iTAN, mTAN, chipTAN? Pa­no­ra­mi­ca sulle procedure TAN

Prima il nome utente, poi il PIN e infine anche un TAN? Per molti utenti dell’online banking le procedure di sicurezza sono un male ne­ces­sa­rio di cui si farebbe vo­len­tie­ri a meno. Dalla sua in­tro­du­zio­ne nel 1976, il numero di tran­sa­zio­ne in par­ti­co­la­re ha con­tri­bui­to ef­fi­ca­ce­men­te alla pro­te­zio­ne delle proprie finanze, na­tu­ral­men­te a con­di­zio­ne che il titolare del conto applichi cor­ret­ta­men­te la relativa procedura TAN e non cada nelle trappole dei cy­ber­cri­mi­na­li. In questa guida potete scoprire quali procedure sono di­spo­ni­bi­li, quanto sono ef­fet­ti­va­men­te sicure e cosa potete fare per pro­teg­ge­re il denaro che avete duramente gua­da­gna­to.

Un TAN è una password uti­liz­za­bi­le una sola volta, di solito composta da sei cifre. All’estero si designa anche spesso come “one-time password” (ab­bre­via­ta in OTP). Si utilizza prin­ci­pal­men­te per i bonifici e per le modifiche alle im­po­sta­zio­ni nell’online banking. I TAN sono tra gli strumenti più fre­quen­te­men­te uti­liz­za­ti per l’au­ten­ti­ca­zio­ne a due fattori e creano un ulteriore ostacolo all’accesso in aggiunta a nome utente e PIN: hanno lo scopo di impedire a criminali di ottenere un controllo non au­to­riz­za­to sui conti bancari di terzi. Anche se questi ultimi fossero già in possesso del vostro PIN tramite phishing o trojan, senza TAN non possono ef­fet­tua­re alcuna tran­sa­zio­ne. Ciò è dovuto al fatto che ogni TAN è collegato di­ret­ta­men­te a dati sensibili quali l’IBAN e l’importo della tran­sa­zio­ne; inoltre un TAN è valido soltanto per una singola tran­sa­zio­ne e ha una durata temporale limitata, di solito di un paio di minuti.

Una procedura TAN con­trad­di­stin­gue il metodo con il quale viene trasmesso al legittimo utente un TAN valido e attuale, TAN che verrà uti­liz­za­to ai fini dell’au­ten­ti­ca­zio­ne. Esistono diverse procedure dif­fe­ren­ti, anche se il principio è per tutte molto simile:

1. In­nan­zi­tut­to ef­fet­tua­te il login nel portale Internet della vostra banca, tramite un’app di online banking o con un banking software, impostate il bonifico e inviatelo.
    
2. Le in­for­ma­zio­ni del bonifico da voi inserite vi verranno mostrate nuo­va­men­te. Con­trol­la­te­le con at­ten­zio­ne per ac­cer­tar­vi che si tratti della tran­sa­zio­ne de­si­de­ra­ta e che non sia stata in qualche modo ma­ni­po­la­ta da terzi. Dopodiché con­fer­ma­te il bonifico.
    
3. Ora la vostra banca vi chiederà un TAN valido, che verrà generato dalla procedura cor­ri­spon­den­te a ciò che avete inserito nei campi. Nell’inserire il numero valido di tran­sa­zio­ne, ve­ri­fi­ca­te il bonifico che verrà eseguito.

Forse qualcuno ancora di voi si ricorda il vecchio TAN che con­si­ste­va in una lista numerata su carta, che veniva con­se­gna­ta dalla propria banca. Per le­git­ti­ma­re una tran­sa­zio­ne, occorreva inserire un TAN a piacere dalla lista ricevuta. Quando tutti i codici della lista erano terminati, bisognava sem­pli­ce­men­te ordinarne una nuova. Il punto debole di questo classico pro­ce­di­men­to è molto evidente: basta perdere la lista, e chiunque la trovi entra in possesso di tutti i numeri di tran­sa­zio­ne ancora validi. Per questo motivo sono state create nuove e più sicure procedure TAN, la maggior parte delle quali uti­liz­za­no tec­no­lo­gie digitali.

Ci sono fornitori che con­sen­to­no anche l’utilizzo di pro­ce­di­men­ti diversi, mentre con alcuni occorre deciderne uno, che poi in seguito può essere mo­di­fi­ca­to. In alcuni casi la procedura TAN può com­por­ta­re costi ag­giun­ti­vi, come può accadere con l’HBCI (Ho­me­ban­king Computer Interface).

