iTAN, mTAN, chipTAN? Panoramica sulle procedure TAN

Prima il nome utente, poi il PIN e infine anche un TAN? Per molti utenti dell’online banking le procedure di sicurezza sono un male necessario di cui si farebbe volentieri a meno. Dalla sua introduzione nel 1976, il numero di transazione in particolare ha contribuito efficacemente alla protezione delle proprie finanze, naturalmente a condizione che il titolare del conto applichi correttamente la relativa procedura TAN e non cada nelle trappole dei cybercriminali. In questa guida potete scoprire quali procedure sono disponibili, quanto sono effettivamente sicure e cosa potete fare per proteggere il denaro che avete duramente guadagnato.

Un TAN è una password utilizzabile una sola volta, di solito composta da sei cifre. All’estero si designa anche spesso come “one-time password” (abbreviata in OTP). Si utilizza principalmente per i bonifici e per le modifiche alle impostazioni nell’online banking. I TAN sono tra gli strumenti più frequentemente utilizzati per l’autenticazione a due fattori e creano un ulteriore ostacolo all’accesso in aggiunta a nome utente e PIN: hanno lo scopo di impedire a criminali di ottenere un controllo non autorizzato sui conti bancari di terzi. Anche se questi ultimi fossero già in possesso del vostro PIN tramite phishing o trojan, senza TAN non possono effettuare alcuna transazione. Ciò è dovuto al fatto che ogni TAN è collegato direttamente a dati sensibili quali l’IBAN e l’importo della transazione; inoltre un TAN è valido soltanto per una singola transazione e ha una durata temporale limitata, di solito di un paio di minuti.

Una procedura TAN contraddistingue il metodo con il quale viene trasmesso al legittimo utente un TAN valido e attuale, TAN che verrà utilizzato ai fini dell’autenticazione. Esistono diverse procedure differenti, anche se il principio è per tutte molto simile:

1. Innanzitutto effettuate il login nel portale Internet della vostra banca, tramite un’app di online banking o con un banking software, impostate il bonifico e inviatelo.
    
2. Le informazioni del bonifico da voi inserite vi verranno mostrate nuovamente. Controllatele con attenzione per accertarvi che si tratti della transazione desiderata e che non sia stata in qualche modo manipolata da terzi. Dopodiché confermate il bonifico.
    
3. Ora la vostra banca vi chiederà un TAN valido, che verrà generato dalla procedura corrispondente a ciò che avete inserito nei campi. Nell’inserire il numero valido di transazione, verificate il bonifico che verrà eseguito.

Forse qualcuno ancora di voi si ricorda il vecchio TAN che consisteva in una lista numerata su carta, che veniva consegnata dalla propria banca. Per legittimare una transazione, occorreva inserire un TAN a piacere dalla lista ricevuta. Quando tutti i codici della lista erano terminati, bisognava semplicemente ordinarne una nuova. Il punto debole di questo classico procedimento è molto evidente: basta perdere la lista, e chiunque la trovi entra in possesso di tutti i numeri di transazione ancora validi. Per questo motivo sono state create nuove e più sicure procedure TAN, la maggior parte delle quali utilizzano tecnologie digitali.

Ci sono fornitori che consentono anche l’utilizzo di procedimenti diversi, mentre con alcuni occorre deciderne uno, che poi in seguito può essere modificato. In alcuni casi la procedura TAN può comportare costi aggiuntivi, come può accadere con l’HBCI (Homebanking Computer Interface).

Le singole procedure differiscono in termini di requisiti e costi di acquisizione, nonché in termini di comfort per l’utente e livello di sicurezza. Prima di prendere una decisione vale quindi la pena di esaminare criticamente le procedure TAN disponibili.

La cosiddetta lista TAN indicizzata è il successore diretto della classica lista TAN ed è da tempo la procedura standard dell’online banking per i clienti privati. La novità più importante rispetto al suo predecessore è che i clienti non possono più verificare i loro ordini di trasferimento con un TAN a piacere scelto dalla lista: al contrario l’istituto finanziario in questione specifica un numero di posizione specifico (chiamato indice) che corrisponde a un numero di transazione sulla lista e che non può essere previsto in anticipo.

