di Serena Lisi

Da gennaio 2018 è entrata in vigore la nuova Direttiva Europea sui Servizi di Pagamento, in gergo denominata PSD (Payment Services Directive, EBA 2018/389). In base alle sue disposizioni tutti gli Stati Membri devono emanare una normativa per l’adeguamento dei servizi di pagamento on-line “o meglio“ dell’autenticazione necessaria per l’autorizzazione dei medesimi. In particolare, tutti gli istituti bancari degli Stati europei si sono dovuti adeguare, a partire dal 14 settembre 2019, alle norme tecniche per la cosiddetta Strong Customer Authentication (SCA), così come elaborate dalla Banca Centrale Europea che, in sostanza, ha introdotto l’uso della “firma digitale forte” per la già  citata autorizzazione di pagamenti e forniture di servizi attraverso siti web ed app, così come previsto dalla direttiva PSD2 (2015/2366) sul commercio digitale. La firma digitale forte è un particolare tipo di firma elettronica qualificata, basata su metodi di crittografia asimmetrica, ossia sull’accesso al servizio prescelto attraverso l’uso di due chiavi, una pubblica (nota a ricevente ed emittente dell’autorizzazione) ed una privata (nota solo all’emittente dell’autorizzazione, cioè all’utente del servizio); in particolare, la chiave privata della firma forte qui descritta sarà  una cosiddetta OTP (One Time Password), ossia una parola-chiave “usa e getta” generata da un apposito dispositivo o software.

La particolarità  della direttiva in questione, tuttavia, non risiede nel fatto che la chiave usata per autorizzare i già  citati pagamenti e servizi sia one-time e generata casualmente, ma piuttosto nel fatto che essa debba essere generata non già  da un dispositivo esterno e dedicato (specifico per lo scopo), ad esempio una chiavetta-token, bensì da una app da installare direttamente su uno dei dispositivi, come ad esempio il proprio smartphone o tablet, utilizzato per svolgere le operazioni di pagamento; la one-time-password potrà essere anche ricevuta (quasi sempre a pagamento) tramite sms sul proprio dispositivo mobile. Nell’intenzione delle Autorità regolatrici europee e dei legislatori nazionali, ivi compresi quelli italiani, tale accorgimento servirebbe a proteggere tutti i dispositivi e tutti i tipi di operazioni di pagamento svolte dall’utente comune che, sempre più spesso, si affida al cosiddetto IoT (Internet of Things), ossia ai propri dispositivi mobili, per svolgere transazioni di ogni genere. Secondo le autorità competenti, infatti, la maggioranza degli utenti possiede altri dispositivi, come laptop e computer fissi, direttamente connessi al proprio smartphone o tablet su cui andrà installata la app generatrice di OTP, rendendo il sistema più sicuro.

La realtà dei fatti, tuttavia, è spesso differente da quanto descritto nei report degli esperti: spesso, i dispositivi posseduti da un singolo utente non sono così strettamente interoperabili, ossia compatibili tra loro, come ritenuto dai legislatori: si pensi ad esempio a chi usa uno smartphone con sistema android ed un laptop con sistema operativo linux/MAC OS/Ubuntu, ovvero diverso da Microsoft e dal MAC proprietario: senza addentrarsi in dettagli tecnici, è possibile affermare non tutte le funzioni andranno a sistema come previsto e non tutte le app “gireranno” in maniera convenzionale, creando rallentamenti operativo-adattivi e disagi per l’utente.

Per l’utente comune, inoltre, ci si interroga sull’effettiva sicurezza del nuovo metodo di cifratura e firma delle autorizzazioni alle transazioni elettroniche descritte sopra. Come è noto, in ambiente cyber, vengono sempre più spesso distinte la sicurezza assoluta di un metodo di cifratura, praticamente irraggiungibile, poiché, prima o poi, tutti i codici possono essere violati (è solo questione di tempo e potenza di calcolo a disposizione dell’attaccante), dalla cosiddetta sicurezza computazionale, ossia quella sicurezza che si raggiunge utilizzando metodi di cifratura e chiavi difficili da violare in tempi brevi, come sono ad esempio quelli che servono per svolgere un’operazione di pagamento. Dal punto di vista computazionale, dunque, i sistemi OTP di nuova generazione sono più sicuri di quelli vecchi nella misura in cui le app che li generano dispongono di più moderni e complessi algoritmi atti a generare i codici per la cifratura. Tuttavia, anche queste nuove app nascondono insidie non indifferenti.

