Sicurezza Corporate Banking

 

DIFENDITI DALLE TRUFFE

Ricorda: non chiediamo mai le tue credenziali via email, SMS, telefono o social. Non fornire PIN, codici delle carte, credenziali del Corporate Banking o Password.
Non chiamiamo mai i nostri clienti al telefono per avere informazioni di dettaglio su dati personali o strumenti di pagamento.


Attiva le notifiche via SMS e email
Per essere costantemente informato, attiva il servizio Paschi Avvisa nella sezione VAS del tuo Corporate Banking. Puoi selezionare le operazioni che desideri monitorare oppure l'importo minimo oltre il quale ricevere l'avviso. Ricevi una notifica via SMS o email con i dati riepilogativi dell'operazione quando questa è registrata in conto.
E' inoltre presente il servizio Avvisi di Sicurezza, specificamente pensato per informazioni tempestive in caso di disposizioni di pagamento non certificate. Puoi attivarlo nel menu Utilità > Sicurezza (consulta l’apposita Guida disponibile nella pagina principale del tuo Corporate Banking).


Riconosci le truffe online

  • Phishing è una truffa/frode che si basa su false email o falsi SMS, apparentemente inviati dalla Banca, che ti invitano ad inserire i tuoi dati su un sito simile all'Internet Banking oppure rimandano a link artefatti ma che in realtà arrivano da organizzazioni di truffatori. Se ricevi email o SMS sospetti inoltrali a assistenza.aziendaonline@mps.it oppure contatta il servizio di assistenza tecnica al numero verde 800 603030 o il tuo gestore in Filiale. 
  • Man-in-the-Browser (MITB) è una truffa/frode che si basa sulla compromissione del browser Internet ad opera di un codice pericoloso (virus) che si installa su computer poco protetti. Il codice modifica le azioni eseguite dall'utente e addirittura è in grado di avviarne di nuove in maniera autonoma e ad insaputa dell’utente. Quando un cliente si collega al proprio conto bancario, è sufficiente che utilizzi un browser Internet infetto per innescare transazioni illecite. Se durante l’accesso al tuo conto online noti modalità e richieste di dati diversi dal solito contatta il servizio di assistenza tecnica al numero verde 800 916090.
  • Business Email Compromise (BEC) è una truffa/frode che si basa sulla compromissione della corrispondenza digitale di un’azienda. Le aziende ricevono per posta elettronica le fatture emesse dai fornitori che devono essere saldate nei tempi stabiliti. Nella medesima fattura è indicato anche il codice IBAN sul quale effettuare il bonifico. Gli hacker, attraverso degli appositi virus informatici, effettuano degli accessi abusivi sulle email dei debitori, scaricano le fatture da onorare prima che il destinatario possa prenderne visione, sostituiscono l’IBAN indicato con quello di un complice e rinviano la fattura modificata, eliminando dalla casella email il messaggio originale, utilizzando indirizzi email di trasmissione fasulli, simili o identici all’indirizzo del mittente originale. Il malcapitato quindi effettua il versamento che, invece di andare a favore dell’azienda che ne aveva diritto, confluisce nei conti gestiti da terze persone per conto dei malfattori. Se ricevi per email istruzioni ad effettuare un pagamento contatta sempre telefonicamente il tuo fornitore per avere effettiva conferma delle coordinate bancarie su cui effettuare il pagamento.

Ogni volta che c'è il sospetto di anomalie, di incidenti di sicurezza o presunti pagamenti fraudolenti, segnala immediatamente la situazione a assistenza.aziendaonline@mps.it oppure contatta il servizio di assistenza tecnica al numero verde 800 916090.
Ti ricordiamo che potremmo sospendere l'esecuzione di singole operazioni o dell'intero servizio di corporate banking se ci fosse il sospetto che le operazioni stesse siano anomale o derivanti da tentativi di frode. In questo caso ti contatteremo prontamente ai recapiti forniti (prioritariamente via telefono) per chiedere conferma delle operazioni in questione. La conferma dell'operazione ne sblocca l'esecuzione, che altrimenti resta in sospeso fino a completamento della verifica. E' quindi molto importante mantenere aggiornati i recapiti di contatto. L'individuazione di potenziali operazioni fraudolente si basa su molteplici elementi, costantemente aggiornati, sulle tecniche utilizzate dai malversatori e sull'utilizzo di metodi, strumenti e operazioni inconsuete per l'utente, sia nella modalità sia nei volumi.
 

Inserimento credenziali di accesso, durata delle sessioni e conferma delle operazioni
Prima di digitare la tua password in un sito controlla sempre:

  • che sia presente il prefisso "https://" e il "lucchetto chiuso"
  • l'attendibilità del sito a cui accedi: clicca sull'icona del lucchetto presente nel browser di navigazione e verifica che le informazioni riportate facciano riferimento a una data di scadenza ancora valida
  • che non ci siano anomalie nelle usuali procedure di accesso e di utilizzo del Corporate Banking, ad esempio nel modo con cui viene richiesto l'inserimento dei dati. Se hai dubbi contatta il servizio di assistenza tecnica al numero verde 800 916090 oppure rivolgiti alla tua filiale.

