Sicurezza

Sicurezza dei Servizi on line

I nostri Servizi via Internet seguono precisi standard tecnici per offrire livelli di sicurezza avanzati.

 

Comunicazione sicura.

 

La trasmissione dei dati con il nostro sito è protetta attraverso il sistema di crittografia Secure Socket Layer a 128 bit (compatibile AES 256 bit), che attualmente rappresenta lo standard più avanzato per la crittografia delle informazioni che transitano sulla rete Internet. La protezione è attivata in automatico in quanto le versioni dei browser oggi più diffuse supportano automaticamente tale modalità di colloquio. La visualizzazione di un lucchetto chiuso nella barra inferiore del browser stesso garantisce che questo meccanismo di protezione è attivo. Quando tale simbolo è presente, le informazioni in transito non possono in nessun modo essere visualizzate da terzi.

 

Pertanto entrando nel sito di Inbiz dopo aver effettuato il login verificare sempre che:
- la trasmissione dei dati sia protetta (presenza di un lucchetto chiuso sulla finestra del browser)
- sia presente il prefisso https://
- sia presente la “colorazione verde” che mostra il certificato di attendibilità del sito ufficiale della banca

 

Strumenti di autenticazione forte.

 

Per aumentare il livello di sicurezza Intesa Sanpaolo ha deciso di adottare strumenti di autenticazione forte (dispositivi OTP per la generazione di password usa e getta e dispositivi con certificati digitali) che il cliente deve utilizzare sia nella fase di accesso ai servizi che nella conferma delle operazioni dispositive.

 

Password Usa e Getta (OTP - One Time Password)

 

L’accesso al sistema avviene utilizzando un sistema combinato di credenziali statiche (il Codice Utente, che viene comunicato dalla Banca, e il Codice PIN, che è il codice di sicurezza inviato via email) con una password dinamica, che si può utilizzare una volta sola (il Codice OTP). Attraverso il dispositivo OTP, consegnato in filiale o dal gestore, o tramite l'App Intesa Sanpaolo Inbiz, si possono generare le password usa e getta che andranno utilizzate per accedere al servizio e per confermare le operazioni dispositive: la massima sicurezza su tutte le operazioni on line.

 

Firma Digitale.

 

La firma digitale permette di identificare con certezza l'utente e garantisce l'integrità dei dati trasmessi e firmati digitalmente in compliance con la legislazione italiana (DigitPA), garantendo la non repudiabilità della comunicazione. Intesa Sanpaolo rilascia certificati digitali in qualità di autorità di certificazione accreditata presso il Centro Nazionale per l’Informatica nella Pubblica Amministrazione (DigitPA) e nell’ambito del circuito internazionale IdenTrust. Per ulteriori informazioni a riguardo potete consultare il sito https://ca.intesasanpaolo.com.
Intesa Sanpaolo offre alla propria clientela due diverse tipologie di firma digitale, entrambe basate sulla normativa vigente e sulle regole tecniche associate.
Nel caso di firma digitale “locale”, l’utente riceve un dispositivo fisico di firma (token USB) e l’accesso al sistema avviene attraverso l’inserimento di una coppia di credenziali statiche (Codice utente e il codice PIN associato al certificato digitale installato sul dispositivo di firma).
Nel caso di firma digitale “remota”, l’accesso al sistema avviene utilizzando un sistema combinato di credenziali statiche (il Codice Utente, che viene comunicato dalla Banca, e il Codice PIN, che è il codice di sicurezza inviato via email) con una password dinamica, che si può utilizzare una volta sola (il Codice OTP).
L’utilizzo della firma digitale “remota” avviene inserendo il codice PIN e la password dinamica che si può utilizzare una sola volta (il codice OTP).

 

Scadenza della sessione di lavoro.

 

Per tutelare maggiormente la sicurezza il sistema prevede che, dopo aver effettuato l’accesso e trascorso un tempo massimo di non utilizzo delle funzioni online, la sessione di lavoro sia interrotta. Per poter continuare quindi a operare è necessario effettuare nuovamente l’accesso. Questo accorgimento serve a evitare che in propria assenza altre persone possano poter operare sul sistema.

 

Protezione dei dati sui sistemi interni.

 

Intesa Sanpaolo adotta i migliori sistemi di protezione e prevenzione di attacchi compiuti verso i propri sistemi informativi, a completa tutela dei dati dei propri clienti ivi contenuti.
Con un costante e continuo aggiornamento e miglioramento dei nostri sistemi possiamo garantire i più elevati standard di sicurezza.