Sebbene questa piccola modifica fornisca teoricamente un livello di sicurezza molto più elevato, presenta tuttavia anche degli svantaggi: poiché non si sa mai in anticipo quale TAN richiederà la banca, è necessario avere sempre con sé l’intero elenco per le operazioni di pagamento. Mentre nella variante classica era possibile scrivere TAN individuali che non erano direttamente riconoscibili come TAN (avrebbero anche potuto essere numeri di telefono), una lista iTAN è sempre riconoscibile come tale.

Anche con questa procedura sono stati frequenti i casi in cui malintenzionati si siano impossessati di tali elenchi e li abbiano utilizzati per attività fraudolente. L’iTAN è stato quindi rapidamente considerato non completamente sicuro. L’estensione iTANplus e l’introduzione di un numero di conferma hanno aumentato solo marginalmente la sicurezza.

Tuttavia, alcune banche continuano a offrire le liste iTAN, anche se solo come “protezione minima” che anche i fornitori stessi sconsigliano segnalando procedure più moderne. Ciò significa che solo i clienti esistenti che hanno trovato troppo costoso passare ad altre procedure utilizzano questo metodo. Ma presto anche la lista iTAN sarà un ricordo del passato: nel 2019 l’iTAN verrà definitivamente abolito per tutte le banche secondo la nuova versione della direttiva UE sui servizi di pagamento PSD2. Perciò se utilizzate ancora la lista analogica, sarebbe opportuno cominciare ad abituarsi alle nuove procedure TAN.

Il concetto di sicurezza della procedura mTAN (detta anche procedura smsTAN o mobileTAN) si basa sull’utilizzo di un secondo dispositivo, che di solito viene utilizzato in aggiunta al computer portatile o al computer utilizzato per accedere all’online banking. Se desiderate verificare un bonifico, la banca vi invierà un TAN appena generato via SMS (che potrebbe essere a pagamento) sul telefono cellulare o smartphone. A questo punto inserite il TAN nella vostra app di online banking.

A causa dell’uso diffuso dei telefoni cellulari, la procedura mTAN è molto popolare, motivo per cui molte banche europee la offrono come standard. Poiché non è necessario memorizzare un elenco cartaceo, mTAN è molto più sicuro della procedura iTAN. Inoltre, il cliente può controllare nuovamente i dati inseriti (in particolare il numero del conto di destinazione e l’importo del bonifico) su un dispositivo separato per smascherare eventuali attacchi man in the middle.

Anche se l’online banking e la ricezione TAN possono essere eseguite su un unico dispositivo, la maggior parte delle banche impedisce che ciò avvenga attraverso ostacoli tecnici. Poiché se entrambi fossero in funzione sullo stesso dispositivo, ciò ridurrebbe notevolmente la sicurezza dei bonifici. Tale separazione è quindi anche nell’interesse del cliente: poniamo il caso che il cliente perda il proprio smartphone e in questo modo entrambi i fattori di autenticazione potrebbero cadere nelle mani di estranei. Per questo motivo bisognerebbe sempre utilizzare un dispositivo separato per l’online banking.

Se l’online banking e la ricezione del TAN avvengono su dispositivi separati, la procedura mTAN offre un livello di sicurezza medio-alto. Tuttavia, anche la reputazione di questa procedura ha sofferto di recente, poiché i telefoni cellulari nel tempo si sono evoluti in dispositivi multifunzione con una connessione Internet costante, ed è quindi sempre più facile per i cybercriminali ottenere i dati di accesso ivi memorizzati utilizzando fishing e trojan. Per questo il consiglio sarebbe quello di utilizzare un telefono fisso con funzione SMS anziché uno smartphone, perché di norma non è possibile installare su di esso nessun software aggiuntivo, e quindi nessun malware.

