Salve,
potremmo compilare una lista di banche che permettono ai propri correntisti di svolgere le principali operazioni senza richiedere loro l’installazione di app proprietarie, ovvero tramite sito web (il JS è proprietario ma pazienza)?
Inizio io con Poste Italiane, anche se con un limite: utilizzano OTP e autorizzano solo 9 accessi via SMS al mese.
Unicredit utilizzo da browser, esiste un app ma non l’ho mai installata e continuo ad operare con la chiavetta che genera le password per ogni accesso.
potremmo compilare una lista di banche che permettono ai propri
correntisti di svolgere le principali operazioni senza richiedere loro
l’installazione di app proprietarie, ovvero tramite sito web (il JS è
proprietario ma pazienza)?
Alcune piccole banche di credito cooperativo utilizzano questo software,
che permette l’accesso con OTP via SMS.
Nel caso della mia banca, posso accedere ogni volta che voglio, ma pago
10 cent per ogni SMS. Non so se altre banche hanno altri costi.
Lo si può riconoscere chiaramente sui siti di (almeno) Banca Etica e
Banca di Cambiano. Meno riconoscibile presso la Banca di Pisa e
Fornacette, che però ne pubblicizza l’app.
Non escludo che sia utilizzato da numerose altre banche sconosciute di
mezzo Paese.
con un limite: utilizzano OTP
Credo che la 2FA sia stata resa obbligatoria negli ultimi anni per
motivi di sicurezza.
L’utilizzo di soli username e password non sono più considerati sicuri
per accedere ai social network, figuriamoci per il conto in banca 
Ho il conto in BancaEtica e confermo che se usi l’autenticazione via OTP SMS costa 12€ all’anno (indipendentemente dal numero di SMS).
Con Vip Access di Symantec invece è gratis.
Altre info qui: https://www.bancaetica.it/sites/bancaetica.it/files/web/trasparenza%20bancaria/documenti%20informativi/FISE_1T0160%20-%20Area%20clienti%20Privati.pdf
da quello che so si può fare finchè la pila non si esaurisce poi serve l’app.
Aggiungo che i clienti Banca Popolare di Sondrio devono pagare il token fisico (tipo 15€) ma facendo ciò possono non usare l’app.
Con BPER non serve app ma otp via sms. Non sono sicuro dei costi, ho un conto vecchiotto e per me è gratis.
Ciao,
volevo portare qualche dato e fare qualche ragionamento.
E’stato detto che
‘2FA (twoo factor authentication) sia stata resa obbligatoria negli ultimi anni per motivi di sicurezza’
Ni.
Mi risulta (confutatemi) che le banche stanno modificando il loro modo di accedere ai conti online per recepire la direttiva Europea denominata PSD2 di cui darò informazioni a breve.
Mi sono chiesto però, Se ci sia effettivamente l’obbligo di utilizzare queste app (come token virtuali), e in particolare perchè esse dovrebbero essere migliori rispetto a strumenti già utilizzati come il token fisico.
(Ho letto anche di possibili problemi di sicurezza legati agli OTP via sms anche se ad intuito mi sembra una soluzione migliore delle app)
Sono incappato in questo articolo (un pò datato ma credo ancora valido):
[1] Token virtuali nel PSD2: aumentano i rischi?
In cui c’è c’è anche un reindirizzamento a maggiori informazioni sulla normativa:
[2] PSD2: cos'è e cosa cambia nei pagamenti con la nuova direttiva europea
Al di là delle modalità (obbligo) e recepimento della PSD2, a me pare che l’obbligatorietà dell’app, che denunciano molte banche, non è necessaria in quanto l’utilizzo ad esempio di un token fisico non contraddice la direttiva perchè soddisfa uno dei tre fattori indicati nel link 2 paragrafo ‘Strong Customer Authentication’ e in particolare il secondo (possesso).
Mi sembra di capire quindi che, come spiegato in 1, e’ una comodità (discrezione) della banca quella di utilizzare l’app, e il suo utilizzo non solo non è necessario ma potrebbe essere controproducente rispetto alla sicurezza.
