Qual'è il miglior modo, da PC, per collegarsi alla propria banca?

[marcobrasich]

Ho un conto con Intesa-SP.
E fino a qualche settimana fa potevo collegarmi al mio conto (tramite PC da casa) e vedere le spese, la posta e tutto il resto.

Il collegamento con la banca era del tipo NON dispositivo ma solo rendicontativo (non potevo fare bonifici e pagamenti).
L'home banking l'avevo resa non dispositiva da quando ho letto di truffe (anche con bonifici istantanei non annullabili a cui Banca Intesa ha aderito).

Adesso, da pochi giorni, Intesa non permette più la visualizzazione del proprio conto del tipo NON dispositivo.

Ormai, c'è solo l'accesso on-line dispositivo e basta... ...dicono che la loro APP (che permette l'accesso dal PC avendo accanto a se il proprio smartphone con l'App) è ultra sicura ( ).


Sembra che su Google Play ogni tanto fanno retate di App che si scoprono che servono principalmente a carpire codici banca e carte di credito...


La domanda è: Ma uno è costretto a mettere a repentaglio i propri risparmi per seguire la moda delle App?






Secondo voi come è meglio collegarsi alla propria banca? ...basta un PC con windows e ci si collega alla banca tramite macchina virtuale con Linux?

 

[Vincent Vеga]

un utente, Parnas, ci diede una dritta geniale nella sua semplicità: per l'APP android che ti genera il token usa uno smartphone dedicato all'home banking dove tieni solo le APP bancarie , non gli installi nient'altro e non lo usi per altro.
quello smartphone tienilo in casa in cassa forte (aggiungo io )

questa cosa va bene per tutti quei conti dove puoi accedere da PC e per fare una disposizione necessiti dell'APP bancaria che ti genera un codice per autorizzarla.

 

[groviglio]

aggiungo all'esposizione di vincè, che lo smartphone usato come token, può non essere collegato al cellular data ne al wifi: in pratica è disconnesso da tutto e genera un token singolo per singola operazione dopo aver inserito una propria chiave privata (è l'equivalente di una battaglia navale cartacea e infinita )

 

[Racal]

Mi permetto di aggiungere anche di controllare periodicamente l'orologio dello smartphone,
in caso di disallineamenti il token generato potrebbe essere ritenuto non valido....

 

[Lupak]

Non sono d'accordo con voi
Ad avere uno smartphone solo con le app bancarie si ha la sicurezza che alla lunga non viene aggiornato e resta potenzialmente esposto a vulnerabilità per cui non sono stati fatti aggiornamenti risolutivi.
Poi con le nuove direttive per la sicurezza dei pagamenti sta però diventando uno standard ricevere notifiche dispositive push per cui ci vuole la connessione dati, questo inoltre vale non solo per le banche, ma anche per 2FA di altri (Microsoft ad es.)

 

[FogOnLine]

Non sono d'accordo con voi
Ad avere uno smartphone solo con le app bancarie si ha la sicurezza che alla lunga non viene aggiornato e resta potenzialmente esposto a vulnerabilità per cui non sono stati fatti aggiornamenti risolutivi.
[...]

Nel caso in esame la app viene installata la prima volta (e lì effettivamente c'è bisogno di connessione dati) poi, una volta autenticata l'app, si stacca qualsiasi connessione e ci si limita ad usare la funzionalità dello smartphone come generatore di codici (riconosciuti dalla banca perchè legati alla chiave privata e alla data e ora del dispositivo).

Da un punto di vista della sicurezza (vista la completa assenza di connessione) è il non plus ultra anche se va 'custodito' (tenuto in proprio possesso) ed è quindi particolarmente adatto per applicazioni come quelle bancarie.

Se si parla di comodità......è altra questione


Aggiungo che allo scopo va bene anche un tablet Android

 

[rosc]

scusate ma la chiave rsa no?
Secondo voi si possono disabilitare i bonifici istantanei?

Comunque a mio modo di vedere e non mettere mai per nessun motivo 2 volte il codice rsa o quello dato dal cellulare.

 

[groviglio]

Nel caso in esame la app viene installata la prima volta (e lì effettivamente c'è bisogno di connessione dati) poi, una volta autenticata l'app, si stacca qualsiasi connessione e ci si limita ad usare la funzionalità dello smartphone come generatore di codici (riconosciuti dalla banca perchè legati alla chiave privata e alla data e ora del dispositivo).

Da un punto di vista della sicurezza (vista la completa assenza di connessione) è il non plus ultra anche se va 'custodito' (tenuto in proprio possesso) ed è quindi particolarmente adatto per applicazioni come quelle bancarie.

