Probabilmente molti correntisti di IWBank utilizzano già da tempo il token mobile e non mi risulta che ci siano altri istituti in Italia che lo abbiano ancora adottato.
Personalmente ho preferito attendere il termine della fase di beta-testing e approfittando della fine naturale della batteria del mio token classico ho deciso di provarlo
Di cosa si tratta
Per chi non lo sapesse, il token mobile è una semplice applicazione rilasciata direttamente da Verisign da installare nel proprio smartphone che sostituisce in toto quell’appendice odiata-amata (tranne forse la versione carta-di-credito promossa sempre da IWBank) che ha reso per certi versi più macchinoso accedere ai conti correnti online, in cambio di una maggiore sicurezza.
Sono supportati praticamente tutti i terminali basati su Symbian, Android, iOS, Blackberry, Windows, oltre ai terminali che adottano la piattaforma BREW di Qualcomm.. quindi a meno di qualche sfortuna personale dovrebbe essere possibile usarlo per chiunque già usa uno smartphone per leggere la posta elettronica o navigare in piccolo.
Installazione
E’ consigliabile installare l’applicazione direttamente dal telefonino, trattandosi di pochi kilobyte. Con il proprio browser si deve semplicemente aprire il link m.verisign.com e attendere che il sito web identifichi la versione più corretta da farci scaricare. Una volta installata avremo come icona il noto logo di Verisign tra le applicazioni.
L’applicazione è essenziale e solo al primo lancio sarà necessario avere un collegamento a internet per permettergli di collegarsi in modo sicuro al sito di Verisign, comunicare probabilmente l’IMEI del telefonino e ricevere indietro l’identificativo del token mobile (Credential ID, che è possibile poi nascondere) generato. Al pari dell’identificativo del token fisico, esso andrà poi inserito nell’area riservata di IWBank per agganciarlo.
Sotto c’è il familiare codice a 6 cifre (Security Code) con un simpatico e utile timer circolare tarato a 30 secondi che ci indica per quanto tempo sarà valido.
Tutta la procedura è descritta in modo davvero esauriente nella guida PDF di IWBank, giunta alla secondo versione.
Problematiche da tener presenti
I nuovi correntisti possono scegliere da subito di usare il token mobile, mentre i vecchi che intendano adottarlo devono richiedere la dissociazione del vecchio token e provvedere a restituirlo alla banca nel giro di una settimana (tempo concesso per provare il nuovo token) per non dover pagare una penale di 25€; per la restituzione viene suggerita una raccomandata per escludere che il token stesso possa andare smarrito con conseguente addebito della penale.
Nel mio caso, dalla richiesta telefonica ho dovutto attendere circa un’ora e mezza per ottenere la dissociazione (confermata a mezzo e-mail) e va considerato che dal momento in cui il token fisico viene dissociato dal conto corrente, il conto stesso risulterà sospeso e l’operatività sarà possibile solo tramite call center fintanto che non si provvederà ad associare il token mobile (o altro token fisso). Con il token fisico dissociato, l’accesso all’area riservata è concesso inserendo solo user name e password (non è necessario inserire il codice del vecchio token che peraltro non verrebbe riconosciuto) e comparirà immediatamente la schermata dove inserire alla voce Token ID il Credential ID dell’applicazione Verisign. A seguire sarà proposta la consueta procedura di sincronizzazione: andrà inserito uno dei codici generati dall’applicazione (OTP1) e il successivo (OTP2). Da questo momento il token mobile è operativo e con esso il conto corrente.
Va da sé inoltre che a seguito di aggiornamento del firmware o del sistema operativo del terminale (o furto del terminale) il Credential ID potrebbe cambiare dovendo ripetere l’intera procedura di installazione dell’applicazione e si dovrà procedere a contattare IWBank per la nuova associazione. Rispetto alla perdita del token fisico, con conseguente attesa del sostitutivo con costi annessi, è sicuramente un sacrificio minore e soprattutto ha tempi decisamente più rapidi.
Considerazioni
Il vantaggio principale è che il token sparisce del tutto. Personalmente ho smesso da anni di usare orologi avendo sempre il cellulare con me e non può che rendermi felice dover perdere l’abitudine di portare anche il token. Questo implica anche che la banca stessa non dovrà preoccuparsi delle sostituzioni dei token per fine-vita ed eventuali problematiche di sicurezza potranno essere risolte lato software direttamente da Verisign.
Di contro, su eventuale furto o smarrimento del terminale, si lascia uno spiraglio aperto per eventuali attacchi. Tuttavia per accedere al conto sono sempre necessari username e password, oltre al token.
La recente sostituzione del token di PostFinance mi aveva fatto sospettare di un cambio di strategia nella stessa direzione, ma è evidente che in quel caso la sicurezza cui si fa riferimento è più sottile.