Altra cosa che è stata detta (e che ho sentito anche io) è la questione che il token fisico ha un autonomia limitata.
‘da quello che so si può fare finchè la pila non si esaurisce poi serve l’app’
Nei fatti è quello a cui obbligano diverse banche.
E non è possibile riceverne un altro come si fa quando si deteriora la carta bankomat?
Magari in un tempo prestabilito e calcolato prima che la pila sia esaurita completamente?
Questi ragionamenti sembrano avvalorati anche dal fatto che non tutte le banche impongano le apps.
Nella ricerca di alternative e/o workaround al problema, vorrei aggiungere, per chi non lo sapesse, che gli sportelli bankomat (dipende dal modello) permettono la visione del proprio saldo e delle ultime operazioni effettuate, la produzione di bonifici etc.
Su questo ti confermo, lo fanno perchè gli costa di meno che fare migliaia di token. Alcune banche come si scarica la pila te lo ritirano e ti dicono di passare all’app, ci sono passato.
Grazie @Lost!
Oggi ho scoperto che sul lato B2B c’è un tentativo di usare standard aperti per le API (https://www.openbanking.org.uk/). Ci sono iniziative del genere per il lato B2C?
Concordo. Non ci dovrebbe essere una rilevante differenza di sicurezza tra token fisico o app. Forse i token fisici tendono a perdersi più spesso oppure perché gli smartphone hanno solitamente spesso la schermata di blocco attivata, anche se probabilmente sono più attacabili. Però allora mi pongo il dubbio. Perché non va bene TOTP (e qualunque app come freeotp+)?
Mi pare che gli SMS viaggiano in chiaro per questo non sono considerati sicuro. Un potenziale attaccante basta essere vicino alla vittima per poter intercettare i messaggi.
Questa mi pare una scusa ma ok.
Non è semplice aprire il token e sostituire semplicemente la pila?
Certo. Anche io ne ho avuto esperienza. Il concetto che volevo fare passare è che questa imposizione delle banche non sembra avere una motivazione valida se non quella di una ‘scusa’ per comodità proprie o che ignoro. Non c’è una motivazione legale, perchè come detto l’utilizzo del token fisico non sembra contraddire la direttiva citata. Non una motivazione tecnica perchè se è stato possibile inviarmi il token una volta credo che sia possibile farlo n volte. Non una motivazione economica perchè sarebbe sufficiente far pagare il token ogni volta che viene cambiato, come si fa ad esempio per le carte.
La dimostrazione ad oggi che questo è possibile è la banca citata da @valerio.bozzolan
a meno che mi sfugga qualcosa della direttiva che ancora quella (la banca) non abbia implementato.
Non riesco a risponderti ma credo che la tua domanda sia collegata a quella fatta da Amreo su Freeotp+ e in generale sull’utilizzo di app floss.
Non esiste solo la sicurezza. Il titolo di questa discussione rappresenta altre esigenze. le implicazioni dell’articolo 1 che ho postato ne rappresentano altre. Non ho detto infatti che gli sms sono più sicuri delle app ma che ‘mi sembra’ una soluzione migliore, considerando queste premesse.
D’altro canto, se fino a ieri usevamo solo la password, l’aggiunta di un fattore (sms) dovrebbe rendere l’autenticazione più sicura.
No. almeno quelli che ho utilizzato io non lo permettono.
Credo (spero di non dire sciocchezze) che ci sia anche una motivazione tecnica, dato che l’OTP è legato al tempo, l’interruzione dell’energia potrebbe fare perdere la sincronizzazione del token.
Al contrario, come da risposta data a Daniele, dovrebbe essere sempre possibile avere un nuovo token.
Credo anche io che la sostituzione della pila mandi fuori sincrono la generazione dei token. Però basterebbe ideare un token con due pile, da cambiare alternativamente, in modo che l’energia non manchi mai…
Anche il fatto che sia costoso distribuire token non lo capisco. Le banche ti fanno pagare anche l’aria che respiri mentre sei in filiale: se uno preferisce il token, perché non provare almeno ad estorcergli 100€?
