Calcolatore di Sicurezza MFA per Banche
Perché le banche stanno abbandonando le password e i codici SMS
Le banche hanno sempre fatto affidamento su password e codici inviati via SMS per proteggere gli account. Ma oggi, questi metodi sono diventati obsoleti e pericolosi. Gli attaccanti usano phishing, smishing e attacchi di tipo man-in-the-middle per rubare credenziali in pochi secondi. Nel 2023, il 68% degli attacchi alle banche ha sfruttato proprio questi metodi deboli. La soluzione? Passkeys e chiavi di sicurezza hardware. Queste tecnologie non solo bloccano gli attacchi, ma rendono l’accesso più veloce e semplice per i clienti. isrameds.com
Immagina di accedere alla tua app bancaria senza digitare nulla. Basta un tocco sullo schermo, un riconoscimento facciale o un semplice tocco su una chiavetta. Niente password da ricordare, niente codici da inserire. E soprattutto: niente rischio di essere truffato da un sito falso. Questo è ciò che offrono passkeys e chiavi hardware. E non sono più una novità di laboratorio: sono già in uso da banche come Chase, Bank of America e Citibank.
Cosa sono i passkeys e come funzionano davvero
I passkeys sono credenziali digitali basate su standard aperti chiamati FIDO2 e WebAuthn. Non sono password. Non sono codici. Sono coppie di chiavi crittografiche uniche: una pubblica, memorizzata sul server della banca; una privata, rimane saldamente sul tuo dispositivo - smartphone, tablet o computer.
Quando accedi alla tua banca, il tuo dispositivo genera una firma crittografica che prova che sei tu, senza mai inviare la chiave privata da nessuna parte. Ecco il punto chiave: il server della banca verifica che l’accesso venga richiesto sul sito vero. Se sei su un sito fasullo, il passkey non funziona. I criminali non possono rubarlo, nemmeno se ti fanno cliccare su un link truffa.
I passkeys possono essere archiviati in due modi: software-bound o hardware-bound. Quelli software-bound sono salvati nel tuo iCloud Keychain, Google Password Manager o Microsoft Authenticator. Funzionano bene, ma se qualcuno ruba la tua password principale del gestore, potrebbe accedere a tutti i tuoi passkeys. Quelli hardware-bound sono salvati su chiavi fisiche - e sono molto più sicuri.
Le chiavi di sicurezza hardware: la massima protezione per i soldi
Le chiavi di sicurezza hardware, come le YubiKey di Yubico, sono piccoli dispositivi fisici che contengono la chiave privata dentro un chip sicuro. Non si connettono al cloud. Non si sincronizzano. Non si copiano. La chiave rimane lì, dentro il metallo, e non esce mai. Per accedere, devi toccare la chiave o inserirla nell’USB o nel NFC del tuo telefono.
Queste chiavi sono progettate per durare: oltre 100.000 tocchi, resistenti all’acqua, all’urto, al calore. Pesano solo 7 grammi. Costano tra i 25 e i 70 dollari. E per le banche, sono la scelta migliore per operazioni ad alto rischio: transazioni sopra i 500.000 dollari, accesso ai sistemi interni, conti aziendali.
Un test condotto da CISA ha mostrato che le chiavi hardware bloccano il 98,7% degli attacchi di phishing. I passkeys software-bound arrivano al 92,3%. La differenza sembra piccola, ma in banca, anche un 6% in più di sicurezza significa milioni di dollari risparmiati.
Perché le banche scelgono un metodo e non l’altro
Non tutte le banche usano lo stesso sistema. La scelta dipende da chi usa il servizio.
Nel retail banking - cioè per i clienti normali - i passkeys sono l’ideale. Chase ha visto un aumento del 38% nel numero di accessi completati dopo aver introdotto i passkeys. Gli utenti non abbandonano più l’app perché si dimenticano la password. Bank of America ha ridotto gli accessi non autorizzati del 57% in sei mesi.
Nel corporate banking, invece, le chiavi hardware sono obbligatorie. JPMorgan Chase richiede una YubiKey a tutti i clienti che effettuano transazioni sopra i 500.000 dollari. HSBC e Citibank lo fanno per i conti aziendali. Perché? Perché un dipendente che perde il telefono ha ancora la chiave fisica. E se un hacker entra nel sistema aziendale, non può accedere senza toccare la chiave.
