Basta il codice fiscale per scoprire chi ha chiesto un prestito a Findomestic

La procedura per monitorare la pratica di prestito con la banca sfrutta il codisce fiscale. Un'informazione che potrebbe essere usata per campagne di phishing

Basta poco per scoprire chi ha chiesto un prestito a Findomestic. Basta un solo indizio: il codice fiscale. Dopodiché, è sufficiente inserire quel dato sul sito della banca fiorentina, specializzata in credito al consumo, per sapere se a quel codice fiscale corrisponde una domanda di prestito. E, di conseguenza, raccogliere un’informazione utile per mettere sotto tiro quell’utente. Fa la differenza sapere se qualcuno ha chiesto soldi a Findomestic?, potrebbe chiedersi qualche lettore. Eccome, se hai cattive intenzioni e sai come far fruttare i dati che hai in mano. Basti pensare alle campagne di phishing: più conosci la tua vittima, più efficace sarà l’esca che progetti per farla abboccare.

La chiave “codice fiscale”

Della crepa nel sistema di accesso di Findomestic si è accordo Lorenzo Romani, analista specializzato in open source intelligence (Osint, ossia l’attività di raccolta di informazioni da fonti pubbliche). Non serve solo il codice fiscale per accedere alla pratica. Dopo averlo inserito, se il sistema riconosce la stringa alfanumerica tra quelle che ha in memoria, invia al cellulare dell’utente un codice Otp (one time password, una chiave a scadenza) per entrare. Altrimenti accende un semaforo rosso.

Non basta quindi il codice fiscale di Mario Rossi per spiare la pratica di Mario Rossi con Findomestic. Ma è sufficiente per sapere che Mario Rossi ha chiesto un prestito, a differenza di Marco Bianchi. Il risultato è presto detto: un criminale del web ha un ghiotto assist per costruire una trappola su misura in cui far cadere Mario Rossi e acquisire informazioni utili su di lui. Per esempio, inviando una mail malevola per confermargli che il prestito è stato accettato.

I rischi di sapere troppo

Il phishing funziona così. È un’operazione di ingegneria sociale: traveste un messaggio esca con le fattezze di quello di un fornitore legittimo, con cui l’utente intrattiene un rapporto – per esempio, chi eroga prestiti – per carpire altri dati, come quelli della carta di credito.

È proprio la conclusione a cui giunge Romani su Twitter: “A mio avviso la procedura va totalmente ripensata: non è molto difficile generare automaticamente migliaia di codici fiscali, passarli per il form e scoprire se qualcuno ha richiesto un prestito” e a quel punto, “risalire all’identità della persona, trovarne i contatti telefonici usando database online e contattare il consumatore per indurlo ad abboccare. Il phishing è dietro l’angolo”.

Secondo l’ultimo rapporto del Clusit, l’associazione italiana per la sicurezza informatica, nei primi sei mesi del 2019 gli attacchi phishing e social engineering sono cresciuti del 104,8% rispetto allo stesso periodo dello scorso anno. Questo significa che le tecniche più semplici danno ancora buoni frutti.

Per Enrico Ferraris, avvocato esperto di tecnologia e privacy, “l’utilizzo di una ricerca libera per codice fiscale, consentendo a chiunque di conoscere l’esistenza di una pratica, potrebbe esporre gli utenti ad azioni malevole, quali campagne di phishing mirate. L’adozione di codici univoci, che solo la società può ricollegare all’identità dei clienti, potrebbe ridurre sensibilmente i rischi legati al trattamento dei dati personali”.

La spiegazione di Findomestic

La scelta dell’azienda era mossa da buone intenzioni, come spiega la stessa Findomestic a Wired, dicendo che “ha adottato questo sistema per facilitare l’esperienza utente in fase di on boarding. Vale a dire: all’utente viene offerta la possibilità di monitorare lo stato della sua pratica di finanziamento senza necessariamente iscriversi all’area cliente, operazione che potrà decidere di svolgere successivamente”.

E alle osservazioni su un rischio collegato alla sicurezza di quella funzione, Findomestic fa sapere che “la banca ha messo in atto una serie di misure all’avanguardia che consentono di tutelare la privacy e la sicurezza dei propri clienti. Naturalmente, questo è un tema estremamente sensibile per Findomestic che, in un contesto di forte evoluzione, anche da un punto di vista normativo, e di estrema attenzione alla privacy, continua ad aggiornarsi e ad investire per dotarsi di sistemi di sicurezza sempre più evoluti”. Tra le altre funzioni, l’azienda ha sul sito un link di allerta proprio sul phishing.

Quello di Findomestic, controllata dal gruppo Bnp Paribas, è un sistema su cui vorrebbero vederci chiaro gli esperti del Garante della privacy, come Wired ha potuto appurare. Anche perché il settore finanziario è uno dei più sensibili agli attacchi informatici (vale il 7% del totale monitorato da Clusit fino a giugno 2019) e il credito al consumo continua a crescere in Italia.

Per l’associazione del settore, Assofin, nei primi nove mesi dell’anno il valore erogato è cresciuto del 6,3% rispetto al 2018 e le operazioni sono aumentate dell’11,1%. E Findomestic è un attore di primo piano in questo mercato. L’azienda non ha fornito a Wired i dati richiesti in merito agli impieghi, ma come emerge dal rapporto 2018 di Assofin, la banca fiorentina è la terza in Italia per numero di prestiti erogati nel 2018: 295.247, dietro Compass e Intesa Sanpaolo. Ma raggiunge il gradino più alto del podio se si misurano i volumi prestiti: 5,1 miliardi di euro, più di un quinto del totale in Italia.