 

Assistenza per tematiche di sicurezza

 

All'interno dell'area riservata si trova una sezione dedicata alla sicurezza, con informazioni sull'utilizzo dei codici personali, la possibilità di modificarli a piacere, informazioni sull'utilizzo dei dispositivi di sicurezza e le modalità di sblocco/blocco delle proprie credenziali di accesso.
Si raccomanda di fare riferimento periodicamente alle indicazioni di sicurezza fornire in queste pagine.

Livello di sicurezza

Cosa fare per aumentare il livello di sicurezza.

 

Utilizzo e custodia del Codice PIN

 

Il Codice PIN è un codice numerico che viene richiesto di cambiare al primo accesso; per renderlo più sicuro, consigliamo di non utilizzare sequenze numeriche (ad es. 12345, 67890...), sequenze di numeri ripetuti (ad es. 11111, 22222...) o utilizzare la propria data di nascita. Inoltre è buona norma non utilizzare codici PIN già usati per altri servizi o account. I Codici PIN sono importanti per la sicurezza: non vanno comunicati a nessuno, vanno ricordati preferibilmente a memoria e non devono mai essere salvati sul computer o inviati via mail ad alcuno. Per prevenire possibili intrusioni, consigliamo di modificare il proprio Codice PIN almeno ogni due mesi, evitando di riutilizzare codici già usati in precedenza.

 

Utilizzo e custodia dei dispositivi di sicurezza (OTP e Dispositivo di Firma)

 

I dispositivi fisici consegnati per accedere ai servizi online sono strumenti che aumentano sensibilmente il livello di sicurezza. Tali dispositivi sono strettamente personali e, nel caso del certificato digitale, contengono le informazioni relative alla propria identità. Pertanto non devono mai essere abbandonati o dimenticati in posti dove possano essere facilmente sottratti. Nel caso di furto degli stessi è necessario provvedere immediatamente a bloccare le credenziali di accesso e contattare il servizio di Assistenza Telefonica.

 

Utilizzo di software antivirus

 

Un Antivirus è un ottimo strumento che serve per prevenire tentativi di intrusione e virus. Un software Antivirus dovrebbe sempre essere installato sul PC. Non basta però averlo per essere costantemente al sicuro: occorre ricordarsi di effettuare gli aggiornamenti periodici segnalati dal produttore stesso e presenti anche nel suo sito. Al fine di limitare i danni derivanti da codici malevoli informatici e altri software dannosi, consigliamo di prestare attenzione ad eventi sospetti ed inusuali, quali perdita di file o modifica del loro contenuto con dati non corretti, messaggi o immagini sul monitor o suoni inconsueti, improvvisa comparsa di file o programmi sconosciuti, aumento ingiustificato della dimensione di file o cartelle, rallentamento delle funzionalità del sistema, ecc.

 

Firewall

 

Un Firewall è uno strumento che impedisce lo scambio di dati tra Internet e il PC senza approvazione e riduce il rischio di attacchi che possono provenire dalla rete esterna a opera di hacker. E’ pertanto consigliabile avere un Firewall attivo e sempre aggiornato sui sistemi.

 

Software

 

Consigliamo di mantenere sempre aggiornato il Sistema Operativo del proprio computer e programmi quali browser e antivirus. Le aziende produttrici di software rendono disponibili online sui propri siti, scaricabili gratuitamente, gli aggiornamenti opportuni, nonché strumenti per verificare se il computer è aggiornato all’ultima versione disponibile. Avere il software aggiornato previene l’utilizzo fraudolento del PC tramite le vulnerabilità dei programmi. A tal fine è inoltre consigliato non installare mai software di cui non si conosce la provenienza.

 

Accesso da postazioni pubbliche

 

Consigliamo di non accedere ai servizi di Internet Banking da postazioni pubbliche (cyber caffè, biblioteche, alberghi, ecc.).

 

Custodia dei dati personali (Email, dati anagrafici, ...)

 

Custodire i propri dati personali (email, numero di telefono, nome, cognome, ...) in modalità sicura, ovvero evitando di tenerne traccia, come per i Codici PIN, sul proprio computer personale, su fogli lasciati sulla scrivania, o in posti dove possano essere recuperati da altri a cui non si vuole che siano comunicati ed evitando di comunicarli via chat, forum, etc.