Sebbene il processo pushTAN preveda un solo dispositivo mobile (come uno smartphone o un tablet), consente comunque l’autenticazione a due fattori. In questo processo, il dispositivo mobile utilizza due canali logicamente separati: su uno il cliente si muove attraverso il portale Internet della propria banca o la relativa app, mentre sull’altro è installata un’app pushTAN (disponibile gratuitamente su Apple Store o Google Play) protetta da password, che visualizza nuovamente i dati di trasferimento per la verifica e genera su richiesta un TAN valido. Questo TAN può poi essere inserito nell’online banking o, se l’applicazione di banking e pushTAN sono compatibili, viene trasferito direttamente nel modulo del bonifico. In questo modo avrete il vantaggio di poter utilizzare un solo dispositivo per svolgere le vostre attività bancarie, anche quando non siete a casa.

Se optate per questo metodo, tuttavia, è necessario prestare attenzione al proprio smartphone. Naturalmente ci si accorge più facilmente della perdita di un dispositivo mobile rispetto alla perdita di un piccolo elenco cartaceo, ma se non si reagisce abbastanza rapidamente e chi trova il vostro smartphone ha già le credenziali per l’online banking, questi potrà utilizzare il vostro smartphone per creare numeri di transazione validi ed effettuare bonifici. Questa eventualità è particolarmente rischiosa se utilizzate la stessa password per le vostre applicazioni di online banking e pushTAN. Per essere al sicuro, è quindi necessario separare strettamente l’online banking e la generazione di TAN, come con la procedura mTAN, ad esempio installando l’app di Banking e l’app pushTAN su due dispositivi separati.

Per la cosiddetta procedura chipTAN o smartTAN plus è necessario un hardware aggiuntivo: il cosiddetto generatore di chipTAN. Il piccolo dispositivo wireless è disponibile sia come versione specifica della vostra banca sia come prodotto dedicato nei negozi specializzati. I dispositivi economici di solito costano circa 10-15 euro, anche se alcune banche inviano gratuitamente un dispositivo di questo tipo ai propri clienti. Si possono utilizzare questi dispositivi in sicurezza per più account e persone. Per attivare il generatore di chipTAN è necessaria una carta con un chip (di solito il bancomat della rispettiva banca), che si richiede alla propria banca. Per generare un TAN, è necessario inserire questa chip card nel generatore di chipTAN. Se ora eseguite un bonifico tramite online banking, dai dati inseriti viene generato un codice a barre grafico. Se si punta il generatore di chipTAN con i suoi sensori ottici verso lo schermo, esso scansiona il codice ed emette un TAN. Se la scansione non dovesse funzionare per qualunque ragione, è anche possibile inserire manualmente i dati di trasferimento.

Poiché il generatore di chipTAN non è mai connesso a Internet, la procedura è considerata particolarmente sicura, in quanto i cybercriminali difficilmente possono accedere al generatore. Ciò rende questa procedura particolarmente vantaggiosa, nonostante i possibili costi di acquisto dell’apparecchio e l’ulteriore sforzo che richiede. Un rischio potenziale, tuttavia, è la perdita della chip card. Se un malintenzionato dovesse entrare in possesso della carta, potrebbe teoricamente generare un numero infinito di numeri di transazione con qualsiasi generatore di chipTAN. Quindi, se perdete la vostra chip card, bloccatela immediatamente presso la vostra banca per evitare abusi. In ogni caso, in caso di perdita della carta, al di là della procedura TAN, è comunque necessario comunicare alla banca la perdita al più presto, dato che non sempre nei negozi è il richiesto il PIN associato alla carta per pagare.

I singoli apparecchi si differenziano soprattutto nel design e nella funzionalità. Ce ne sono alcuni ad esempio che assomigliano a una calcolatrice standard con display multilinea, altri hanno le dimensioni di una chiavetta USB, ma non hanno display. È utile avere una batteria dalla lunga durata e il bluetooth (per il trasferimento di bonifici e TAN), ma soprattutto è importante che il generatore TAN soddisfi gli standard di sicurezza.

Il processo photoTAN, relativamente nuovo, è sostanzialmente simile al processo chipTAN sopra descritto, in quanto viene utilizzato un hardware speciale, vale a dire un lettore di photoTAN (il cui prezzo varia dai 15 ai 30 euro circa). In alternativa a questo dispositivo, è possibile utilizzare anche un’app gratuita photoTAN che utilizza la fotocamera dello smartphone. Invece del codice a barre, la procedura photoTAN scansiona un mosaico grafico a colori.

