Home pageRASSEGNA STAMPA

AziendaBANCA - Marzo 1997
esperienze
di L.P.

netzapping banner

Home banking su Internet, alla ricerca di uno standard sicuro

Speranza e cautela dei clienti verso la disponibilità di rapporti bancari su Internet. Mentre l'attenzione alla sicurezza é sempre il punto caldo


Sono un centinaio le aziende bancarie in rete con un sito Internet, ma la maggior parte dei casi si tratta di presenze di tipo puramente informativo. Per la precisione oggi sono censite 102 banche di cui solo una, la Nuova Banca di Credito di Trieste, dispone di un indice. Fra tutte, 10 hanno pubblicato pagine in inglese, 17 forniscono informazioni utili, 4 forniscono servizi di remote banking, mentre altre 21 dispongono solo di un dominio o di sito "privati". Per l'operatività, con servizi di home banking alla grande massa di clienti, gli esempi sono davvero pochi. Ma anche il sistema italiano sta uscendo dall'immobilismo. L'aspetto centrale affrontato nello sviluppo di nuovi servizi bancari e finanziari su Internet, ma più in generale in rete, è comunque la sicurezza. Il sistema è tuttora alla ricerca di standard affidabili in grado di rendere omogenee le applicazioni, attraverso lo sviluppo di algoritmi di cifratura più sofisticati. Oggi la tematica di Internet, emblema di tutte le reti di connessione multimediali tra sistemi informativi, si trova al centro dell'attenzione del grande pubblico, ma sopratutto di imprese, banche e società finanziarie. Le problematiche della sicurezza delle transazioni economico-finanziarie su Internet e le opportunità emergenti per il sistema di credito internazionale attraverso la diffusione di nuovi servizi telematici per il grande pubblico sono state oggetto dell'8° convegno organizzato dal Club del Computer Crime di Ipacri, che ha evidenziato l'esistenza di una situazione contraddittoria circa l'utilizzo della rete globale quale nuovo canale per raggiungere la clientela da parte delle banche italiane. Di particolare interesse l'intervento sulle opportunità e i rischi delle banche su Internet da parte di Arturo Salvatici, dirigente Istinform, società che ha istituito una mailing list riservata alle banche in rete. Salvatici ha presentato la situazione italiana sulla base di quanto rilevato da un gruppo di lavoro interno attraverso un questionario intitolato "Andreste in banca tramite Internet?" Rimasto pubblicato in rete per un mese, il questionario ha raccolto 593 risposte, nella maggior parte dei casi inviate da imprese, professionisti e impiegati. il 49% delle risposte ha manifestato la disponibilit? a utilizzare la rete globale come ponte per entrare in banca: un altro 49% dichiara altrettanto, ma con qualche riserva: del restante 2% una metà esclude in maniera netta l'eventualità di utilizzare servizi bancari erogati via Internet, mentre l'altro 1% si dimostra più possibilista. Tra le molle che rendono attraente la banca su Internet: il risparmio di tempo, la flessibilità degli orari e la possibilità di elaborare i dati sul proprio pc.

Ma si può davvero essere sicuri? "Su Internet è facile, o meglio è possibile, essere spiati, ma non è vero che tutto è sempre insicuro, ci sono anche collegamenti protetti, spiega Salvatici. Conoscendo i pericoli si possono evitare brutte sorprese. Per esempio è assolutamente sconsigliabile mandare numeri di carte di credito tramite messaggi di posta elettronica". Oggi le soluzioni disponibili sono la cifratura a livello utente finale, il processo SSL (Secure Socket Layer), il protocollo SET (Secure Electronic Transaction), l'uso di altri schemi proprietari oppure accettare la "non privacy". L' SSL, che provvede a garantire un canale privato (la cifratura) un canale autenticato (sempre il server) e un canale che garantisce il contenuto dei dati scambiati, ha già dato segni di debolezza e inaffidabilità. Il Secure Electronic Transaction, che sarà disponibile nel corso dell'anno, protegge solo gli acquisti con carte di credito, obbliga il cliente e il negoziante a farsi rilasciare un certificato (le proprie chiavi di cifratura) e prevede lo scambio di messaggi cifrati ed autenticati solo tra entità in possesso di messaggi validi. Clienti, commercianti ed enti emittenti possono decifrare solo le informazioni che li riguardano e verificare le "firme" di chi invia i messaggi. Inoltre non sono previsti costi per licenze d'uso. "Chi si aspetta dalle specifiche di SET la soluzione definitiva ai problemi di sicurezza in Internet si troverà probabilmente ad avere gli stessi problemi di SSL" commenta Salvatici. Il discorso si sposta allora su chi produce sistemi di cifratura. Come noto l'esportazione dei codici di sicurezza è una materia molto delicata negli Stati Uniti, Paese da cui proviene la maggior parte di queste soluzioni. Dallo scorso 15 novembre la nuova legislazione considera anche il codice degli algoritmi alla stregua di un prodotto, afferma che la reperibilità all'estero di un prodotto non ne garantisce l'esporabilità, e arriva a considerare esportazione anche la disponibilità su BBS e su Internet, citate espressamente. Al 3 febbraio scorso tre aziende hanno presentato il piano richiesto e hanno ottenuto le licenze per l'esportazione.

Al convegno di Roma l'Abi ha invece anticipato alcuni dati dell'indagine sulla sicurezza per i servizi telematici alla clientela, pubblicati a inizio marzo in un volume distribuito alle banche che hanno partecipato attivamente al rilevamento.

Tra le banche maggiori risulta particolarmente sviluppato l'auditing applicato ai servizi alla clientela, cosa che fa supporre quanto ancora si debba lavorare per raggiungere livelli di sicurezza soddisfacenti. Positivo anche il livello di attenzione sviluppato nella sicurezza organizzativa di questi servizi.

Più in generale, l'indagine biennale dell'Abi, che presenta la realtà della sicurezza nei suoi vari aspetti al 31 dicembre 1995, indica un miglioramento complessivo e omogeneo dell'indice di sicurezza in senso stretto (fisica, logica, organizzativa, telecomunicazioni). Nell'arco di tempo 91-95 si è notato un miglioramento sensibile nella sicurezza logica, mentre il raffronto biennale '93-95 mostra una situazione un poco più variegata, che si spiega con la fuoriuscita dal campione di certe aziende che si sono fuse con altre. Qui tra l'altro si registrano a volte dei sovrainvestimenti, con le aziende maggiori in prima fila quanto a separazione di ambienti, controllo della qualità e manutenzione del software.

Nell'ambito della sicurezza fisica le banche maggiori risultano prossime alla media di sistema e un poco più su rispetto a back-up, disaster recovery, continuità di servizio. Un dato prevedibile, e tuttavia confermato dai numeri. Scendendo nella scala dimensionale la scena cambia drasticamente, a riprova di quanto la dimensione aziendale sia una variabile importante di fronte a certe scelte. In questo aspetto della sicurezza le società di servizi sono collocate abbastanza o decisamente meglio rispetto alla media di sistema. Il capitolo sulla sicurezza (controllo di persone e procedure sotto controllo) indica valori di picco, costantemente dal 1991, ma anche qui si tratta di valori marginali. Infine una nota sull'outsourcing: rispetto al '93, nel '95 le società di servizi hanno migliorato sensibilmente le proprie condizioni di sicurezza.