[cancellato] non mi riferivo alle Poste, che in generale non definirei per nulla serie 🤣 (e cmq la "calcolatrice" generica che generava OTP basandosi sulla carta inserita secondo me era una genialata, in senso buono eh, ovviamente dismessa nonostante fosse stata compliant, visto che generava gia' OTP partendo da dati specifici alla transazione in corso).
E cmq esiste almeno un istituto bancario che usa attualmente token fisico senza aver implementato OTP specifici per transazione; attualmente fa la doppia conferma via SMS per operazioni "sensibili" come bonifici mandati a IBAN non in rubrica, e inoltre ha anche gia' il token pronto per implementare le OTP transaction-specific, premendo un altro tasto e inserendo altri dati, invece che premendo il solito tasto senza inserire altri dati oltre al PIN del token.
[cancellato] Le app costano meno all'istituto dell'hardware fisico, poco da fare...
Io il token fisico l'ho pagato una decina abbondante di euro. Non pretendo certo di averlo gratis, ma finche' un token completamente offline si puo' prendere a costi relativamente accessibili come questo, mi sta bene.
E cmq, finche' lo sviluppo delle app resta esternalizzato, e bisogna pagare anche il "cloud" di turno per consegnare le notifiche ai vari dispositivi Google e Apple, non sono poi tanto sicuro che gli costi di meno.
Anzi, il token fisico sicuramente all'ingrosso gli costa meno di quanto lo fanno pagare al cliente, e poi non ha altri costi fissi, certo a meno che pure il produttore dei token non operi con un modello basato su licenze periodiche invece che semplicemente consegnare le chiavi "private" dei token emessi alla banca...
[cancellato] Poi che non dovrebbero richiedere permessi strani e sottrarre dati sono d'accordo con te, ci mancherebbe
Eh, e' questo il problema. Cioe' far girare l'app su un telefono "senza root" (quindi che non controllo io ma altri) per me e' totalmente fuori discussione, cosi' come non intendo certo prendere un telefono "stock" solo per questo; e poi non mi va di perdere tempo per reversare l'app e l'algoritmo ed estrarmi la chiave del token app (e se poi un giorno eliminano il generatore e obbligano a ricevere le notifiche via Google Firebase per accettare le transazioni? No no no!)...
[cancellato] però purtroppo con le direttive europee le alternative sono molto risicate
Questo in realta' e' FUD, perche' ci sono banche che (per fortuna) rilasciano ancora token fisici "normali"/offline con display e tastierino (pur non avendo nemmeno implementato le OTP transaction-specific), e altre banche che fanno ancora funzionare i semplici token con singolo pulsante per accendere il display...
Non mi sono letto la normativa nello specifico, ma direi che e' evidente che la normativa PSD2 non porta obblighi senza alternative, in questo caso.
Che poi le banche tendano a prendere "due piccioni con una fava" e vadano ad "obbligare" gli utenti ad installare l'app "spiona", beh... Ci sta, li capisco, ma magari vorrei anche evitarla una banca del genere, a prescindere, ecco. 😅
handymenny Che poi è anche una cosa molto sensata, io voglio sapere cosa sto autorizzando. Potrei vedere a schermo 100€, ma 1k€ scalati dalla carta, con gli OTP "nuovi" questo non può succedere
Dipende da cosa hanno bucato... Se ti bucano per benino il telefono, gli OTP mobili non li vedi nemmeno. E mi sembra di aver letto di casi che si spiegavano solamente cosi'. Poi certo bisogna vedere quelle vittime quante "Flashlight" fasulle e compagnia cantante avevano installato...
E in ogni caso, il mio punto e' anche che vorrei vederli solo io, i dettagli delle mie transazioni bancarie, non tutto l'ecosistema presente nel telefono (e/o nel browser per chi usa Chrome, e/o nel computer per chi usa Windows, e cosi' via...) 😉