La prima insidia può sembrare ovvia, ma va ad intaccare il grado di sicurezza computazionale del metodo stesso: sia i siti delle banche adibiti al download delle app, sia le app stesse non risultano user friendly, ossia di facile impiego, per tutte quelle persone che non sono native digitali, vale a dire per tutti la popolazione di età media od avanzata, in primis pensionandi e pensionati, che spesso sono anche coloro che hanno maggiori riserve finanziarie (anche grazie al vecchio sistema di pensione retributiva, oggi non più in vigore). Costoro, talora già disorientati dal ripetersi di cambiamenti normativi sull’uso del contante, non sempre accolgono di buon grado l’utilizzo di nuovi metodi di pagamento. Una parte di questi soggetti, infatti, non è¨ così disposta a cambiare i vecchi dispositivi, ancora funzionanti seppur obsoleti, né a scaricare continui aggiornamenti di sistema e software, indispensabili per il corretto e veloce funzionamento delle app generatrici di OTP. Altri utenti, in particolare quei professionisti titolari di ditta individuale, in possesso di più conti così come previsto dalla normativa vigente, ma non in possesso di cellulare di servizio (non sempre scaricabile come bene strumentale), si trovano ad avere più conti in più banche e a dover scaricare “almeno in Italia“ una moltitudine di app, giacché ogni banca dispone della propria: questa categoria di utenti dichiara spesso di trovar più difficoltoso gestire tante app nel proprio dispositivo mobile, piuttosto che i diversi token fisici, che potevano essere tenuti al sicuro con maggior facilità.

Un secondo problema, infatti, riguarda proprio la sicurezza del dispositivo su cui i generatori di OTP sono installati: è esposto sia a furti fisici, che a clonazioni e a furto di dati, dato che, ad oggi, pochi utenti installano un adeguato antivirus su device quali smartphone (di solito addirittura privi di protezione) e tablet (di solito coperti, secondo il rapporto Verizon 2019, da antivirus più blandi di quelli usati per altri elaboratori).

Infine, un problema molto insidioso, già segnalato in altri casi è il seguente: può accadere che utenti inesperti non siano in grado di riconoscere le pagine e gli store ufficiali per il download delle app, da copie fake fatte arrivare sulla schermata del telefonino attraverso un’azione fraudolenta di re-indirizzamento dell’url o di vero e proprio cybersquatting (furto di uno spazio web o porzione di spazio altrui) ad opera di veri e propri cyber criminali o di cyber bulli.

Un caso simile, seppur non in ambiente finanziario, è stato visto nel 2017, quando alcuni enti pubblici furono obbligati a collegare la propria posta elettronica ed altre funzionalità ad operazioni di autorizzazione a mezzo di firma complessa, da realizzare, appunto, tramite l’uso di una app generatrice di OTP, disponibile sui più noti store. A fianco della app ufficiale, era stata creata una fake-app, in grado di rubare dati e credenziali da smartphone e tablet dei malcapitati utenti, che si vedevano coinvolti in acquisti all’estero mai fatti o in viaggi mai prenotati e compiuti da sconosciuti: la app falsa si differenziava solo per il colore dell’icona su cui cliccare per avviare il download (verde acqua anziché azzurra); diversi furono i casi di furto di dati e frode, che si susseguirono per circa due settimane, finché le competenti autorità non riuscirono a porre fine al fastidioso inconveniente.

Da quest’ultimo punto di vista, dunque, la sicurezza computazionale del nuovo sistema OTP non deve essere letta in termini “matematici” ed assoluti, ma deve essere contemperata anche con il grado medio di esperienza e le capacità  effettive degli utenti che se ne servono. Un monito, quest’ultimo, da non trascurare anche in questo caso: anche se non sarebbe possibile il ripetersi identico di una situazione quale quella del 2017, il rischio di violazione o intrusione a danno siti ufficiali esiste sempre e non va sottovalutato.