Le singole procedure dif­fe­ri­sco­no in termini di requisiti e costi di ac­qui­si­zio­ne, nonché in termini di comfort per l’utente e livello di sicurezza. Prima di prendere una decisione vale quindi la pena di esaminare cri­ti­ca­men­te le procedure TAN di­spo­ni­bi­li.

La co­sid­det­ta lista TAN in­di­ciz­za­ta è il suc­ces­so­re diretto della classica lista TAN ed è da tempo la procedura standard dell’online banking per i clienti privati. La novità più im­por­tan­te rispetto al suo pre­de­ces­so­re è che i clienti non possono più ve­ri­fi­ca­re i loro ordini di tra­sfe­ri­men­to con un TAN a piacere scelto dalla lista: al contrario l’istituto fi­nan­zia­rio in questione specifica un numero di posizione specifico (chiamato indice) che cor­ri­spon­de a un numero di tran­sa­zio­ne sulla lista e che non può essere previsto in anticipo.

Sebbene questa piccola modifica fornisca teo­ri­ca­men­te un livello di sicurezza molto più elevato, presenta tuttavia anche degli svantaggi: poiché non si sa mai in anticipo quale TAN ri­chie­de­rà la banca, è ne­ces­sa­rio avere sempre con sé l’intero elenco per le ope­ra­zio­ni di pagamento. Mentre nella variante classica era possibile scrivere TAN in­di­vi­dua­li che non erano di­ret­ta­men­te ri­co­no­sci­bi­li come TAN (avrebbero anche potuto essere numeri di telefono), una lista iTAN è sempre ri­co­no­sci­bi­le come tale.

Anche con questa procedura sono stati frequenti i casi in cui ma­lin­ten­zio­na­ti si siano im­pos­ses­sa­ti di tali elenchi e li abbiano uti­liz­za­ti per attività frau­do­len­te. L’iTAN è stato quindi ra­pi­da­men­te con­si­de­ra­to non com­ple­ta­men­te sicuro. L’esten­sio­ne iTANplus e l’in­tro­du­zio­ne di un numero di conferma hanno aumentato solo mar­gi­nal­men­te la sicurezza.

Tuttavia, alcune banche con­ti­nua­no a offrire le liste iTAN, anche se solo come “pro­te­zio­ne minima” che anche i fornitori stessi scon­si­glia­no se­gna­lan­do procedure più moderne. Ciò significa che solo i clienti esistenti che hanno trovato troppo costoso passare ad altre procedure uti­liz­za­no questo metodo. Ma presto anche la lista iTAN sarà un ricordo del passato: nel 2019 l’iTAN verrà de­fi­ni­ti­va­men­te abolito per tutte le banche secondo la nuova versione della direttiva UE sui servizi di pagamento PSD2. Perciò se uti­liz­za­te ancora la lista analogica, sarebbe opportuno co­min­cia­re ad abituarsi alle nuove procedure TAN.

Il concetto di sicurezza della procedura mTAN (detta anche procedura smsTAN o mobileTAN) si basa sull’utilizzo di un secondo di­spo­si­ti­vo, che di solito viene uti­liz­za­to in aggiunta al computer portatile o al computer uti­liz­za­to per accedere all’online banking. Se de­si­de­ra­te ve­ri­fi­ca­re un bonifico, la banca vi invierà un TAN appena generato via SMS (che potrebbe essere a pagamento) sul telefono cellulare o smart­pho­ne. A questo punto inserite il TAN nella vostra app di online banking.

A causa dell’uso diffuso dei telefoni cellulari, la procedura mTAN è molto popolare, motivo per cui molte banche europee la offrono come standard. Poiché non è ne­ces­sa­rio me­mo­riz­za­re un elenco cartaceo, mTAN è molto più sicuro della procedura iTAN. Inoltre, il cliente può con­trol­la­re nuo­va­men­te i dati inseriti (in par­ti­co­la­re il numero del conto di de­sti­na­zio­ne e l’importo del bonifico) su un di­spo­si­ti­vo separato per sma­sche­ra­re eventuali attacchi man in the middle.

Anche se l’online banking e la ricezione TAN possono essere eseguite su un unico di­spo­si­ti­vo, la maggior parte delle banche impedisce che ciò avvenga at­tra­ver­so ostacoli tecnici. Poiché se entrambi fossero in funzione sullo stesso di­spo­si­ti­vo, ciò ri­dur­reb­be no­te­vol­men­te la sicurezza dei bonifici. Tale se­pa­ra­zio­ne è quindi anche nell’interesse del cliente: poniamo il caso che il cliente perda il proprio smart­pho­ne e in questo modo entrambi i fattori di au­ten­ti­ca­zio­ne po­treb­be­ro cadere nelle mani di estranei. Per questo motivo bi­so­gne­reb­be sempre uti­liz­za­re un di­spo­si­ti­vo separato per l’online banking.

