Nelle ultime ore, a diverse persone che utilizzano le app Postepay e BancoPosta è comparso un messaggio di avviso che li esorta a concedere alle applicazioni di Poste Italiane le autorizzazioni per accedere ai dati di utilizzo del telefono.
Non è molto chiaro il perché; l’azienda parla genericamente di prevenzione di frodi e di rilevamento di app dannose. Ma quel che è certo è che si tratta di un passaggio extra obbligatorio che impedisce di fatto di utilizzare le due app.
Nuovi dati necessari per usare le app di Poste Italiane
Il messaggio in questione, visibile all’apertura delle app BancoPosta e Postepay per Android recita quanto segue:
Al fine di prevenire potenziali frodi e assicurarti un’esperienza ancora più sicura nell’utilizzo delle sue applicazioni, Poste Italiane introduce un nuovo presidio di sicurezza.
Clicca sul bottone “Vai alle impostazioni”‘ e autorizza l’App Postepay ad accedere ai dati per rilevare la presenza di eventuali software dannosi.
La funzionalità è obbligatoria, attivala subito. In assenza di tale autorizzazione hai a disposizione un numero massimo di 3 accessi dopo i quali non ti sarà più possibile accedere ed operare in app.
Toccando il link “Scopri di più” le app BancoPosta e Postepay rimandano a questa pagina del sito di Poste Italiane, dove ci sono alcune informazioni su come difendersi dalle truffe e sulle tipologie di truffe online e in app, pur senza spiegare nulla su questo nuovo obbligo.
Per continuare a usarle è quindi necessario dare il consenso toccando “Vai alle impostazioni”, che rimanda alla relativa pagina delle impostazioni del telefono in cui spuntare l’opzione “Consenti accesso ai dati di utilizzo”. Così facendo, le app Postepay e BancoPosta possono controllare quali altre app si utilizzano e con quale frequenza, oltre ad avere accesso ad altre informazioni come il proprio operatore, la lingua impostata e altro.
Con questi dati Poste Italiane avrebbe quindi la possibilità di prevenire le frodi rilevando app dannose e rischiose per l’utente, secondo quanto recita il messaggio in questione, nonostante l’azienda non spieghi molto altro al riguardo.
Non è infatti chiaro, ad esempio, quali dati verranno trattati da Poste Italiane, né ci sono chiarimenti nel regolamento generale sulla privacy dell’azienda, come sottolineato anche da DDay. La direttiva europea dei sistemi di pagamento PSD2, attualmente vigente e citato nello stesso URL del link in cui Poste Italiane promette maggiori informazioni al riguardo, prevede per i prestatori di servizi di pagamento che “l’accesso ai dati e ai sistemi per mezzo di applicazioni informatiche dovrebbe essere limitato a quanto strettamente necessario per la prestazione del servizio in questione”.
In attesa di chiarimenti, esauriti i 3 accessi citati fruibili toccando la voce “Non ora”, chi ha ricevuto questa notifica di accesso dovrà necessariamente autorizzare l’app BancoPosta e Postepay ad accedere ai dati del telefono.
Perché? C’è qualche indizio nel codice delle app di Poste Italiane
A distanza di poche ore, viene chiarito qualche dubbio, non da Poste Italiane, ma da DDay, che ha analizzato il codice delle app Postepay e BancoPosta scovando alcune informazioni utili.
Emerge innanzitutto che Poste Italiane si sia affidata a ThreatMetrix (LexisNexis Risk Solutions), un’azienda statunitense che sviluppa, fra le altre cose, soluzioni di sicurezza spesso al servizio di istituti finanziari per la lotta alle frodi. Lo strumento che utilizza Poste è TrustDefender, che si appoggia a sua volta su un componente chiamato TMXProfiling che usa i dati dello smartphone per creare l’impronta con cui accedere e utilizzare l’app.
I dati di utilizzo del telefono richiesti da Poste Italiane (che non sono foto o dati personali) servirebbero proprio per far sì che questo metodo di autenticazione sia più preciso, dati che, semplificando, permettono di identificare meglio il dispositivo come dispositivo reale dell’utente. Concedendo cioè alle app BancoPosta e Postepay i permessi necessari per accedere a questi dati aggiuntivi, è meno probabile che le frodi bancarie abbiano effetto.
Conoscere l’operatore, le app installate e altri dati, permette al server di Poste di avere molte informazioni aggiuntive con cui proteggere meglio il cliente, considerato che molto spesso i malintenzionati sfruttano proprio le app craccate e installate in sideload per rubare i dati dell’utente.
In questo modo è più semplice per le app Postepay e BancoPosta garantire sicurezza, scovare se sul telefono ci sono malware o app potenzialmente dannose, per far sì che il sistema di autenticazione non possa essere replicato ed evitare di conseguenza che vengano autorizzati accessi o transazioni senza il consenso dell’utente, sempre più spesso vittima di tentativi di frode.