Se si parla di comodità......è altra questione


Aggiungo che allo scopo va bene anche un tablet Android

esatto

lupà, l'app non deve essere aggiornata costantemente. basta un aggiornamento all'anno, collegati per i minuti necessari. la sicurezza è rappresentata dall'algoritmo in chiave pubblica e privata. la tua privata viene generata (e a sua volta genera il token, da inserire per entrare in banca) tramite una "password" stabilita da te...niente collegamenti di nessun genere , quando si usa il token siffatto

 

[marcobrasich]

Non so se si può fare come dite voi... ...mi spiego.

Da quel che mi ha detto il bancario oggi la cosa funziona così:

Quando sono davanti al PC, perché voglio collegarmi al mio conto, devo cliccare sull'icona dell'App della banca che avrò sul mio smartphone.

Cliccando sull'icona dell'App si aprirà l'App sulla pagina iniziale (quella per inserire le credenziali e così, dopo, poter accedere a tutti i servizi tramite smartphone).

Però, io, NON devo inserire le credenziali nell'App sullo smartphone... ...ma devo aprire il sito della banca da PC e inserire là (sul PC) le credenziali della banca.

A questo punto, la schermata di accesso dell'App del mio smartphone cambia (e questo senza che io abbia fatto l'accesso sullo smartphone) e mi compare una schermata con un tastierino e li devo inserire una password fissa (ho capito che non cambia mai).

Dopo aver inserito la password sullo smartphone avrò accesso al sito della banca tramite il PC.


Loro dicono che questo doppio canale è ultrasicuro...
...ovviamente non è vero, tale metodo ha gli stessi problemi di sicurezza della vecchia chiavetta genera password (token)... ..ad esempio, basta un sito farlocco che mima la pagina web della banca per dare in mano ai furbi password e accesso al tuo conto, proprio come è successo con i token.


Quindi, lo smartphone deve essere collegato alla rete dati e deve avere una SIM con numero di telefono da certificare in banca.



Altrimenti, se non voglio mettere l'App, posso scegliere di ricevere un SMS (che contiene una password usa e getta) ogni volta che devo accedere al conto.
Quest'ultimo servizio è a pagamento (va pagata sia la banca che il mio gestore telefonico per ogni sms ).




Quindi, secondo voi quale sarebbe un metodo sicuro per accedere a 'sto conto on-line.










PS: Tenete presente che Banca Intesa ha aderito al "bonifico istantaneo non annullabile"... ...ne vedremo delle belle nei prossimi anni. Loro son sicuri delle loro App!

 

[Vincent Vеga]

chiedigli:
1)come faccio ad entrare nell'homebanking se sono all'estero e non ho connesione dati nel cellulare?
2) posso togliere la SIM una volta che ho certificato l'APP?

 

[groviglio]

Quindi, lo smartphone deve essere collegato alla rete dati e deve avere una SIM con numero di telefono da certificare in banca.



!

come ha detto vincè (con altri espedienti retorici): devono avere previsto il caso di non presenza di rete (quindi a smartphone scollegato)

una volta che hai certificato il numero di tel e hai scaricato l'APP , il telefono lo puoi scollegare e usare l'app come abbiamo detto noi

non devi chiedere al bancario (medio) che ti illustrerà solo il caso standard che va bene per tutti i pecoroni (telefono ultracollegato e accesso in banca da smartphone): devi studiare il funzionamento del meccanismo andando a leggere le istruzioni ufficiali sul sito, cercando il caso che non preveda le notifiche push e i collegamenti always on

 

[rosc]

Non so se si può fare come dite voi... ...mi spiego.

Da quel che mi ha detto il bancario oggi la cosa funziona così:

Quando sono davanti al PC, perché voglio collegarmi al mio conto, devo cliccare sull'icona dell'App della banca che avrò sul mio smartphone.

Cliccando sull'icona dell'App si aprirà l'App sulla pagina iniziale (quella per inserire le credenziali e così, dopo, poter accedere a tutti i servizi tramite smartphone).

Però, io, NON devo inserire le credenziali nell'App sullo smartphone... ...ma devo aprire il sito della banca da PC e inserire là (sul PC) le credenziali della banca.

A questo punto, la schermata di accesso dell'App del mio smartphone cambia (e questo senza che io abbia fatto l'accesso sullo smartphone) e mi compare una schermata con un tastierino e li devo inserire una password fissa (ho capito che non cambia mai).

Dopo aver inserito la password sullo smartphone avrò accesso al sito della banca tramite il PC.


Loro dicono che questo doppio canale è ultrasicuro...
...ovviamente non è vero, tale metodo ha gli stessi problemi di sicurezza della vecchia chiavetta genera password (token)... ..ad esempio, basta un sito farlocco che mima la pagina web della banca per dare in mano ai furbi password e accesso al tuo conto, proprio come è successo con i token.


Quindi, lo smartphone deve essere collegato alla rete dati e deve avere una SIM con numero di telefono da certificare in banca.