Se l’online banking e la ricezione del TAN avvengono su di­spo­si­ti­vi separati, la procedura mTAN offre un livello di sicurezza medio-alto. Tuttavia, anche la re­pu­ta­zio­ne di questa procedura ha sofferto di recente, poiché i telefoni cellulari nel tempo si sono evoluti in di­spo­si­ti­vi mul­ti­fun­zio­ne con una con­nes­sio­ne Internet costante, ed è quindi sempre più facile per i cy­ber­cri­mi­na­li ottenere i dati di accesso ivi me­mo­riz­za­ti uti­liz­zan­do fishing e trojan. Per questo il consiglio sarebbe quello di uti­liz­za­re un telefono fisso con funzione SMS anziché uno smart­pho­ne, perché di norma non è possibile in­stal­la­re su di esso nessun software ag­giun­ti­vo, e quindi nessun malware.

Sebbene il processo pushTAN preveda un solo di­spo­si­ti­vo mobile (come uno smart­pho­ne o un tablet), consente comunque l’au­ten­ti­ca­zio­ne a due fattori. In questo processo, il di­spo­si­ti­vo mobile utilizza due canali lo­gi­ca­men­te separati: su uno il cliente si muove at­tra­ver­so il portale Internet della propria banca o la relativa app, mentre sull’altro è in­stal­la­ta un’app pushTAN (di­spo­ni­bi­le gra­tui­ta­men­te su Apple Store o Google Play) protetta da password, che vi­sua­liz­za nuo­va­men­te i dati di tra­sfe­ri­men­to per la verifica e genera su richiesta un TAN valido. Questo TAN può poi essere inserito nell’online banking o, se l’ap­pli­ca­zio­ne di banking e pushTAN sono com­pa­ti­bi­li, viene tra­sfe­ri­to di­ret­ta­men­te nel modulo del bonifico. In questo modo avrete il vantaggio di poter uti­liz­za­re un solo di­spo­si­ti­vo per svolgere le vostre attività bancarie, anche quando non siete a casa.

Se optate per questo metodo, tuttavia, è ne­ces­sa­rio prestare at­ten­zio­ne al proprio smart­pho­ne. Na­tu­ral­men­te ci si accorge più fa­cil­men­te della perdita di un di­spo­si­ti­vo mobile rispetto alla perdita di un piccolo elenco cartaceo, ma se non si reagisce ab­ba­stan­za ra­pi­da­men­te e chi trova il vostro smart­pho­ne ha già le cre­den­zia­li per l’online banking, questi potrà uti­liz­za­re il vostro smart­pho­ne per creare numeri di tran­sa­zio­ne validi ed ef­fet­tua­re bonifici. Questa even­tua­li­tà è par­ti­co­lar­men­te rischiosa se uti­liz­za­te la stessa password per le vostre ap­pli­ca­zio­ni di online banking e pushTAN. Per essere al sicuro, è quindi ne­ces­sa­rio separare stret­ta­men­te l’online banking e la ge­ne­ra­zio­ne di TAN, come con la procedura mTAN, ad esempio in­stal­lan­do l’app di Banking e l’app pushTAN su due di­spo­si­ti­vi separati.

Per la co­sid­det­ta procedura chipTAN o smartTAN plus è ne­ces­sa­rio un hardware ag­giun­ti­vo: il co­sid­det­to ge­ne­ra­to­re di chipTAN. Il piccolo di­spo­si­ti­vo wireless è di­spo­ni­bi­le sia come versione specifica della vostra banca sia come prodotto dedicato nei negozi spe­cia­liz­za­ti. I di­spo­si­ti­vi economici di solito costano circa 10-15 euro, anche se alcune banche inviano gra­tui­ta­men­te un di­spo­si­ti­vo di questo tipo ai propri clienti. Si possono uti­liz­za­re questi di­spo­si­ti­vi in sicurezza per più account e persone. Per attivare il ge­ne­ra­to­re di chipTAN è ne­ces­sa­ria una carta con un chip (di solito il bancomat della ri­spet­ti­va banca), che si richiede alla propria banca. Per generare un TAN, è ne­ces­sa­rio inserire questa chip card nel ge­ne­ra­to­re di chipTAN. Se ora eseguite un bonifico tramite online banking, dai dati inseriti viene generato un codice a barre grafico. Se si punta il ge­ne­ra­to­re di chipTAN con i suoi sensori ottici verso lo schermo, esso scansiona il codice ed emette un TAN. Se la scansione non dovesse fun­zio­na­re per qualunque ragione, è anche possibile inserire ma­nual­men­te i dati di tra­sfe­ri­men­to.

