Conti correnti operabili senza app proprietarie

Salve,

potremmo compilare una lista di banche che permettono ai propri correntisti di svolgere le principali operazioni senza richiedere loro l’installazione di app proprietarie, ovvero tramite sito web (il JS è proprietario ma pazienza)?

Inizio io con Poste Italiane, anche se con un limite: utilizzano OTP e autorizzano solo 9 accessi via SMS al mese.

1 Like

Unicredit utilizzo da browser, esiste un app ma non l’ho mai installata e continuo ad operare con la chiavetta che genera le password per ogni accesso.

potremmo compilare una lista di banche che permettono ai propri
correntisti di svolgere le principali operazioni senza richiedere loro
l’installazione di app proprietarie, ovvero tramite sito web (il JS è
proprietario ma pazienza)?

Alcune piccole banche di credito cooperativo utilizzano questo software,
che permette l’accesso con OTP via SMS.

Nel caso della mia banca, posso accedere ogni volta che voglio, ma pago
10 cent per ogni SMS. Non so se altre banche hanno altri costi.

Lo si può riconoscere chiaramente sui siti di (almeno) Banca Etica e
Banca di Cambiano. Meno riconoscibile presso la Banca di Pisa e
Fornacette, che però ne pubblicizza l’app.

Non escludo che sia utilizzato da numerose altre banche sconosciute di
mezzo Paese.

con un limite: utilizzano OTP

Credo che la 2FA sia stata resa obbligatoria negli ultimi anni per
motivi di sicurezza.
L’utilizzo di soli username e password non sono più considerati sicuri
per accedere ai social network, figuriamoci per il conto in banca :slight_smile:

1 Like

Ho il conto in BancaEtica e confermo che se usi l’autenticazione via OTP SMS costa 12€ all’anno (indipendentemente dal numero di SMS).
Con Vip Access di Symantec invece è gratis.
Altre info qui: https://www.bancaetica.it/sites/bancaetica.it/files/web/trasparenza%20bancaria/documenti%20informativi/FISE_1T0160%20-%20Area%20clienti%20Privati.pdf

1 Like

da quello che so si può fare finchè la pila non si esaurisce poi serve l’app.

Aggiungo che i clienti Banca Popolare di Sondrio devono pagare il token fisico (tipo 15€) ma facendo ciò possono non usare l’app.

1 Like

Con BPER non serve app ma otp via sms. Non sono sicuro dei costi, ho un conto vecchiotto e per me è gratis.

1 Like

Credo che sia inerente:
https://lealternative.codeberg.page/#microg

1 Like

Ciao,
volevo portare qualche dato e fare qualche ragionamento.

E’stato detto che

‘2FA (twoo factor authentication) sia stata resa obbligatoria negli ultimi anni per motivi di sicurezza’

Ni.
Mi risulta (confutatemi) che le banche stanno modificando il loro modo di accedere ai conti online per recepire la direttiva Europea denominata PSD2 di cui darò informazioni a breve.

Mi sono chiesto però, Se ci sia effettivamente l’obbligo di utilizzare queste app (come token virtuali), e in particolare perchè esse dovrebbero essere migliori rispetto a strumenti già utilizzati come il token fisico.
(Ho letto anche di possibili problemi di sicurezza legati agli OTP via sms anche se ad intuito mi sembra una soluzione migliore delle app)

Sono incappato in questo articolo (un pò datato ma credo ancora valido):

[1] Token virtuali nel PSD2: aumentano i rischi?

In cui c’è c’è anche un reindirizzamento a maggiori informazioni sulla normativa:
[2] PSD2: cos'è e cosa cambia nei pagamenti con la nuova direttiva europea

Al di là delle modalità (obbligo) e recepimento della PSD2, a me pare che l’obbligatorietà dell’app, che denunciano molte banche, non è necessaria in quanto l’utilizzo ad esempio di un token fisico non contraddice la direttiva perchè soddisfa uno dei tre fattori indicati nel link 2 paragrafo ‘Strong Customer Authentication’ e in particolare il secondo (possesso).

Mi sembra di capire quindi che, come spiegato in 1, e’ una comodità (discrezione) della banca quella di utilizzare l’app, e il suo utilizzo non solo non è necessario ma potrebbe essere controproducente rispetto alla sicurezza.

