Di tanto in tanto, incontro stupide lacune di sicurezza da parte di persone che dovrebbero saperne di più, come l'organizzazione finanziaria che mi ha telefonato per una transazione di credito online e ha richiesto la mia password come prova che stavano parlando con l'account titolare. Ho spiegato pazientemente che mentre sapevano chi ero perché avevano avviato la chiamata, non avevo alcuna prova di chi fossero e quindi non stavo dando loro la mia password o parte di essa. Invece, ho suggerito di dirmi il terzo, il quarto e l'ottavo carattere alfanumerico della mia password e se fossero corretti avrei dato loro il resto. Questo è stato rifiutato e, durante il breve ma acceso dibattito che è seguito, è diventato evidente che la persona all'altro capo del telefono non riusciva a capire perché stavo "facendo così il difficile". Alla fine abbiamo concordato che li avrei richiamati e avrei continuato la conversazione in quel modo, ma ha rivelato un malinteso su come funziona la sicurezza che non dovrebbe esistere al giorno d'oggi.
Così fa una storia del fornitore di servizi di pagamento online Nochex e delle sue richieste di prove d'identità che sono state portate alla mia attenzione da un lettore. Nochex appartiene anche alla categoria "dovrebbe sapere meglio", essendo stata coinvolta nel business dei pagamenti sicuri per più di sei anni. Ho usato Nochex e ho sempre trovato molto rassicurante il trasferimento e l'archiviazione dei dati crittografati e l'uso delle stesse posizioni server sicure di molte banche commerciali. Eppure, come spesso accade, in qualche modo la trama si è persa in dettagli periferici: in questo caso, la conferma dell'identità di un cliente “scaduto” che desiderava riattivare il proprio account.
La creazione di un nuovo account Nochex non è un problema, seguendo un percorso ben battuto richiedendo i dettagli del conto bancario e un piccolo deposito. Solo dopo aver confermato l'importo di tale deposito e il riferimento che lo accompagna, il tuo account sarà attivato. Tuttavia, come ha spiegato il mio utente preoccupato, le cose sono andate diversamente quando, non avendo utilizzato il suo account per un anno o due, ha scoperto che era stato disattivato.
Questo di per sé è una sicurezza piuttosto solida, ovviamente, e qualcosa che chiunque abbia avuto un account Ebay inattivo dirottato da truffatori avrebbe preferito di gran lunga. Il processo di riattivazione è apparso semplice, richiedendo il download e la restituzione di un modulo a Nochex, ma è stato anche richiesto copia di una bolletta recente, estratti conto bancari e della carta di credito (tutti documenti preziosi per i ladri di identità) da inviare via lumaca posta.
Tutta questa inestimabile documentazione personale doveva essere inviata a un indirizzo che avviava "Riattivazione account, Nochex Ltd", una notevole mancanza di buon senso equivalente a infilare il passaporto e il libretto degli assegni in una busta e scriverci sopra “Documenti di identità vitali, per favore no rubare".
Nessuno in Nochex ha pensato di utilizzare una casella postale anonima per questo tipo di traffico o di eliminare del tutto i documenti cartacei? Questo era un account scaduto, quindi l'eliminazione completa dopo diversi avvisi e-mail avrebbe avuto più senso, con l'utente dover registrare un nuovo account con lo stesso indirizzo e-mail utilizzando il processo di conferma digitale sicuro esistente. A peggiorare le cose, l'utente non ha nemmeno ricevuto alcuna conferma dell'arrivo dei suoi documenti, né alcuna risposta alla richiesta di distruzione delle copie del documento il prima possibile. Alla fine ha ricevuto un'e-mail che diceva che il suo account era stato riattivato, il che non ha fatto nulla per alleviare la sua preoccupazione.
Nochex è stata informata delle mie preoccupazioni e un portavoce mi ha assicurato che prende molto sul serio la sicurezza e l'integrità degli utenti. "I criteri e i processi di identificazione per la riattivazione degli account e la conferma dell'identità dei nostri clienti vengono regolarmente rivisti", ha affermato. "Grazie per aver sollevato le preoccupazioni del signor X e possiamo confermare che abbiamo contattato il signor X per confermare la ricezione sicura delle sue informazioni e la distruzione sicura di tali informazioni. Speriamo che prevalga il buon senso e che questo stato di cose venga rapidamente rettificato.