Questa procedura offre gli stessi vantaggi di pushTAN e chipTAN, ma anche gli stessi rischi: innanzitutto la perdita della chip card dello smartphone su cui è installata l’app photoTAN. Il fatto che tali app e quindi la trasmissione TAN possano essere violate è stato dimostrato da ricercatori nel campo della sicurezza IT già nel 2016. Nel loro esperimento, tuttavia, sia l’online banking che l’app photoTAN erano installate sullo stesso dispositivo. Poiché la procedura non è ancora offerta da molte banche, gli esperti ritengono che sia improbabile un elevato tasso di frode nell’uso del photoTAN, anche se l’hacking è tecnicamente possibile in linea di principio quando si utilizza uno smartphone anziché un lettore. Tuttavia, anche questo rischio si può ridurre utilizzando un lettore.

Lo standard HBCI (Home Banking Computer Interface), sviluppato già nel 1998, non è una procedura TAN in senso stretto, quanto piuttosto un meccanismo di sicurezza per le transazioni bancarie su Internet. È stato progettato principalmente per le aziende e gli utenti con più conti presso diversi istituti finanziari. Sebbene la procedura nel 2002 sia stata rinominata FinTS (Financial Transaction Services), è ancora conosciuta come HBCI.

Analogamente a chipTAN e photoTAN, la procedura richiede un lettore di carte (per un costo di circa 60 euro) in combinazione con una chip card. Inoltre, gli utenti hanno bisogno di un PIN e di uno speciale software finanziario. Quest’ultimo è disponibile presso i rivenditori specializzati o direttamente presso la propria banca a un prezzo di acquisto che varia dai 20 ai 100 euro circa (a seconda della versione e della gamma di funzioni) o può essere noleggiato per un canone mensile tra i 5 e i 10 euro circa.

Il complesso processo di registrazione per la procedura garantisce un elevato standard di sicurezza dell’HBCI:

1. Per prima cosa avviate il vostro software finanziario e accedete con i vostri dati. Il programma genera automaticamente due chiavi digitali: una chiave per la firma per la chip card e una chiave di crittografia per il server della banca, chiavi che fungono da firma elettronica per tutte le transazioni.
    
2. Dopo aver preparato i dati del vostro bonifico bancario, collegate il lettore di carte HBCI al vostro computer, verificate tramite PIN e inserite la vostra carta chip HBCI nel dispositivo.
    
3. La chiave per la firma sulla chip card ora legittima il trasferimento, che viene codificato con la chiave di crittografia e inviato al server della banca tramite una linea multi-secured. Non appena il server ha controllato la chiave di crittografia, viene eseguito il trasferimento.

Dati gli elevati costi di acquisizione e la complessità della procedura, è probabile che HBCI risulti poco allettante per la maggior parte degli utenti privati. Tuttavia, è senza dubbio la procedura TAN più sicura attualmente disponibile sul mercato. Poiché i cybercriminali tendono a concentrarsi su sistemi operativi e browser comuni piuttosto che sviluppare metodi di attacco per rari programmi di home banking, a oggi non sono noti casi di frode.

Ogni procedura TAN ha i propri vantaggi e svantaggi. Per trovare quella più adatta a voi, dovrete soppesare costi, servizi e grado di sicurezza. Non sacrificate però la sicurezza alla comodità.

Le procedure TAN garantiscono il massimo livello di sicurezza possibile nell’online banking, sicurezza che però non è mai al cento per cento, nonostante alcuni fornitori lo sostengano. Fa sicuramente riflettere il fatto che, ad eccezione di HBCI, che non è una procedura TAN in senso stretto, tutte le procedure TAN sono state violate con successo. Sebbene le lacune di sicurezza inerenti alla procedura abbiano svolto un ruolo importante nelle frodi in questione, il fattore decisivo di solito è stato la vulnerabilità del cliente: isolato dall’infrastruttura di sicurezza interna della banca, spesso con poca familiarità con le questioni informatiche, e agendo talvolta impulsivamente, il cliente è l’anello più debole della catena per molti malintenzionati.

Questo è anche il motivo per cui gli attacchi informatici su un conto bancario hanno sempre come obiettivo primario il proprietario. Per questo motivo, è compito del cliente affrontare il tema della sicurezza dei propri conti bancari e sviluppare la consapevolezza della gestione sicura delle procedure di online banking e TAN. In questo contesto, può essere utile conoscere e comprendere il funzionamento tipico di un attacco. Al giorno d’oggi vi è una grande varietà di possibili scenari di attacco, e ogni giorno i malintenzionati trovano nuove strade per appropriarsi di denaro altrui. Pertanto è impossibile presentare esaustivamente tutti i tipi di attacchi e tutti i trucchi utilizzati dai cybercriminali, ma vorremmo almeno fornirvi alcuni esempi tipici di attacco. I seguenti esempi si riferiscono alla procedura mTAN:

per poter utilizzare il fattore umano per infiltrarsi in un sistema di sicurezza informatica, gli hacker esperti utilizzano una selezione di strumenti digitali e tecnici e soprattutto un metodo, quello del Social Engineering. Essi cercano di fare in modo che la loro vittima si comporti in modo scorretto in una situazione critica per la sicurezza. Ad esempio, un hacker potrebbe porsi come dipendente di un’azienda esterna di supporto informatico a cui è stato chiesto di risolvere problemi con i software di contabilità e di online banking. In questo contesto, egli cerca di ottenere l’accesso o le coordinate bancarie della persona che ha contattato.

Spesso il primo passo di un cyberattacco è quello di introdurre un trojan. Questo accade, ad esempio, quando la vittima viene indotta a cliccare su un link infetto in un’e-mail affidabile. Quanto più rispettabile è l’e-mail e il suo indirizzo, tanto più è probabile che questo tipo di phishing abbia successo. Oggetti come “sollecito”, “sospensione dell’account” o “verifica della sicurezza” mirano a porre sotto stress la potenziale vittima e a incoraggiarla a intraprendere un’azione sconsiderata.

1. In qualsiasi modo venga introdotto il trojan bancario, una volta che è sul dispositivo con cui si esegue l’online banking, può spiare i dati di accesso corrispondenti. L’hacker ha così superato il primo ostacolo.
    
2. Ora l’hacker deve solo superare l’ostacolo della procedura TAN, per la quale ha una serie di opzioni diverse; noi ve ne presenteremo 3:

• Rubare il dispositivo mobile è probabilmente il metodo più comune, ma è anche quello che la vittima nota più rapidamente.
   
• Un’altra strategia è quella di utilizzare i dati di accesso acquisiti per trasferire il numero di cellulare del titolare del conto su una seconda carta SIM o per richiedere una carta SIM aggiuntiva. L’hacker la configura in modo tale che gli SMS (e quindi anche i numeri di transazione) vengano inviati soltanto alla propria carta SIM, mentre tutte le altre funzioni (ad esempio telefonare) rimangono a disposizione della vittima. La vittima si accorge che c’è qualcosa che non va soltanto dopo un po’ di tempo.
   
• Particolarmente insidioso è l’attacco man in the middle o man in the browser, perché è quasi invisibile: il trojan si annida nel browser della vittima e manipola la rappresentazione visiva di una piattaforma di online banking. Ad esempio, il trojan modifica elementi esistenti o ne aggiunge di nuovi. La vittima inconsapevole inserisce le informazioni per il proprio bonifico, compreso il corrispondente TAN, come di consueto, e le trasmette entrambe. Ma nel frattempo l’hacker ha già intercettato i dati e dirige i trasferimenti sul proprio conto bancario. A seconda dell’intelligenza con cui procede, potrebbero volerci settimane o addirittura mesi perché il danno venga scoperto.

Come un cybercriminale arriva infine al vostro TAN, non è rilevante per i consumatori, ma è molto più importante concentrare i propri sforzi per evitare i primi passi di un attacco informatico (social engineering e trojan bancari). Ad esempio, bisogna prestare particolare attenzione ai tipici indizi di phishing e a non trasmettere dati sensibili senza pensarci a sconosciuti, anche se questi agiscono come fornitori di servizi affidabili (supporto IT, fornitori di servizi contabili, ecc.).