Altra cosa che è stata detta (e che ho sentito anche io) è la questione che il token fisico ha un autonomia limitata.

‘da quello che so si può fare finchè la pila non si esaurisce poi serve l’app’

Nei fatti è quello a cui obbligano diverse banche.
E non è possibile riceverne un altro come si fa quando si deteriora la carta bankomat?
Magari in un tempo prestabilito e calcolato prima che la pila sia esaurita completamente?

Questi ragionamenti sembrano avvalorati anche dal fatto che non tutte le banche impongano le apps.

Nella ricerca di alternative e/o workaround al problema, vorrei aggiungere, per chi non lo sapesse, che gli sportelli bankomat (dipende dal modello) permettono la visione del proprio saldo e delle ultime operazioni effettuate, la produzione di bonifici etc.

1 Like

Su questo ti confermo, lo fanno perchè gli costa di meno che fare migliaia di token. Alcune banche come si scarica la pila te lo ritirano e ti dicono di passare all’app, ci sono passato.

Grazie @Lost!

Oggi ho scoperto che sul lato B2B c’è un tentativo di usare standard aperti per le API (https://www.openbanking.org.uk/). Ci sono iniziative del genere per il lato B2C?

Concordo. Non ci dovrebbe essere una rilevante differenza di sicurezza tra token fisico o app. Forse i token fisici tendono a perdersi più spesso oppure perché gli smartphone hanno solitamente spesso la schermata di blocco attivata, anche se probabilmente sono più attacabili. Però allora mi pongo il dubbio. Perché non va bene TOTP (e qualunque app come freeotp+)?

Mi pare che gli SMS viaggiano in chiaro per questo non sono considerati sicuro. Un potenziale attaccante basta essere vicino alla vittima per poter intercettare i messaggi.

Questa mi pare una scusa ma ok.

Non è semplice aprire il token e sostituire semplicemente la pila?

Certo. Anche io ne ho avuto esperienza. Il concetto che volevo fare passare è che questa imposizione delle banche non sembra avere una motivazione valida se non quella di una ‘scusa’ per comodità proprie o che ignoro. Non c’è una motivazione legale, perchè come detto l’utilizzo del token fisico non sembra contraddire la direttiva citata. Non una motivazione tecnica perchè se è stato possibile inviarmi il token una volta credo che sia possibile farlo n volte. Non una motivazione economica perchè sarebbe sufficiente far pagare il token ogni volta che viene cambiato, come si fa ad esempio per le carte.
La dimostrazione ad oggi che questo è possibile è la banca citata da @valerio.bozzolan
a meno che mi sfugga qualcosa della direttiva che ancora quella (la banca) non abbia implementato.

Non riesco a risponderti ma credo che la tua domanda sia collegata a quella fatta da Amreo su Freeotp+ e in generale sull’utilizzo di app floss.

Non esiste solo la sicurezza. Il titolo di questa discussione rappresenta altre esigenze. le implicazioni dell’articolo 1 che ho postato ne rappresentano altre. Non ho detto infatti che gli sms sono più sicuri delle app ma che ‘mi sembra’ una soluzione migliore, considerando queste premesse.
D’altro canto, se fino a ieri usevamo solo la password, l’aggiunta di un fattore (sms) dovrebbe rendere l’autenticazione più sicura.

No. almeno quelli che ho utilizzato io non lo permettono.
Credo (spero di non dire sciocchezze) che ci sia anche una motivazione tecnica, dato che l’OTP è legato al tempo, l’interruzione dell’energia potrebbe fare perdere la sincronizzazione del token.
Al contrario, come da risposta data a Daniele, dovrebbe essere sempre possibile avere un nuovo token.

1 Like

Credo anche io che la sostituzione della pila mandi fuori sincrono la generazione dei token. Però basterebbe ideare un token con due pile, da cambiare alternativamente, in modo che l’energia non manchi mai…

Anche il fatto che sia costoso distribuire token non lo capisco. Le banche ti fanno pagare anche l’aria che respiri mentre sei in filiale: se uno preferisce il token, perché non provare almeno ad estorcergli 100€?

Dev’esserci un fattore ideologico, non me lo spiego altrimenti.