Ma c’è un problema: la compatibilità. Solo il 68% delle app bancarie oggi permette di trasferire un passkey da un dispositivo iOS a uno Android. E molti clienti anziani, oltre i 65 anni, faticano a capire come usarli. Solo il 49% li impara in una sola sessione, contro l’82% dei giovani.
Costi, tempi e sfide per le banche
Implementare questi sistemi non è gratis. L’integrazione di un sistema di passkeys richiede 6-9 mesi. Per le chiavi hardware, servono 9-12 mesi, perché bisogna spedire fisicamente migliaia di dispositivi ai clienti.
Wells Fargo ha speso 1,2 milioni di dollari per formare il suo team di assistenza clienti su come spiegare le chiavi. E non è un caso isolato: il 63% delle banche usa sistemi centrali vecchi di oltre 15 anni, che non parlano WebAuthn. Devono essere aggiornati, o sostituiti.
Ma il ritorno sull’investimento è chiaro. Le banche che hanno adottato questi metodi hanno visto una riduzione del 47% delle chiamate al call center per problemi di accesso. E il costo di una frode bancaria media è di 4.500 dollari. Una chiave da 25 dollari che la impedisce? È un affare.
La regolamentazione sta spingendo il cambiamento
Non è solo una scelta tecnica: è un obbligo legale. Negli Stati Uniti, la CISA ha imposto a tutte le agenzie federali di usare MFA resistente al phishing entro maggio 2024. L’FDIC ha pubblicato linee guida che dicono chiaramente: "Le istituzioni dovrebbero prioritizzare metodi di autenticazione resistente al phishing".
In Europa, l’Autorità Bancaria Europea ha proposto una norma che obbligherà tutte le banche a implementare questi sistemi entro dicembre 2025. L’Australian Cyber Security Centre li ha inseriti tra le misure essenziali per la sicurezza. Questo non è un trend: è un cambiamento strutturale.
Il mercato globale di questi sistemi vale 2,84 miliardi di dollari nel 2024 e crescerà del 28,7% all’anno fino al 2029. Mentre il mercato tradizionale dei codici SMS cresce solo del 14,2%.
Cosa succede se perdi la chiave o il tuo telefono?
È una domanda legittima. Se perdi la tua YubiKey, puoi contattare la banca per bloccarla e richiedere una nuova chiave. Le banche ti danno un metodo di recupero - spesso un codice di emergenza stampato o un secondo dispositivo già registrato.
Se perdi il tuo telefono con i passkeys software-bound, devi accedere da un altro dispositivo e rimuovere l’account compromesso. È più complicato, ma possibile. Le banche devono offrire un percorso chiaro per il recupero, altrimenti i clienti si sentono bloccati.
Per questo, il FIDO Alliance sta lavorando a linee guida per il revoking dei passkey compromessi, previste per la fine del 2024. Sarà un passo fondamentale per la fiducia dei clienti.
Il futuro: ibrido, sicuro e senza password
Il futuro della sicurezza bancaria non è né passkeys né chiavi hardware. È entrambi.
Il 78% delle banche sta pianificando un modello ibrido: passkeys per gli accessi quotidiani (come controllare il saldo o pagare una bolletta), e chiavi hardware per operazioni ad alto rischio (trasferimenti, modifiche ai conti, accesso ai servizi aziendali).
Le grandi banche stanno già facendo questo. Chase ha lanciato i passkeys su tutte le sue app nel maggio 2024, servendo 35 milioni di clienti. Citibank ha esteso le chiavi hardware a tutti i clienti corporate con transazioni sopra i 100.000 dollari. E FedNow, il nuovo sistema di pagamenti istantanei della Federal Reserve, richiede ora MFA resistente al phishing per tutti i partecipanti.
Non ci sarà più ritorno. Le password saranno un ricordo. I codici SMS diventeranno obsoleti. E i clienti, alla fine, apprezzeranno la semplicità. Perché non si tratta solo di sicurezza. Si tratta di rispetto. Rispetto per il tuo tempo. Per il tuo denaro. Per la tua tranquillità.