Best practices di sicurezza

Servizi telematici
Best practices di sicurezza
Uff Assistenza
30/09/2016
Strumento a supporto dei clienti al fine di porre in essere le attività e le accortezze necessarie alla
riduzione dei rischi e per il corretto utilizzo dei sistemi telematici
Ufficio Assistenza
Best practices di sicurezza
L’Internet Banking è sicuro ed affidabile: l’accesso e le operazioni sono infatti protette da credenziali,
codici personali e da un efficiente sistema di sicurezza. È, tuttavia, necessario che venga utilizzato in
modo corretto. Di seguito alcuni utili suggerimenti che gli utenti dovrebbero adottare e che
rappresentano delle best practices di carattere generale che ogni individuo che svolge operazioni
bancarie online dovrebbe mettere in pratica, al fine di ridurre il rischio di sottrazione delle proprie
credenziali e conseguente utilizzo fraudolento del servizio di internet banking:

Custodire con la massima cura e non cedere ad altri il codice utente, la password, il PIN, la
password dispositiva o il Token OTP; in fase di attivazione i codici di accesso vengono inoltrati
utilizzando canali diversi con lo scopo di ridurre il rischio che vengano intercettati e sottratti. Le
credenziali di accesso sono personali e non cedibili ad altri. Servizi telematici specifici sono
disponibili per le aziende che abbiano l’esigenza di consentire l’accesso a funzioni informative o
dispositive a diversi soggetto, personalizzando gli utenti secondari in base alle mansioni e alla
gerarchia aziendale.

Modificare periodicamente la password di accesso. È previsto il blocco dell’utenza dopo 3
tentativi errati e la sessione di lavoro scade dopo 20 minuti di inattività.

Non inserire i propri codici personali su portali internet raggiunti tramite link presenti nelle email o da qualsiasi altro sito diverso da quello ufficiale di Cassa Padana (www.cassapadana.it).
Cassa Padana non richiede in alcun caso l’indicazione di credenziali di accesso o codici
personali tramite mail o altro canale diverso dalla pagina di accesso al servizio. Indicare codici
personali su richiesta pervenuta tramite mail espone al rischio di furto di credenziali tramite
una pratica nota come phishing

Accedere ai servizi Home Banking direttamente dal sito della Banca, digitando l'indirizzo
internet www.cassapadana.it nella barra di navigazione;

Difendere da virus e spyware i PC dai quali si effettuano le operazioni di Internet Banking,
installando e mantenendo aggiornati opportuni software di protezione (anti-virus, antispyware, anti-spam, sistemi di protezione del browser, etc.)

Proteggere il traffico in entrata e in uscita dai PC mediante l'installazione di opportuni
programmi di filtraggio del flusso di dati (firewall) e non disabilitare le impostazioni di
protezione configurate

Mantenere aggiornato il sistema operativo e gli applicativi del PC mediante l'installazione dei
rispettivi aggiornamenti periodici.

Profilare e controllare la navigazione in internet in base alle specifiche esigenze personali,
limitando la navigazione sul web (anche ad esempio con ricorso a white list)

Al fine di garantire un maggior livello di sicurezza la Banca, oltre alle credenziali di
autenticazione, fornisce a ciascun utente uno dei seguenti ulteriori strumenti di sicurezza a
protezione delle frodi:
1 di 4
Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge.
Ufficio Assistenza
Best practices di sicurezza
o apposito dispositivo ( cd. OTP – One Time Password) che genera una password
diversa ogni 30 secondi necessaria sia per l’accesso al servizio che per
l’autorizzazione di ogni disposizione di pagamento.
o funzionalità di autorizzazione delle disposizioni di pagamento tramite chiamata
a numero verde, da effettuarsi a cura dell’utente e possibile esclusivamente da
un numero di telefonia mobile precedentemente censito nel sistema ( cd.
Secure call).

La Banca si riserva la facoltà di bloccare le credenziali di autenticazione e/o del dispositivo OTP
o della funzionalità di secure call nei casi di esigenze connesse all’efficienza ed alla sicurezza
e/o al sospetto di un utilizzo fraudolento e non autorizzato.

In caso di blocco delle credenziali la Banca provvederà a dare comunicazione al cliente, con
qualunque mezzo, motivando tale decisione; al venir meno delle ragioni che hanno portato al
blocco, la Banca provvede a riattivare le credenziali di autenticazione o ad attribuirne di nuove
in sostituzione di quelle precedentemente bloccate.

