Il numero di conto bancario e il titolare dell'account in conto sono stati esposti?

6

Non sono sicuro che si tratti di una pratica standard in tutti gli istituti bancari, ma quasi tutte le banche in cui ho ricevuto gli assegni sono esposti al numero di conto dell'emittente (alcuni persino il nome dell'account). Questa informazione non è considerata riservata? Altrimenti, non prendere in considerazione questa domanda.

Se sì, allora mi chiedo perché le banche espongono sfacciatamente il numero / nome del conto dell'emittente in assegni? Sarebbe una buona pratica se almeno cancellasse il nome e il numero dell'account prima che lo stampassero negli assegni che emetteresti?

    
posta IMB 24.04.2012 - 12:46
fonte

4 risposte

9

Andando a fare un altro tentativo con questo, per cercare di indirizzare i molti commenti eccellenti ...

Un assegno è un'istruzione di una banca per prelevare denaro dal conto di Alice e darlo a Bob. Per agire su di esso, la banca deve conoscere i dettagli dell'account di Alice; devono essere scritti sull'assegno in qualche modo quando arriva per la compensazione.

Un controllo prestampato nel libretto degli assegni di Alice sembra avere già scritto il suo numero di conto, semplicemente per motivi di convenienza, sia in forma umana che in forma leggibile dalla macchina.

@IMB chiede innanzitutto se si tratta di una vulnerabilità, poiché se Eve riceve un assegno, può leggere i dettagli dell'account e utilizzarli in un attacco. La risposta è sì, è una vulnerabilità.

Quindi @IMB chiede se l'hashing dei dettagli dell'account sarebbe un buon controllo. Sospetto che in realtà significhi crittografia, piuttosto che hashing, poiché l'hashing crittografico è un termine tecnico piuttosto specifico che non si applica qui, ma si ottiene l'immagine. La risposta è anche sì, se fatto con attenzione, la crittografia del numero di conto (con un opportuno nonce aggiunto) impedirebbe in gran parte Eve di utilizzare le informazioni dell'account.

Infine @IMB chiede perché allora le banche non lo fanno? Beh, come per ogni controllo di sicurezza, devi misurare il costo di utilizzarlo contro l'impatto di un errore per decidere se applicarlo o meno.

Penso che il costo principale sia che gli umani non possono più leggere l'intero assegno. Questo non suona come un problema in questi giorni di informatica onnipresente, ma le banche sono conservatrici e fuori moda e amano particolarmente i processi di audit umani. A loro piace che un manager sia in grado di effettuare controlli casuali ogni giorno e ricontrollare come è stato elaborato. A loro piace essere in grado di estrarre un pezzo di carta fisico e inviarlo a un cliente e dire "No, non abbiamo commesso errori".

I costi aggiuntivi sono che aggiungono un sovraccarico al processo di compensazione degli assegni (e i clienti già odiano quanto tempo ci vuole), che non si ha più un backup se la parte leggibile dalla macchina di un controllo è danneggiata, e suppongo che si possa correre in difficoltà normative riguardo alla definizione legale di un assegno.

I rischi, d'altra parte, non sono enormi, perché le banche hanno altri controlli in atto. Autenticano le persone prima di consentire loro di rimuovere denaro e richiedono più di un semplice numero di conto per prelevare facilmente denaro. Usano vari metodi tecnici per prevenire i controlli di stampa di Eve con i dettagli di Alice. Hanno un'assicurazione per coprire eventuali perdite. Monitorano l'attività dell'account per transazioni sospette.

Un'ultima cosa da considerare: Alice deve comunque comunicare i dettagli del suo conto a un sacco di persone: il suo datore di lavoro (quindi viene pagato), l'uomo delle imposte, la compagnia idrica (per addebiti diretti) e così via. E lei deve incorporarlo nella sua carta di debito. E la banca deve stamparlo sulle sue affermazioni ... Quindi Eva ha molti altri modi per ottenere queste informazioni.

Alla fine, le banche hanno soppesato i costi e i rischi e hanno concluso che non ne valeva la pena - specialmente considerando il declino nell'uso dei controlli. L'ultima volta che ho provato a pagare qualcosa in un negozio, ho dovuto prendere il manager perché nessuno degli addetti alle vendite ne aveva visto uno prima tranne nei film.

    
risposta data 24.04.2012 - 13:05
fonte
3

Sì. La stampa del routing e del numero di account sugli assegni comporta alcuni rischi, sebbene sia probabilmente un rischio accettabile :

  • In generale, il numero di routing e account non è sufficiente per sottrarre denaro dal tuo account, in pratica, a causa della probabilità che qualsiasi tentativo di furto venga catturato e annullato.

    Detto questo, il sistema si basa sulla deterrenza, non sulla prevenzione. Qualcuno che conosce il routing e il numero di conto del tuo conto bancario potrebbe essere in grado di prelevare denaro dal tuo account senza la tua autorizzazione. Potrebbero essere scoperti e la transazione non autorizzata potrebbe essere annullata, ma è un rischio per la sicurezza.

