| BANCO
POSTA ON LINE TRISTE STORIA. di maurizio capannoli
Segnalo la
sventurata esperienza in cui mio malgrado sono incappato,
ognuno di voi farà le proprie considerazioni in merito.
Voglio
sottolineare fin d'ora che mi limiterò a descrivere i
fatti e che in nessun modo voglio sottintendere che la
mia esperienza possa in qualche modo replicarsi.
Quello che
voglio comunicare è qualche considerazione che come
utente BPOL (bancoposta on line),
certamente per mia negligenza, non feci
all'epoca in cui sottoscrissi il servizio).
Questa mattina,
14/03/2006, dovendo partire e non navigando nell'oro, do
un'occhiata al mio conto, con la consueta procedura
online.
Una rapida occhiata al saldo...25,59 euro.
Non credo ai miei occhi...guardo meglio...sì sono
proprio 25,59!
Guardo i
movimenti, noto due registrazioni, le ultime, in data
10/03/2006:
"ADDEBITO PER CARTA PREPAGATA DA BPOL"
la penultima da 1.900,00 EURO
l'ultima da 800,00 EURO.
Entrambe seguite dalla commissione da 1,00 euro per
la ricarica con addebito in conto.
----------------
Orbene, i due movimenti che assommano a 2.700,00 euro non
erano i miei. Certamente. Alcuni potranno sorridere per
una simile cifra. Bè...no, io no.
----------------
Vedete,
Oltre al Postamat, proprio per andare sul sicuro con le
transazioni online, tempo fa mi dotai di una carta
ricaricabile PostePay. Nulla di più utile e fantastico,
pensai: niente formalità burocratiche per ottenerla,
bassissimi costi di gestione...quello che ci vuole per
andare sul sicuro nelle transazioni online, ricaricando
solo lo stretto necessario al fabbisogno per l'acquisto:
Tranquillità nell'utilizzo del codice a 16 cifre e della
data di scadenza e tutti i dettagli tipici che, in una
transazione "sicura" comunque vengono
richiesti.
------
Chi sono...?
Sono un informatico di lungo corso, ho gestito e gestisco
diverse reti e diversi server.
L'esperienza mi ha tenuto lontano dal cosidetto
"Phishing" di cui tanto si parla, un modo cioè
da parte di malintenzionati per carpirvi le password
simulando, con una serie di trucchetti, il sito originale
delle poste.
Ora non me la voglio cantare alla lunga. qui le
considerazioni:
--------------------
1) Immaginavate di poter ricaricare 1.900 euro su una
carta ricaricabile?
2) immaginavate di poter effettuare online transazioni
così cospicue non su bonifico o su conto corrente...ma
su una carta ricaricabile dal costo di 5 euro e con una
commissione di solo 1 euro?
3) sapete che, nonostante siate voi stessi a ricaricare
una prepagata PostePay sull'estratto conto e sulla e-mail
di conferma non viene fatta menzione del numero di carta
da voi ricaricata?
4) e sapevate che non figura nemmeno il titolare di
quella carta?
5) sapevate che occorre una istanza formale al giudice e
una denuncia alla polizia postale per venire in possesso
(e tutto è ancora da chiarire in termini di tempo e
costi e utilità) dei dati appena citati?
---
Inutile dirvi che, per quanto mi è stato riferito, non
esiste nessun parapioggia..i soldi sono persi e basta.
In definitiva ciò di cui mi si accuserà, sarà di
negligenza... "la colpa è sua se non sa custodire i
dati segreti"
----
Vero.
----
Peccato che io creda di averli custoditi bene. Certo non
è una prova. Affatto. Ciò che però è chiaro è:
-----
1) non è certo il vicino di casa od il collega che può
tentare una truffa simile. Quei soldi sono stati versati
su una carta che porta nome e cognome. Ci vogliono
persone ben addestrate a questo tipo di attività per
poter sfruttare questo tipo di informazioni.
2) nulla sappiamo (forse x nostra negligenza, forse da
qualche parte è scritto..) di ciò che accade sui server
bancoposta. Come viene generato il codice dispositivo,
per esempio? Quello che ci hanno consegnato all'apertura
del servizio BPOL per intenderci..Esiste un algoritmo per
generarlo? E' davvero del tutto casuale?
Oppure è possibile generarlo sulla base dei dati
personali dell'utente?
3) Esiste un feedback di qualche tipo sui tentativi di
forzatura dei server? cioè, dato il vostro nome.cognome
c'è qualcuno che vi racconterà mai..."sa caro
signor nome.cognome" in data x.y.z qualcuno ha
tentato ripetutamente di accedere alla sua home page BPOL
n volte dall'indirizzo IP A.B.C.D"? io ho provato
per esempio una decina di volte, manualmente, senza che
il server abbia fatto in qualche modo una piega. Qualcuno
di voi sa a cosa mi sto riferendo... esistono software
progettati per attacchi massivi ai server, in grado di
provare numerose password più o meno casuali....
4) siete così sicuri di sapere, qualora fosse
necessario, dove andare per cambiare la password BPOL?
No? Ve lo dico io. Nella home page non di BPOL ma della
posta elettronica. Facile no? Ingegnoso!
----
Qualora ne aveste voglia, potrete disabilitare il codice
operativo (cioè disabilitare la possibilità di
effettuare transazioni online senza rinunciare alla
visualizzazione del conto e dei movimenti) facendo
fallire, per tre volte consecutive, una qualunque
transazione.
Per esempio, per tre volte, dovreste tentare di
ricaricare un numero di telefono cellulare, sbagliando
volontariamente la password operativa. Il sistema
bloccherà DEFINITIVAMENTE quella password, vi invierà
una segnalazione in posta elettronica e sarete costretti,
se mai in seguito decideste di riutilizzare i servizi
online, a richiedere un nuovo codice presso l'ufficio
postale dove il conto è radicato.
Procedura alternativa: Recarsi presso l'ufficio postale
dove il conto è radicato e richiedere per iscritto la
procedura di disabilitazione.
-----------------
Bè è capitato a me. Andrò avanti.
La sensazione è questa: qualcuno ti scippa e la mano del
garante, per questioni di privacy, non ti consente di
guardare nemmeno il sedere dello scippatore.
Buongiorno gente!
---
DISCLAIMER: SENZA LA PRETESA DI ESSERE STATO ESAUSTIVO,
NE' PRECISO.
NESSUN INTENTO DI CRITICARE L'OPERATO DELLE POSTE
ITALIANE. HO RACCONTATO SOLO CIO' DI CUI IN QUESTO
MOMENTO SONO A CONOSCENZA E PRODOTTO ALCUNE
CONSIDERAZIONI DEL TUTTO PERSONALI.
(per il resto...non ho più una lira...)!
Maurizio C. sulleacque@hotmail.com.
P.S.
l'originale di questa email verrà pubblicata sul sito
www.bloggers.it/side
il mio blog.
Non si sa mai, qualche malintenzionato potrebbe
aggiungere qualche bestemmia da querela.
Oh, se poi dovessero querelarmi comunque, qualcuno mi
offrirà arance in carcere?
|