Poiché il ge­ne­ra­to­re di chipTAN non è mai connesso a Internet, la procedura è con­si­de­ra­ta par­ti­co­lar­men­te sicura, in quanto i cy­ber­cri­mi­na­li dif­fi­cil­men­te possono accedere al ge­ne­ra­to­re. Ciò rende questa procedura par­ti­co­lar­men­te van­tag­gio­sa, no­no­stan­te i possibili costi di acquisto dell’ap­pa­rec­chio e l’ulteriore sforzo che richiede. Un rischio po­ten­zia­le, tuttavia, è la perdita della chip card. Se un ma­lin­ten­zio­na­to dovesse entrare in possesso della carta, potrebbe teo­ri­ca­men­te generare un numero infinito di numeri di tran­sa­zio­ne con qualsiasi ge­ne­ra­to­re di chipTAN. Quindi, se perdete la vostra chip card, bloc­ca­te­la im­me­dia­ta­men­te presso la vostra banca per evitare abusi. In ogni caso, in caso di perdita della carta, al di là della procedura TAN, è comunque ne­ces­sa­rio co­mu­ni­ca­re alla banca la perdita al più presto, dato che non sempre nei negozi è il richiesto il PIN associato alla carta per pagare.

I singoli ap­pa­rec­chi si dif­fe­ren­zia­no so­prat­tut­to nel design e nella fun­zio­na­li­tà. Ce ne sono alcuni ad esempio che as­so­mi­glia­no a una cal­co­la­tri­ce standard con display mul­ti­li­nea, altri hanno le di­men­sio­ni di una chiavetta USB, ma non hanno display. È utile avere una batteria dalla lunga durata e il bluetooth (per il tra­sfe­ri­men­to di bonifici e TAN), ma so­prat­tut­to è im­por­tan­te che il ge­ne­ra­to­re TAN soddisfi gli standard di sicurezza.

Il processo photoTAN, re­la­ti­va­men­te nuovo, è so­stan­zial­men­te simile al processo chipTAN sopra descritto, in quanto viene uti­liz­za­to un hardware speciale, vale a dire un lettore di photoTAN (il cui prezzo varia dai 15 ai 30 euro circa). In al­ter­na­ti­va a questo di­spo­si­ti­vo, è possibile uti­liz­za­re anche un’app gratuita photoTAN che utilizza la fo­to­ca­me­ra dello smart­pho­ne. Invece del codice a barre, la procedura photoTAN scansiona un mosaico grafico a colori.

Questa procedura offre gli stessi vantaggi di pushTAN e chipTAN, ma anche gli stessi rischi: in­nan­zi­tut­to la perdita della chip card dello smart­pho­ne su cui è in­stal­la­ta l’app photoTAN. Il fatto che tali app e quindi la tra­smis­sio­ne TAN possano essere violate è stato di­mo­stra­to da ri­cer­ca­to­ri nel campo della sicurezza IT già nel 2016. Nel loro espe­ri­men­to, tuttavia, sia l’online banking che l’app photoTAN erano in­stal­la­te sullo stesso di­spo­si­ti­vo. Poiché la procedura non è ancora offerta da molte banche, gli esperti ritengono che sia im­pro­ba­bi­le un elevato tasso di frode nell’uso del photoTAN, anche se l’hacking è tec­ni­ca­men­te possibile in linea di principio quando si utilizza uno smart­pho­ne anziché un lettore. Tuttavia, anche questo rischio si può ridurre uti­liz­zan­do un lettore.

Lo standard HBCI (Home Banking Computer Interface), svi­lup­pa­to già nel 1998, non è una procedura TAN in senso stretto, quanto piuttosto un mec­ca­ni­smo di sicurezza per le tran­sa­zio­ni bancarie su Internet. È stato pro­get­ta­to prin­ci­pal­men­te per le aziende e gli utenti con più conti presso diversi istituti fi­nan­zia­ri. Sebbene la procedura nel 2002 sia stata ri­no­mi­na­ta FinTS (Financial Tran­sac­tion Services), è ancora co­no­sciu­ta come HBCI.

