Semnalul de alarmă nu e tardiv, dar venind din partea băncilor poate să pară uşor ipocrit. Clienţii sunt anunţaţi, prin toate mijloacele, că au fost atacaţi, dar eforturile făcute pentru ca aceste atacuri să nu se fi întâmplat sunt dovedite ca fiind insuficiente. Băncile emit carduri, oferă servicii de Internet banking, iar clienţii, pentru a beneficia de ele, plătesc comisioane şi semnează contracte minuţios întocmite şi care nu suportă modificări, contracte prin care acceptă să-şi asume aproape întreaga responsabilitate în cazul unei fraude.

In cazul Internet banking sau mobile banking, atunci când, înainte de semnarea unui contract, clientul cere detalii despre securitatea serviciilor băncile răspund liniştite, după caz: „e foarte sigur, folosiţi o parolă ştiută numai de dumneavoastră”, „aveţi acest dispozitiv care generează o parolă nouă la fiecare minut, nimeni nu poate să o afle”, „sistemul a fost avizat de Ministerul Comunicaţiilor”, „se foloseşte un cod ştiut numai de bancă şi de dumneavoastră”, „ne pare rău, noi nu suntem de la tehnic, găsiţi detalii în acest pliant”.

In traducere, niciunul dintre răspunsuri nu înseamnă protecţia clientului. In marea lor majoritate, băncile, fie propun metode de securitate vechi şi vulnerabile (utilizator şi parolă), metode incomplete (One Time Password – OTP) sau tactica struţului, securitate prin obscuritate (ştim noi că e sigur, credeţi-ne pe cuvânt, nu trebuie să ştiţi mai mult). Pentru a afla detalii tehnice reale clientul trebuie să aibă o astfel de pregătire, să ştie ce să întrebe şi să insiste până când primeşte un răspuns mai clar.

Din nefericire, un astfel de răspuns este incomplet şi se ajunge la argumentul suprem „sistemul a fost auditat şi avizat”. Legislaţia din România este foarte permisivă în ce priveşte auditarea sistemelor de Internet banking aşa că, o persoană avizată continuă să pună întrebări. In final, banca aplică politica vrei, cumperi, nu vrei, vor veni mulţi alţii care s-au săturat de drumurile la bancă şi nu pun atâtea întrebări. Nimeni nu face nici un efort minim să informeze corect clientul, pe înţelesul său, despre cum funcţionează un astfel de sistem.

Toate sistemele de Internet banking pun accentul pe autentificarea utilizatorului, nicăieri nu se oferă mecanisme reale de nerepudiere a tranzacţiei.
• Cea mai simplă şi mai utilizată metodă este numele de utilizator şi parola. Odată autentificat utilizatorul poate face oricâte tranzacţii fără nici un alt control suplimentar. Aflarea parolei este simplă, fiind ţinta majorităţii atacurilor de tip phishing şi duce la expunerea conturilor unui utilizator. Până când acesta să demonstreze şi să fie crezut că, de fapt, a fost un atac, e un drum foarte lung.
• O metodă mai avansată, eficientă pentru autentificare, este OTP. Clientul are un nume de utilizator, o parolă, şi, pe lângă acestea, un dispozitiv care generează un cod suplimentar, aleator, la un interval de timp. Acest cod este greu de dedus, iar un cod vechi nu mai este valabil. Chiar dacă codul se schimbă des şi este introdus şi pentru fiecare tranzacţie efectuată, acesta nu oferă un mecanism de nerepudiere a tranzacţiei şi nici securitatea necesară. Acest mecanism este simplu de utilizat, dar a fost păcălit de către hackeri folosindu-se un atack de tipul man in the middle împotriva clienţilor Citibank, caz de notorietate şi mediatizat la vremea respectivă: a fost creat un site fals al băncii unde utilizatorul îşi introducea elementele de identificare, iar apoi sesiunea era direcţionată către site-ul băncii. Este evident că după ce utilizatorul închidea conexiunea cu site-ul băncii aceasta rămânea de fapt deschisă între site-ul fals şi bancă putându-se efectua tranzacţii frauduloase folosindu-se ultimul cod generat.

Tendinta clară a recomandărilor de securitate merge în direcţia autorizării nerepudiabile a tranzacţiei electronice. Pentru realizarea unei tranzacţii la ghişeu băncile sunt scrupuloase când se pune problema securităţii: clientul ştie clar că intră într-un sediu al băncii, completează ordinul de plată în trei exemplare, trebuie să prezinte un act de identitate, iar banca are specimenul semnăturii sale. La mutarea afacerilor on-line aceste măsuri de securitate s-au diminuat simţitor. Puţine bănci pun problema identificării sigure a site-ului, iar despre utilizarea semnăturii nici nu se pune problema.

Folosirea certificatelor digitale este o metodă modernă şi sigură pentru protejarea tranzacţiilor on-line. Certificatele digitale şi folosirea semnăturii electronice transpun protecţia tranzacţiilor în mediul electronic şi realizează acest lucru într-un mod mult mai puternic decât metodele de securitate clasice.

Comparare mecanisme de protecţie a tranzacţiilor
Clasic, la ghişeu	On-line, folosind certificate digitale	Protecţia oferită
Sediul băncii	Certificat digital, identifică site-ul băncii	Autentificare sigură a băncii
Act de identitate al clientului	Certificat digital calificat	Autentificare sigură a clientului
Ordin de plată semnat	Semnătură electronică extinsă	Nerepudierea tranzacţiei
Ordin de plată în trei exemplare	Recipisă de tranzacţie semnată electronic

Soluţia este uşor de implementat, iar lipsa aplicării unor astfel de măsuri poate pune băncile în situaţia de a risca banii clienţilor şi mai ales propriii bani.

In acelaşi timp, băncile cer utilizatorilor să-şi monitorizeze periodic tranzacţiile, să-şi deviruseze calculatoarele, să pastreze sub control elementele de autentificare foarte vulnerabile pe care li le-au furnizat clienţilor dar, marea majoritate a băncilor, nu iau nici o măsură consistentă de protecţie a tranzacţiilor.

In cazul unui atac însă, marketingul funcţionează perfect. Banca are parte de publicitate gratuită, toată lumea află cât de prompt şi eficient a fost stopat atacul. Oare aşa să fie, în condiţiile în care bancherii au început să recunoască public că pierderile cauzate de fraude cresc alarmant şi costă mai mult decât creditele neperformante?