Ricorda che hai disposizione un limite massimo di 5 tentativi errati di digitazione delle credenziali di accesso, superati i quali procederemo con il blocco dell’utenza.

La connessione al nostro sito utilizza un protocollo crittografico forte (TLS 1.2) che consente una comunicazione sicura dalla sorgente al destinatario (end to end encryption), uno scambio di chiavi basato sull’algoritmo RSA e un cifrario forte basato sull’algoritmo a chiave simmetrica (AES_256_GCM). Non ti richiediamo in nessun caso il contemporaneo inserimento, in un'unica pagina, di più password monouso per confermarci un'unica operazione
Nell’ottica di garantire una maggiore sicurezza nei pagamenti online, la sessione di autenticazione viene terminata in automatico dal sistema superati i 5 minuti di inattività.

Dal 14 settembre 2019 sono operativi i nuovi requisiti di sicurezza introdotti dalla Direttiva UE 2015/2366, relativa ai servizi di pagamento, nota anche come PSD2 (Payments Service Directive 2). Da tale data diventa quindi obbligatorio l’utilizzo di più stringenti standard di sicurezza che richiedono:

  • l’accertamento dell’identità del cliente attraverso due o più strumenti di autenticazione, c.d. “Autenticazione Forte” o “Strong Customer Authentication” (SCA)
  • l’utilizzo di collegamenti dinamici che certifichino l’unicità della transazione (“Collegamento Dinamico” o “Dynamic Linking”).

L' “Autenticazione Forte” prevede che il cliente utilizzi almeno 2 fattori di sicurezza fra quelli indicati dalla normativa e classificati come segue:

  • Conoscenza, qualcosa che solo il Cliente “conosce”, ad esempio una password
  • Possesso, qualcosa che solo il Cliente “possiede”, ad esempio un cellulare dove ricevere una password temporanea (c.d. One Time Password) valida per un solo utilizzo
  • Inerenza, qualcosa che il Cliente “è”, che lo contraddistingue in modo univoco come ad esempio la sua impronta digitale o la voce o l’iride

Il “Collegamento Dinamico” (o “Dynamic Linking”) prevede che l'autenticazione di ciascuna operazione di pagamento (bonifico, compreso bonifico estero e pagamento di stipendi, pagamento RIBA, pagamento bollettini, ricarica di cellulare, F24) avvenga tramite un codice univoco associato univocamente a quella transazione e alle sue caratteristiche (importo, beneficiario).
Per garantire il livello di sicurezza richiesto dalla normativa, dal 14 settembre 2019 non sarà più possibile utilizzare la vecchia chiave elettronica (token) per disporre le operazioni soggette a dynamic linking tramite corporate banking (sono esentati i conti di tesoreria degli enti su canale dedicato come PasKey tesoreriaonline e tribunalionline), che possono continuare a utilizzare il token come nell’attualità. Pertanto, se stai utilizzando il token per effettuare operazioni dispositive soggette a dynamic linking, dal 14 settembre 2019 dovrai effettuare il passaggio alla modalità di invio dei codici autorizzativi univoci (OTP - One Time Password) via SMS sul cellulare certificato.


​Conferma dati e codici personali
Non ti chiederemo mai via email di confermarci i tuoi dati personali o i tuoi codici riservati (numero carta di credito, password e così via).
Non aprire i messaggi di posta elettronica dei quali non riconosci il mittente; nel dubbio cancellali.
Valuta con attenzione ogni richiesta di dati personali da parte di persone non conosciute, soprattutto quelle connesse a offerte di lavoro, o alla proposta di "favolosi" investimenti, o alla vincita di un premio "certo".
Scrivi l'indirizzo del servizio di Corporate Banking direttamente nella barra di navigazione e non accedere mai attraverso link presenti in email, anche se apparentemente provenienti dalla Banca.
Memorizza a mente le credenziali di accesso ai servizi della Banca, senza lasciarne traccia sul computer, e modifica frequentemente la password.
Evita di attivare la funzione di salvataggio automatico delle password.
Non digitare mai codici di accesso personali qualora questi siano richiesti tramite email o finestre che si aprono in automatico sullo schermo.

​​Difendi il tuo computer
Proteggi il computer con un AntiVirus aggiornato e dota il sistema di adeguati software di protezione (AntiVirus, anti-malware e anti-spyware) e tienili sempre aggiornati.
Aggiorna il sistema operativo (ultima release/versione) e i principali programmi utilizzati.
Tieni sotto controllo eventuali peggioramenti delle prestazioni e della velocità del computer perché potrebbe essere un indice di contagio; nel caso avvia una scansione con l'AntiVirus.

Requisiti di sistema
I sistemi operativi preferibili sono: Windows (versioni ancora supportate da Microsoft).
Ricorda per la sicurezza del tuo computer di tenere aggiornati sia il sistema operativo che il browser.