Ana­lo­ga­men­te a chipTAN e photoTAN, la procedura richiede un lettore di carte (per un costo di circa 60 euro) in com­bi­na­zio­ne con una chip card. Inoltre, gli utenti hanno bisogno di un PIN e di uno speciale software fi­nan­zia­rio. Quest’ultimo è di­spo­ni­bi­le presso i ri­ven­di­to­ri spe­cia­liz­za­ti o di­ret­ta­men­te presso la propria banca a un prezzo di acquisto che varia dai 20 ai 100 euro circa (a seconda della versione e della gamma di funzioni) o può essere no­leg­gia­to per un canone mensile tra i 5 e i 10 euro circa.

Il complesso processo di re­gi­stra­zio­ne per la procedura ga­ran­ti­sce un elevato standard di sicurezza dell’HBCI:

1. Per prima cosa avviate il vostro software fi­nan­zia­rio e accedete con i vostri dati. Il programma genera au­to­ma­ti­ca­men­te due chiavi digitali: una chiave per la firma per la chip card e una chiave di crit­to­gra­fia per il server della banca, chiavi che fungono da firma elet­tro­ni­ca per tutte le tran­sa­zio­ni.
    
2. Dopo aver preparato i dati del vostro bonifico bancario, collegate il lettore di carte HBCI al vostro computer, ve­ri­fi­ca­te tramite PIN e inserite la vostra carta chip HBCI nel di­spo­si­ti­vo.
    
3. La chiave per la firma sulla chip card ora legittima il tra­sfe­ri­men­to, che viene co­di­fi­ca­to con la chiave di crit­to­gra­fia e inviato al server della banca tramite una linea multi-secured. Non appena il server ha con­trol­la­to la chiave di crit­to­gra­fia, viene eseguito il tra­sfe­ri­men­to.

Dati gli elevati costi di ac­qui­si­zio­ne e la com­ples­si­tà della procedura, è probabile che HBCI risulti poco al­let­tan­te per la maggior parte degli utenti privati. Tuttavia, è senza dubbio la procedura TAN più sicura at­tual­men­te di­spo­ni­bi­le sul mercato. Poiché i cy­ber­cri­mi­na­li tendono a con­cen­trar­si su sistemi operativi e browser comuni piuttosto che svi­lup­pa­re metodi di attacco per rari programmi di home banking, a oggi non sono noti casi di frode.

Ogni procedura TAN ha i propri vantaggi e svantaggi. Per trovare quella più adatta a voi, dovrete soppesare costi, servizi e grado di sicurezza. Non sa­cri­fi­ca­te però la sicurezza alla comodità.

Le procedure TAN ga­ran­ti­sco­no il massimo livello di sicurezza possibile nell’online banking, sicurezza che però non è mai al cento per cento, no­no­stan­te alcuni fornitori lo so­sten­ga­no. Fa si­cu­ra­men­te ri­flet­te­re il fatto che, ad eccezione di HBCI, che non è una procedura TAN in senso stretto, tutte le procedure TAN sono state violate con successo. Sebbene le lacune di sicurezza inerenti alla procedura abbiano svolto un ruolo im­por­tan­te nelle frodi in questione, il fattore decisivo di solito è stato la vul­ne­ra­bi­li­tà del cliente: isolato dall’in­fra­strut­tu­ra di sicurezza interna della banca, spesso con poca fa­mi­lia­ri­tà con le questioni in­for­ma­ti­che, e agendo talvolta im­pul­si­va­men­te, il cliente è l’anello più debole della catena per molti ma­lin­ten­zio­na­ti.

Questo è anche il motivo per cui gli attacchi in­for­ma­ti­ci su un conto bancario hanno sempre come obiettivo primario il pro­prie­ta­rio. Per questo motivo, è compito del cliente af­fron­ta­re il tema della sicurezza dei propri conti bancari e svi­lup­pa­re la con­sa­pe­vo­lez­za della gestione sicura delle procedure di online banking e TAN. In questo contesto, può essere utile conoscere e com­pren­de­re il fun­zio­na­men­to tipico di un attacco. Al giorno d’oggi vi è una grande varietà di possibili scenari di attacco, e ogni giorno i ma­lin­ten­zio­na­ti trovano nuove strade per ap­pro­priar­si di denaro altrui. Pertanto è im­pos­si­bi­le pre­sen­ta­re esau­sti­va­men­te tutti i tipi di attacchi e tutti i trucchi uti­liz­za­ti dai cy­ber­cri­mi­na­li, ma vorremmo almeno fornirvi alcuni esempi tipici di attacco. I seguenti esempi si ri­fe­ri­sco­no alla procedura mTAN:

