i siti che ci diano garanzie di serietà“. Se gli smartphone almeno per ora risultano meno esposti, è proprio perché abitualmente scarichiamo le app di pagamento dagli store ufficiali.
Intanto la smaterializzazione della moneta procede. Nel 2015 i pagamenti elettronici in generale hanno raggiunto nel nostro paese i 164 miliardi di euro (+5,6% sull’anno precedente) e stanno esplodendo le varie forme di “new digital payment”, ovvero l’e-commerce in mobilità e le operazioni contactless (cioè semplicemente avvicinando lo smartphone o la carta al codice a barre, + 22% sul 2014) che sono già a quota 21 miliardi e, stando alle previsioni, nel 2018 copriranno un quarto del valore della moneta elettronica italiana spesa.
Con la diffusione degli smartphone prendono piede non solo le modalità “one click”, ma si usano sempre più le app e, per la telefonia mobile, i wallet. Tra le forme più innovative c’è il “peer-to-peer” (P2P), ossia un sistema di “pagamento istantaneo” da smartphone a smartphone con cui ci si può dividere il conto del ristorante o scambiarsi piccole somme di denaro tra amici, fino all’acquisto di prodotti sulle chat con un semplice “bottone” digitale.
E le banche alzano il livello dei controlli
Non meno interessante è focalizzare un altro aspetto. Il valore medio delle frodi su tutti i canali è di 160 euro e si mantiene basso, il che significa che gli hacker tendono a parcellizzare le loro operazioni per eludere le soglie di attenzione fissate dagli istituti emittenti e dagli utenti stessi. Per riassumere, ci sono più furti (e tentativi sventati sul nascere) on line, ma di minore entità per sfuggire ai controlli. Un altro dato è che la cybercriminalità si rivolge piuttosto ai conti delle imprese dove trova maggiori disponibilità di denaro (+1,3%) dimostrando di avere specialisti in grado di variare le tecniche a seconda del tipo di clientela.
Per arginare il fenomeno e innalzare l’asticella della sicurezza, le banche entro settembre dovranno adeguarsi ai nuovi meccanismi anti-frode imposti dalla Banca d’Italia su raccomandazione della Bce raccogliendo gli orientamenti dell’Eba, l’autorità bancaria europea, ed entro il 30 ottobre dovranno poi trasmettere le relazioni sui provvedimenti presi.
Tra le misure all’orizzonte c’è l’autenticazione forte, una formula che si traduce nel verificare con più certezza l’identità del cliente, sia nella fase di accesso sia di autorizzazione dei singoli pagamenti.
Cosa cambierà in concreto per l’utente? Molto poco, perché “fondamentalmente già tutte le banche italiane – assicura l’ingegner Stasi – rendono disponibili da tempo i sistemi di autenticazione forte. Ovvero quei sistemi dinamici e non soltanto statici (username, pin e password, ndr.), che consistono nel chiedere al cliente di digitare un codice Otp (cioè una password che si usa una volta sola, ndr) per ciascuna operazione dispositiva. La banca manda tale codice o sul tolken (chiavetta, ndr.) del cliente, come già succede per il 66,7% degli istituti di credito, o via sms, per il 43,3%, o con altre tecnologie”.
Il processo autorizzativo, infatti, è uno dei passaggi più critici perché in pochissimo tempo il sistema deve decidere se consentire o bloccare la richiesta. Ma non solo. “Con la diffusione dei primi smartphone a riconoscimento di impronte digitali, stiamo sperimentando forme di controllo biometrico che sono già possibili”.
La stretta di Bankitalia comporterà un impegno aggiuntivo per le banche (che dovranno organizzarsi per una migliore gestione e notifica degli incidenti di sicurezza) ma anche per gli utenti: per sentirci più sicuri dovremo insomma impegnarci tutti nell’inserire correttamente e più spesso dei codici.
