3.4.2. Sistemi adottati da Banca Sella

Sella adotta la versione Sicura del protocollo di trasmissione http ossia l’https.
L'HTTPS è l'HTTP incapsulato in un flusso SSL/TSL. L'SSL è il protocollo Secure Socket Layer, un protocollo di sicurezza che fornisce privatezza nelle comunicazioni su Internet. TSL sta per Transport Layer Security, ovvero sicurezza dello strato di trasporto.

Il protocollo TCP/IP con crittografia SSL (Secure Socket Layer) a 128 bit, certificato Verisign, attualmente rappresenta il massimo della sicurezza per la protezione delle informazioni trasmesse via Internet: protegge tutte le pagine dei  servizi sia free che dispositivi, fin dall'invio dei primi dati inseriti (Codice e Chiave), del sito Banca Sella. Banca Sella è stata tra i primi in Italia ad adottare questo standard di sicurezza.
Con il Sigillo Sito Sicuro i visitatori del sito possono controllare le informazioni e lo stato del Server ID di banca Sella in tempo reale.

  Esso fornisce, inoltre, una protezione aggiuntiva contro l'uso improprio di certificati revocati o scaduti. Il Sigillo Sito Sicuro può essere apposto su un sito soltanto nel caso in cui il sito stesso sia protetto da un certificato VeriSign.
L'utilizzo del certificato, emesso dalla Certificate Authority Ufficiale (Verisign), serve inoltre a garantire il colloquio esclusivo con Banca Sella e quindi che le informazioni scambiate non siano state modificate da soggetti terzi durante il tragitto.

Per accertarsi della legittimità dell'installazione del Sigillo Sito Sicuro la prima cosa da verificare è che la pagina che espone il Sigillo Sito Sicuro sia una pagina accessibile in modalità protetta, cioè in https:// invece che http:// (la "s" finale significa appunto "secure".)
Il passaggio dalla modalità http:// a quella https://  sarà segnalato dal lucchetto visualizzato in basso nello schermo (a destra o a sinistra a seconda del tipo e della versione di browser utilizzato); tale lucchetto dovrà apparire chiuso, e, ad un doppio click, dovrà mostrare tutte le caratteristiche di sicurezza della pagina e del certificato digitale in essa installato. Il passaggio dalla modalità non protetta a quella protetta  potrebbe essere segnalato, inoltre, da un messaggio di warning del proprio browser.

Se la pagina non risulta accessibile in modalità protetta, questo potrebbe significare che nessun certificato digitale è installato su quel sito, e che per questo la sessione SSL (Secure Sockets Layer), che garantisce la cifratura dei dati in transito tra client e server, non può essere instaurata.
In secondo luogo occorre accertarsi che vi sia un link al sito VeriSing Inc. Nel caso in cui il Sigillo Sito Sicuro non contenga alcun link, è assai probabile che il sito visitato non sia in possesso di un certificato digitale VeriSign.

E’ possibile verificarlo tramite Sella inserendo nel campo “Common Name” il Fully Qualified Domain Name del sito  visitato, (senza specificare le sottodirectory, né http). Se la ricerca  effettuata non dà alcun esito, il Sigillo Sito Sicuro potrebbe essere stato installato illegittimamente, per indurre negli utenti fiducia e confidenza ingannevoli. In caso contrario, è possibile che il Sigillo non sia stato installato correttamente.

Quanto ai codici di Accesso (Codice Cliente, PIN, e Password) sono creati da un algoritmo matematico gestito direttamente dal calcolatore centrale, scollegato da qualsiasi applicazione Internet. Una volta emessi i codici, gli stessi vengono cancellati dalla procedura che li ha generati. In aggiunta a questi codici, l'accesso ai servizi dispositivi on-line prevede anche l'inserimento della data di nascita.

La procedura di autenticazione verifica i dati immessi: dopo l’inserimento del "codice cliente e del Pin” se i dati sono corretti vengono allora richiesti "data di nascita e 2 caratteri a caso della password (codice alfanumerico di 8 caratteri).
Solo se entrambi i passaggi sono corretti viene consentito l'accesso al cliente ai servizi dispositivi on-line.  
Nel caso in cui vengano commessi 3 errori successivi in uno dei due passaggi il codice viene bloccato e non è pertanto più utilizzabile. Il cliente ha allora ancora 2 possibilità accedendo al servizio di Banca Telefonica. Inoltre,in ogni momento si può modificare Pin e Password collegandosi alla  sezione Profilo.

      
Dott.ssa Maria Michela Lucignano