Jacopo Deyla

Esperto di Accessibilità e Usabilità

Unicredit vs Deyla

| Filed under Polemiche sterili

Oggi ho ricevuto questa comunicazione da Aruba

unicreditGentile cliente,

nel dominio deyla.com a lei intestato e’ stata rilevata una pagina (percorso http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it) inserita per ottenere illegalmente i dati personali di clienti di un istituto di credito.

La pagina index.php è stata pertanto rinominata in index.php_RIMUOVERE per impedire ulteriori accessi, la
invitiamo a rimuovere tale materiale e a verificare eventuali bug di sicurezza presenti negli script utilizzati,
aggiornando all’ultima versione disponibile.

In mancanza di tali modifiche e in caso di nuove segnalazioni saremo tuttavia costretti a bloccare il dominio.

Cordiali Saluti,
==============================
Aruba S.p.A. – Webserver Staff
Aruba.it http://www.aruba.it
==============================

Capisco e apprezzo la posizione di Aruba, che giustamente non ne vuole sapere di truffe, che non può controllare tutti i miliardi di pagine che ha sui suoi server.
Sono disposto ad accettare anche la rimozione immediata, perchè si deve tutelare. Sarebbe forse giusto che una cosa mia venisse tolta solo dopo la decisione di un giudice, ma vista la velocità della giustizia, posso capire anche questo. Immagino anche che questa scelta sia anche ampiamente giustificata da una qualche clausola del contratto che ho col provider. Non discuto su niente di tutto ciò, anzi capisco e apprezzo: anche io ho un conto su Unicredit e mi sento quasi tutelato da questa “violenza” nel rimuovere immediatamente la pagina.

Purtroppo la pagina è index.php, ovvero il motore che fa girare tutto il sito… e quindi se non pongo subito rimedio, tutto resta bloccato. E se qualcuno prende un provvedimento così forte contro di te, puoi anche essere molto comprensivo, ma  quel qualcuno deve essere disposto ad ascoltarti e in fretta. Ti sta arrecando un danno.

Ciò che mi spiazza è il non poter avere alcuna voce in capitolo: non se ne discute neanche, non si è disposti in alcun modo a rivedere le rispettive posizioni. Chiusura totale. Unicredit chiede, Aruba non verifica ma rimuove, io subisco e non ho ascolto.

Ma cos’à quella pagina per essere accusata di phishing? C’è il mio logo, il colore è verdino, non chiede alcun dato, dice solo che il sito è sconsigliato perchè gli utenti del mio sito giudicano il sito di Unicredit poco accessibile. sarà vero? Sarà falso? Sicuramente è democratico. E in questa vicenda di democratico, per ora  c’è poco. Adsso mi tocca pensare a cosa fare, per evitare di perdere tutte le mie pagine, che nascono con l’intento di aiutare i navigatori ad orientarsi tra siti accessibili e siti meno accessibili… altro che phishing.

Al di là dello sfogo e della lamentela quel che ne salta fuori è una simpatica lezione di usabilità.

I clienti dell’home banking si aspettano di trovare sulla home page di  Unicredit il form per accedere, che però  non c’è. Unicredit  ha semplicemente sbagliato un pezzo della home page.

L “‘inconsapevolezza” degli utenti dell’internet banking Unicredit

Io me la spiego così:

  • unigoogleL’utente “tipo” apre il browser (un browser lo chiamiamo noi, lui/lei la chiama “internet”)
  • La sua home page è google o un motore qualsiasi, non se l’è scelta comunque lui/lei
  • Non usa la barra dell’indirizzo, ma vede una bella casellona al centro e ci scrive dentro www.unicreditbanca.it
  • Gli salta fuori la lista di risultati e lui clicca sul mio… che è molto molto in fondo, ma un po’ più sotto i suoi occhi
  • Arriva su una pagina con frame, che sono brutti, ma sono funzionali a quel che fa il mio sito, ovvero ti fa vedere una pagina e insieme il mio motore, così che tu possa dare un voto, o scegliere un altro risultato
  • uni1L’utente non la capisce, ma vede un form (che serve per i commenti) e prova a cliccare, senza neanche leggere il bottone
  • A questo punto ma solo a questo punto, sempre nel frame, quello con sfondino verder, appare un form che richiede la registrazione, per evitare diffamazioni, per sapere chi vota, perchè ciascuno si assuma la responsabilità di quel che fa.

Il form appare così

registrati

Si può considerare phishing?

Occorrono diversi passaggi, l’aspetto è completamente diverso, e tutte le etichette dicono chiaramente quel che si sta facendo… ma per la banca Unicredit e di conseguenza  per Aruba pare sia phishing.
La cosa gravissima è la leggerezza delle persone a dare i propri dati di accesso, così, senza alcuna consapevolezza…

Come salvare l’utente dal mio non phishing?

Per ora, finchè Aruba non si degna di contattarmi per risolvere la questione, devo dare un disservizio ai miei utenti.
Sono dispiaciuto, la cosa danneggia la credibilità del mio sito, ma voglio evitare ulteriori ritorsioni.
Quindi ho rimesso su la mia buona e vecchia index page, ma per far capire chiaramente a quei cari clienti Unicredit un po’distratti, che non sono sul sito della loro banca, li ho dirottati qui…
http://www.deyla.com/index.php?azione=2&vai=www.unicreditbanca.it