per poter uti­liz­za­re il fattore umano per in­fil­trar­si in un sistema di sicurezza in­for­ma­ti­ca, gli hacker esperti uti­liz­za­no una selezione di strumenti digitali e tecnici e so­prat­tut­to un metodo, quello del Social En­gi­nee­ring. Essi cercano di fare in modo che la loro vittima si comporti in modo scorretto in una si­tua­zio­ne critica per la sicurezza. Ad esempio, un hacker potrebbe porsi come di­pen­den­te di un’azienda esterna di supporto in­for­ma­ti­co a cui è stato chiesto di risolvere problemi con i software di con­ta­bi­li­tà e di online banking. In questo contesto, egli cerca di ottenere l’accesso o le coor­di­na­te bancarie della persona che ha con­tat­ta­to.

Spesso il primo passo di un cy­be­rat­tac­co è quello di in­tro­dur­re un trojan. Questo accade, ad esempio, quando la vittima viene indotta a cliccare su un link infetto in un’e-mail af­fi­da­bi­le. Quanto più ri­spet­ta­bi­le è l’e-mail e il suo indirizzo, tanto più è probabile che questo tipo di phishing abbia successo. Oggetti come “sollecito”, “so­spen­sio­ne dell’account” o “verifica della sicurezza” mirano a porre sotto stress la po­ten­zia­le vittima e a in­co­rag­giar­la a in­tra­pren­de­re un’azione scon­si­de­ra­ta.

1. In qualsiasi modo venga in­tro­dot­to il trojan bancario, una volta che è sul di­spo­si­ti­vo con cui si esegue l’online banking, può spiare i dati di accesso cor­ri­spon­den­ti. L’hacker ha così superato il primo ostacolo.
    
2. Ora l’hacker deve solo superare l’ostacolo della procedura TAN, per la quale ha una serie di opzioni diverse; noi ve ne pre­sen­te­re­mo 3:

• Rubare il di­spo­si­ti­vo mobile è pro­ba­bil­men­te il metodo più comune, ma è anche quello che la vittima nota più ra­pi­da­men­te.
   
• Un’altra strategia è quella di uti­liz­za­re i dati di accesso acquisiti per tra­sfe­ri­re il numero di cellulare del titolare del conto su una seconda carta SIM o per ri­chie­de­re una carta SIM ag­giun­ti­va. L’hacker la configura in modo tale che gli SMS (e quindi anche i numeri di tran­sa­zio­ne) vengano inviati soltanto alla propria carta SIM, mentre tutte le altre funzioni (ad esempio te­le­fo­na­re) rimangono a di­spo­si­zio­ne della vittima. La vittima si accorge che c’è qualcosa che non va soltanto dopo un po’ di tempo.
   
• Par­ti­co­lar­men­te insidioso è l’attacco man in the middle o man in the browser, perché è quasi in­vi­si­bi­le: il trojan si annida nel browser della vittima e manipola la rap­pre­sen­ta­zio­ne visiva di una piat­ta­for­ma di online banking. Ad esempio, il trojan modifica elementi esistenti o ne aggiunge di nuovi. La vittima in­con­sa­pe­vo­le inserisce le in­for­ma­zio­ni per il proprio bonifico, compreso il cor­ri­spon­den­te TAN, come di consueto, e le trasmette entrambe. Ma nel frattempo l’hacker ha già in­ter­cet­ta­to i dati e dirige i tra­sfe­ri­men­ti sul proprio conto bancario. A seconda dell’in­tel­li­gen­za con cui procede, po­treb­be­ro volerci settimane o ad­di­rit­tu­ra mesi perché il danno venga scoperto.

Come un cy­ber­cri­mi­na­le arriva infine al vostro TAN, non è rilevante per i con­su­ma­to­ri, ma è molto più im­por­tan­te con­cen­tra­re i propri sforzi per evitare i primi passi di un attacco in­for­ma­ti­co (social en­gi­nee­ring e trojan bancari). Ad esempio, bisogna prestare par­ti­co­la­re at­ten­zio­ne ai tipici indizi di phishing e a non tra­smet­te­re dati sensibili senza pensarci a sco­no­sciu­ti, anche se questi agiscono come fornitori di servizi af­fi­da­bi­li (supporto IT, fornitori di servizi contabili, ecc.).