Altrimenti, se non voglio mettere l'App, posso scegliere di ricevere un SMS (che contiene una password usa e getta) ogni volta che devo accedere al conto.
Quest'ultimo servizio è a pagamento (va pagata sia la banca che il mio gestore telefonico per ogni sms ).




Quindi, secondo voi quale sarebbe un metodo sicuro per accedere a 'sto conto on-line.










PS: Tenete presente che Banca Intesa ha aderito al "bonifico istantaneo non annullabile"... ...ne vedremo delle belle nei prossimi anni. Loro son sicuri delle loro App!

Ma per fare un bonifico ti dovrebbe chiedere la seconda volta un codice token.
Comunque il metodo migliore per entrare nel sito bancario è quello di sbagliare la prima volta la PSW, se ti dice che hai sbagliato PSW vuol dire che sei nel sito giusto se no è un tarocco.
Tanto hai 3 tentativi.

 

[marcobrasich]

Raga' mi sa che avete ragione... ...funziona anche senza rete dati!

 

[marcobrasich]

scusate ma la chiave rsa no?
Secondo voi si possono disabilitare i bonifici istantanei?

Comunque a mio modo di vedere e non mettere mai per nessun motivo 2 volte il codice rsa o quello dato dal cellulare.

Secondo me no!
Però la prossima volta che vado in banca chiedo.
Chiedo se, al limite, si possono limitare come quantità massima di denaro trasferibile.

 

[Parnas]

come ha detto vincè (con altri espedienti retorici): devono avere previsto il caso di non presenza di rete (quindi a smartphone scollegato)

Essendo cliente Intesa posso spiegarti io come funziona:
l'app implementa il dynamic linking come richiesto dalla PSD2, quindi la connessione dati è necessaria perchè insieme all'OTP vengono mandati i dati identificativi del pagamento.

Se l'app è offline, dopo qualche secondo di attesa il server della banca invia i dati via SMS al numero di cellulare registrato.
Generare l'OTP offline come si faceva prima non è più possibile ormai da diversi mesi, non c'è più nemmeno la funzione per generare un OTP manualmente.

 

[groviglio]

ok

parnas, leggi, il punto evidenziato da marco nel post più su(con un'ellisse rossa): sono istruzioni obsolete e non più valide , quindi

poi, ancora attualmente su tutte le banche che vedo , si può usare l'OTP completamente offline (inserendo ovviamente nell'app la propria esclusiva "password"

 

[Parnas]

ok

parnas, leggi, il punto evidenziato da marco nel post più su(con un'ellisse rossa): sono istruzioni obsolete e non più valide , quindi

Decisamente sì. E' stata mandata modifica unilaterale qualche mese fa che cambiava le modalità di autenticazione per i servizi di internet banking.
A meno che appunto si riferiscano alla possibilità di ricevere il codice via SMS (che poi va inserito a mano su home banking).

poi, ancora attualmente su tutte le banche che vedo , si può usare l'OTP completamente offline (inserendo ovviamente nell'app la propria esclusiva "password"

E' vero, ma dipende per cosa va usato l'OTP...
mi spiego, la PSD2 richiede il dynamic linking solo per autorizzare i pagamenti (quindi per le operazioni dispositive). ISP ha deciso di usare lo stesso meccanismo anche per il semplice login al sito, ma nulla vieta che il login si faccia mediante un OTP generato "offline" e si usi invece il dynamic linking solo per le operazioni dispositive.

Dal 14 settembre con nessuna banca dovrebbe essere più possibile generare un OTP offline per autorizzare un pagamento, altrimenti non sarebbero in regola con la normativa europea.

 

[salsipuede]

scusate ma la chiave rsa no?
Secondo voi si possono disabilitare i bonifici istantanei?

Dipende... Con Fineco Bank puoi abilitarli/disabilitarli (separatamente per Italia/Estero), limitare il massimale del bonifico istananeo (comunque entro 5.000 Euro), limitare il massimale giornaliero verso "nuovo beneficiario" (comunque entro 500 Euro). Di default sono disabilitati. Mi sembra che le chiavette RSA siano un po' in via di dismissione... anche da parte di banche estere.

 

[groviglio]

Decisamente sì. E' stata mandata modifica unilaterale qualche mese fa che cambiava le modalità di autenticazione per i servizi di internet banking.
A meno che appunto si riferiscano alla possibilità di ricevere il codice via SMS (che poi va inserito a mano su home banking).


.

ancora ok

c'è da dire, infatti, che l'SMS non ha bisogno ne di "cellular data", ne di collegamento a internet via wifi, quindi sempre coerente: OTP off-line ed eventuale SMS

 

[scoglio24]

ancora ok

c'è da dire, infatti, che l'SMS non ha bisogno ne di "cellular data", ne di collegamento a internet via wifi, quindi sempre coerente: OTP off-line ed eventuale SMS

Ma se si usano gli sms non c'è bisogno di istallare niente sul telefono ... o no?