Ho già avuto occasione in passato di esprimere la mia opinione sulla sicurezza del conto Fineco. Sono loro cliente da sempre e sotto tutti i punti di vista la considero la migliore banca online italiana, tranne che per l’aspetto, importantissimo, della sicurezza.

Vi basti pensare che si tratta credo di una delle ultime banche online a non utilizzare un sistema di sicurezza forte per l’accesso online, continuando a basarsi sulla semplice accoppiata user-password e pin dispositivo.

Torno sul tema, sia per ribadire che questo aspetto rimane estremamente critico, sia perché da qualche settimana Fineco ha inserito un ulteriore aspetto di sicurezza che dovrebbe migliorare la situazione: il così detto SMS PIN per bonifici.

Quando l’ho visto in un primo momento, pur capendo che si tratta di un palliativo che non risolve il problema più grande dell’accesso, sono stato felice di vedere che in questo modo avrei potuto proteggere almeno i bonifici in uscita, che probabilmente sono il modo più facile per chi dovesse impadronirsi del mio account per spostare soldi.

Il meccanismo è semplice, si registra un proprio cellulare e quando si fa un bonifico si riceve una one time password sul proprio cellulare, senza la quale il bonifico non viene effettuato. In questo modo si lega la possibilità di fare bonifici al possesso fisico del cellulare in questione, una misura di sicurezza abbastanza forte per garantire una difesa da eventuali accessi non autorizzati sul conto. Quanto meno non riusciranno a fare bonifici in uscita. Ci sono una marea di altri danni che possono fare, ma non voglio parlarne ora.

Sono entrato nella mascherina per l’attivazione del servizio ed ho avuto la sgradita sorpresa:

Quanto è sicuro questo form?

Quanto è sicuro questo form?

Notate niente di strano?

Beh ve lo dico io cosa c’è che non va. Il problema sono quelle simpatiche domande, peraltro fisse e selezionabili solo all’interno di una scelta molto limitata.

A che servono? A bypassare completamente il vostro sistema di sicureza SMS PIN.

Perchè sono un problema? Per vari motivi, il principale dei quali è che suggeriscono di utilizzare risposte piuttosto banali per proteggere una risorsa assolutamente importante come il vostro denaro.

Certo potrei inventarmi risposte assolutamente astruse e mai intuibili, che so, il mio soprannome? “3723jifolwjf8-asd83hn” e via dicendo, ed è quello che IO esperto di sicurezza alla fine farò per attivare il servizio, ma una persona normale sarà portata a rispondere: “Topolino”, “Cucciolotto”, “1980” e cose così…

Un orpello di sicurezza superabile rappresenta sempre un doppio rischio, prima perchè superabile, e poi perchè aggiunge una falsa impressione di sicurezza.

Ma nessuno conosce il responsabile della sicurezza di Fineco? Me lo potete presentare, ci vorrei tanto parlare, perchè escludendo che sia un idiota ci deve essere qualche buona ragione per non proteggere i conti Fineco con un sistema REALMENTE sicuro, e non riesco neppure sforzandomi ad immaginare quale possa essere…. Per favore fatemelo conoscere….