 

Custodia della postazione di lavoro

 

Se ci si allontana dalla postazione di lavoro ricordarsi di “bloccare” il computer, in modo che sia necessario inserire la password di accesso per l’utilizzo. Ricordarsi di eseguire il logout ogni qualvolta si è terminato il proprio lavoro o l’utilizzo dei servizi on line, in modo da non permettere l’utilizzo degli stessi a terzi.

Proteggersi dal phishing

Come riconoscere il phishing e proteggersi

 

Phishing

 

E' una tipologia di truffa on line che, senza violare i sistemi di sicurezza della banca, punta a catturare in modo fraudolento i codici di accesso ai Servizi via internet dei clienti. La truffa avviene attraverso i seguenti passi:
  • Invio di email false da parte del truffatore
    il truffatore invia a migliaia di indirizzi email una falsa comunicazione, spacciandosi per un istituto bancario e invitando il cliente a fornire i propri codici di accesso (ad es. per motivi di verifica, oppure per motivi tecnici) collegandosi ad un sito fasullo, identico a quello della banca, di cui fornisce il link.
  • Ricezione dell'email da parte del cliente
    il cliente riceve la email fasulla in cui gli viene richiesto di cliccare sul link del sito fasullo indicato nella email e di fornire i propri codici di accesso.
  • Accesso al sito fasullo
    il cliente, cliccando sul link contenuto nella email, viene indirizzato al sito fasullo (che è identico nell'aspetto al sito dell’istituto bancario) controllato dal truffatore, ed immette i propri codici di accesso.
  • Ricezione dei codici di accesso dal truffatore
    i codici immessi dal cliente vengono registrati dal truffatore e riutilizzati da questi per accedere al vero sito della banca.

 

Come riconoscere il phishing e potersi proteggere.

 

Gli attacchi di phishing vengono avviati attraverso l’invio di email fraudolente, che tipicamente:
  • sembrano provenire dalla banca, poiché posseggono tutte le caratteristiche delle email inviate dalla Banca (loghi, indirizzo di provenienza, ...)
  • richiedono l’immissione dei codici di sicurezza per vari motivi (problemi tecnici, motivi di sicurezza, garanzia di mantenimento dell’accesso, ...)
  • contengono il link del sito fasullo, controllato dal truffatore, a cui collegarsi per l’immissione delle credenziali; il sito fraudolento è spesso identico a quello della Banca, ma ha un indirizzo diverso e tipicamente non ha un certificato digitale valido
  • non contengono quasi mai indicazione del destinatario (nome, cognome, indirizzo)
  • contengono spesso errori grammaticali, poiché generate da traduttori automatici.
  • Per proteggersi da attacchi di phishing è sufficiente seguire semplici linee guida:
  • Comunicazioni sospette
    non dare mai seguito a email o telefonate che richiedano di inserire o comunicare i propri codici di identificazione: le nostre politiche non prevedono in alcun caso la richiesta di fornire i codici di accesso.
  • Accesso ai servizi
    accedere al sito della Banca sempre e solo digitando direttamente l’indirizzo del sito della Banca (www.inbiz.intesasanpaolo.com) nella barra degli indirizzi del proprio browser (MS Explorer, Firefox, Safari, ecc.).
  • Inserimento dei codici di accesso
    non inserire mai i codici di accesso al sito www.inbiz.intesasanpaolo.com da un link inserito in un messaggio (posta elettronica, istant messaging, ...) o su un sito terzo

 

Comportamento in caso sospetto di phishing.

 

In caso di ricezione di email sospette apparentemente provenienti dalla Banca, è necessario contattare immediatamente il Servizio Clienti o la propria filiale. Nel caso di erronea comunicazione dei codici a seguito di un messaggio di phishing, è opportuno cambiare subito il proprio Codice PIN e contattare il servizio assistenza al numero 800.312.316 se si chiama dall'Italia o +39 011 1997.2040 per chiamate dall'estero

 

Misure di sicurezza che adotta la Banca contro il phishing.

 

Intesa Sanpaolo adotta strumenti e misure di sicurezza per ridurre il rischio di attacchi di phishing a tutela dei propri clienti:
  • adozione di certificati digitali per la protezione del sito web
  • accesso con strumenti di autenticazione forte (OTP o certificato digitale)
  • adozione di software per il monitoraggio e l’individuazione dei comportamenti anomali, tipici di una frode
  • monitoraggio della rete per l’identificazione di siti fasulli di phishing.