    Come prova di ciò, considera il fatto che ci sono alcuni commercianti che ti permetteranno di pagare per telefono usando un "assegno elettronico". Se non l'hai mai usato, ecco come funziona: li chiami, comunichi loro il codice di instradamento e il numero di conto per il tuo conto corrente, comunichi loro l'ammontare del pagamento che vuoi fare e poi creano fondamentalmente un " forgiato "controlla con queste informazioni e vieni pagato. (Comprendi che non è effettivamente falsificato, dato che è stato fatto con la tua autorizzazione.) Si presenta sul conto del tuo conto bancario come un prelievo elettronico o un assegno. Come potrebbe essere legale, ti starai chiedendo? È legale, perché è stato fatto con il tuo consenso. Ma non è questo il punto. Il punto è che l'unica informazione necessaria per fare in modo che ciò accada è il codice di routing e il numero di conto. Se un commerciante onesto può fare questo, può farlo anche un mercante disonesto. È probabile che vi siano dei limiti su chi ha accesso a farlo in modo elettronico e automatizzato; qualcuno che lo faccia senza la tua autorizzazione verrà probabilmente catturato, se lo fa a un gruppo di persone e le vittime si lamentano con la loro banca; in breve, la dissuasione potrebbe essere ragionevolmente efficace nella pratica; ma non c'è nulla che lo impedisca assolutamente. L'infrastruttura di check-clearing ha alcune vulnerabilità intrinseche, triste a dirsi.

Un secondo rischio è che qualcuno che conosce il tuo numero di conto del tuo conto corrente possa probabilmente apprendere il saldo nel tuo account. Vedi la mia spiegazione su come ciò può accadere (versione breve: implica lo sfruttamento dei sistemi di verifica degli assegni mercantili, che sono resi disponibili da parte delle banche e non sono sicure in base alla progettazione).

Questi rischi sono inerenti al sistema di controllo corrente. Non c'è molto che puoi fare al riguardo. Puoi chiudere il buco della riservatezza , se ti interessa abbastanza, ma non puoi correggere altri rischi.

Come regola generale, probabilmente è meglio non condividere il numero del tuo conto bancario con chiunque non ne abbia bisogno (ad es. per ricevere un pagamento da te).

Tutto questo è discusso in dettaglio nella seguente domanda sul sito di Personal Finance e Money Stack Exchange: Can not the le informazioni dell'account sui miei assegni possono essere facilmente utilizzate per frodi? . Vedi anche Qualcuno può rubare soldi dal mio conto bancario se conoscono il mio IBAN e i dettagli personali? su questo sito per un spiegazione dettagliata di come qualcuno può prelevare denaro dal proprio conto, se conosce il proprio numero di routing e account. Vedi in particolare il caso con Jeremy Clark .

    
risposta data 25.04.2012 - 00:43
fonte
1

Un modo diverso di rispondere:

Il controllo dei numeri di conto e dei numeri di carta di credito è un vecchio modo di fare le cose, entrambi inventati prima che internet, computer e servizi di tiraggio automatico fossero diffusi. Entrambi i metodi utilizzano una password riutilizzabile che invii ovunque. (ok, è un numero di conto, ma funziona)

La soluzione corretta sarebbe quella di sostituire assegni, carte di credito e carte di debito con computer (preferibilmente portatili) che generano password / certificati monouso che funzionano solo per l'importo concordato, utilizzando la crittografia asimmetrica.

Ecco perché trasformare un dispositivo Android in un dispositivo di pagamento potrebbe essere promettente , eliminerebbe efficacemente il problema dei registratori a scorrimento di carte. La domanda è, se / quando utilizzeranno i certificati una tantum nell'implementazione?

Le verifiche stampate potrebbero avere un codice QR o simile su di esse con il certificato monouso cui mi riferisco.

Pensa ai lettori di carte e alle banche come alle stazioni di servizio, agli assegni e alle carte di credito come automobili. È molto costoso supportare la prossima generazione se nessuno la sta ancora utilizzando.

P.S. Non sono un esperto bancario, finanziario o di sicurezza, solo un programmatore. :)

    
risposta data 24.04.2012 - 14:55
fonte
1

È vero che le banche dovrebbero implementare una sorta di hashing ma:

  • i truffatori capirebbero come decrittarlo comunque
  • interromperà ogni scansione di controllo online biz
  • romperebbe ogni procedura bancaria in tutto il mondo a meno che non venissero introdotti standard
  • le banche non amano cambiare

Se un truffatore può trovare il numero del tuo account, può facilmente effettuare un controllo falso e avere buone probabilità di spacciarlo come la cosa reale se possono firmare una firma sociale da te. Metà delle volte le banche non controllano nemmeno una firma, prendono solo l'assegno e danno denaro se è stato disegnato su quella banca.

Il Chequing dovrebbe essere obsoleto, ma suppongo che alle banche piaccia mangiare le frodi.

    
risposta data 25.04.2012 - 03:12
fonte

Leggi altre domande sui tag