Dev’esserci un fattore ideologico, non me lo spiego altrimenti.
Rettifico. Anche bper ha imposto l’app, piena di traccianti.
E ovviamente se uno ha un telefono open, s’attacca.
Ho provato a farla funzionare in anbox e sembra che parta, ma non funziona la cam in quell’ambiente, quindi non si riesce ad attivare come secondo dispositivo. Dovrei rimuovere l’associazione dal telefono sul quale l’ho installata x urgenza, ma per rimuoverla chiede WhatsApp, che ovviamente mi rifiuto di installare.
Oppure… mi si nota di più se non installo whatsapp, o se lo installo solo per disaccoppiare la app della banca e poi lo rimuovo subito dopo? (semicit)
Un altro modo di analizzare il problema:
Ciao.
Nella discussione che ho citato è stato creato un repository all’interno del quale sono state messe in una tabella le informazioni fin’ora denunciate quì.
Vi invito a guardarlo per verificare l’esattezza dei dati e per aggiungerne, per dare consigli e fare critiche.
In particolare non ho ben capito se le banche citate da @giomba diano tutte le possibilità di utilizzare gli sms, se questo dipenda dall’ uso della piattaforma MITO e se è prevista anche un app.
Vi invito a guardarlo per verificare l’esattezza dei dati e per
aggiungerne, per dare consigli e fare critiche.
Ciao.
Posso suggerirti di aggiungere un link esplicito alla home page della
banca nella tabella/elenco del repository, per evitare confusione?
Per esempio, “Banca di Cambiano” e “Banca popolare di Cambiano” sono la
stessa banca?
In particolare non ho ben capito se le banche citate da @giomba
https://forum.linux.it/u/giomba diano tutte le possibilità di
utilizzare gli sms, se questo dipenda dall’ uso della piattaforma MITO e
se è prevista anche un app.
Per esperienza personale, Banca Cambiano e Banca Etica, permettono sia
l’uso di app che di SMS.
Non ho altre informazioni.
Ciao.
Non lo dicevo a caso il fatto di guardare e controllare.
Sto estrapolando i dati da questa discussione per diversi servizi, che tra l’altro non conosco personalmente.
Intanto non è “Banca di Cambiano” (come letto nei precedenti post) ma “Banca Cambiano”.
Le due banche che hai citato non sono la stessa cosa perchè mi sono sbagliato era “Banca Popolare di Sondrio” 
Per quello che riguarda i link sono già stati inseriti alcuni e in particolare le sezioni del sito che parlano dell’autenticazione (ciò che ci interessa),
come ho fatto ad esempio per le prime tre banche dell’elenco.
Date le premesse sarebbe più efficiente se chi ha citato la banca si occupasse personalmente di fornire informazioni più dettagliate su di essa e di controllarle.
Ho aggiunto il link alla Banca Cambiano, manca quella di Pisa.
Ho corretto i dati rispetto quello che si conosce fino a questo momento.
Grazie @giomba
Ho messo le mani su un fairphone4 con /e/. Permette di accedere al google play in modo anonimo - senza account. Poi ovviamente c’è fdroid.
L’app bper si installa e funziona senza problemi (e tutte quelle che ho provato finora).
Caratteristica interessante di /e/, di cui non conosco ancora i dettagli: ha una modalità di privacy avanzata, che quando attivata blocca tutti i traccianti delle app installate. Una specie di adblock phone-wide. Falsifica la posizione e maschera l’ip. Tutto configurabile, e tutto out of the box.
L’app bper continua a funzionare anche con questa modalità attiva. Si vede anche quante volte il sistema operativo blocca le chiamate illecite.
A ulteriore riprova che tutti sti benedetti “servizi” non hanno nessuna utilità diretta per l’utente, ma servono solo a chi ci infarcisce le app.