La banca ha l’obbligo di :
o Assicurare che le credenziali di autenticazione che consentono l’utilizzo dei
servizi non siano accessibili a soggetti diversi dall’utente legittimato ad
utilizzare tali servizi.
o Astenersi dall’inviare le credenziali di autenticazione non specificamente
richieste, a meno che quelle già consegnate all’utente non debbano essere
sostituite.
o Assicurarsi che siano sempre disponibili strumenti adeguati affinché l’utente
dei servizi possa effettuare comunicazioni relative al blocco/furto/smarrimento
delle proprie credenziali d’accesso.
o Impedire qualsiasi utilizzo dei servizi successivamente alla comunicazione di
blocco da parte dell’utente.

Il cliente ha l’obbligo di:
o Utilizzare i servizi e le credenziali di autenticazione in conformità e nei termini
espressi dal contratto.
o comunicare secondo le modalità previste, alla Banca o al soggetto da questa
indicato, lo smarrimento, il furto , l’appropriazione indebita o l’uso non
autorizzato delle credenziali di autenticazione non appena ne viene a
conoscenza.
o In caso di utilizzo della funzionalità di secure call, assicurarsi che non sia
attivata sul proprio cellulare o come impostazione del proprio provider di
telefonia mobile la funzione di oscuramento del numero di telefono del
chiamante.
o Adottare misure di sicurezza idonee alla segretezza e custodia delle credenziali
di autenticazione.
o Accedere ai servizi attraverso una “stazione di lavoro” dotata di idonei requisiti
di sicurezza volti a prevenire le azioni fraudolente già descritte.
2 di 4
Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge.
Ufficio Assistenza
Best practices di sicurezza

In caso di smarrimento, furto, appropriazione indebita o uso non autorizzato delle credenziali
di autenticazione nonché in caso di smarrimento, cessione e/o dismissione dell’apparato di
telefonia mobile registrato nel sistema secure call, il cliente chiede il blocco delle stesse
credenziali di autenticazione telefonando al numero verde indicato sul sito
www.cassapadana.it negli orari indicati, comunicando anche le informazioni richieste
indispensabili per accertare la legittimità del soggetto richiedente; inoltre l’utente nell’ipotesi
di furto, smarrimento o appropriazione indebita è tenuto a presentare apposita denuncia
all’Autorità Giudiziaria o di Polizia che dovrà presentare presso la propria filiale di competenza.

L’istituto ha attivato il servizio “ Antifrode “ che consente di monitorare l’operatività del cliente
individuando eventuali discordanze e/o anomalie nell’operatività solitamente effettuata dal
cliente stesso

Nel caso in cui il cliente abbia il sospetto di un abuso del servizio deve prontamente contattare
il numero verde indicato sul sito www.cassapadana.it o la filiale di competenza in modo da
procedere tempestivamente al blocco del servizio stesso e alle verifiche del caso.

La banca si impegna ed erogare i servizi di home banking su internet per tutti i rapporti
intrattenuti, intestati e cointestati, secondo le funzioni, i termini e le condizioni concordate.
Eventuali esclusioni di rapporti che non si vogliono o non si volessero utilizzare tramite i servizi
di home Banking su internet dovranno essere comunicati per iscritto.
E’ facoltà della banca, per motivi di sicurezza o ove ricorra un giustificato motivo, rifiutare sia le
richieste di attivazione dei servizi, sia le richieste concernenti eventuali variazioni degli stessi e,
a tal fine, la Banca darà pronta comunicazione al cliente di tale rifiuto.
In ogni caso la Banca, ove ricorra un giustificato motivo, potrà procedere di iniziativa e anche
senza alcun preavviso a disattivare i servizi in essere e, anche in detta ipotesi, la stessa Banca
darà pronta comunicazione al cliente di tale disattivazione.
La Banca si riserva il diritto di modificare e/o integrare le operazioni che il cliente può eseguire
avendo cura di non pregiudicarne l’operatività.

Le comunicazioni ai clienti titolari di Home Banking vengono inoltrate attraverso apposita
sezione di messaggistica sullo stesso; eventuali comunicazioni recapitate tramite altri canali
non devono essere prese in considerazione.
In particolar modo non vanno tenute in considerazione mail con collegamenti a link in cui
vengono richiesti dati sensibili e/o codici d’accesso, questi dati non vengono mai richiesti dalla
Banca attraverso questi canali.
Attraverso il canale di messaggistica indicato, vengono forniti aggiornamenti sulle variazioni
e/o implementazioni sulla procedura o per segnalazioni di varia natura quali evoluzioni dei
sistemi di sicurezza.
Tutte le richieste di supporto e assistenza vanno inoltrate al numero verde indicato sul sito
www.cassapadana.it o direttamente alla filiale di competenza.

Sul sito www.cassapadana.it nella sezione di accesso al servizio sono a disposizione dei clienti
manuali dettagliati relativi a varie funzioni operative
3 di 4
Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge.