Un algoritmo capace di provare milioni di combinazioni al secondo può indovinare un codice bancario in meno di mezzo secondo: è il quadro dipinto da Messente, azienda che si occupa di sicurezza informatica. Il problema riguarda chiunque utilizzi ancora il classico PIN a quattro cifre – dunque praticamente tutti: sportelli bancomat, telefoni, abbonamenti e piattaforme digitali.
Quel piccolo numero che credevamo un baluardo si rivelerebbe un castello di carta di fronte alla potenza dell’intelligenza artificiale, che procede per tentativi a una velocità irraggiungibile per un essere umano.
AI e PIN: rischio lampo per conti e dispositivi
Messente ha calcolato che perfino le combinazioni più “scaltre”, generate senza alcun criterio apparente, cadono sotto i colpi dell’AI in poco più di un secondo. Le applicazioni che continuano a richiedere solo quattro numeri sono moltissime: dal prelievo al distributore automatico fino all’accesso all’area clienti di determinati servizi.
Con l’aumento delle capacità di calcolo, questo intervallo potrebbe accorciarsi ancora. Chi controlla un sistema di pagamento, quindi, non può fare affidamento sul semplice fattore tempo per tenere lontani gli attacchi automatici.
Le combinazioni comuni crollano in un battito di ciglia
Le sequenze più ripetute, come 1111 oppure 9999, rappresentano il bersaglio ideale: l’intelligenza artificiale le testa per prime, impiegando circa mezzo secondo a violarle. Nemmeno la data di nascita o l’ordine ascendente 1234 resiste a lungo: bastano pochi istanti e il conto rischia di essere prosciugato.
In sostanza, qualsiasi logica facilmente intuibile – che piaccia o no per la sua semplicità – offre all’AI un sentiero dritto verso l’obiettivo. Aumentare la lunghezza della stringa, pur non garantendo l’inviolabilità assoluta, incrementa il numero di tentativi necessari, rallentando il software addestrato alla violazione.
Difesa multilivello: linee guida per imprese e utenti
Di fronte a questo scenario Messente, per voce del suo amministratore delegato Uku Tomikas, suggerisce alle aziende di introdurre meccanismi di autenticazione multipla: token temporanei, password monouso o metodi di fallback che scadano rapidamente. Anche se un aggressore indovina il PIN, il codice aggiuntivo dura pochi minuti, rendendo l’accesso vano.
Chi gestisce il proprio conto può adottare precauzioni altrettanto efficaci. Cambiare regolarmente il PIN – almeno due volte l’anno – riduce la finestra per un eventuale furto.
Scegliere un numero più lungo di quattro cifre, quando la banca lo consente, offre una barriera extra perché costringe l’algoritmo a esplorare un insieme più ampio di combinazioni. Infine, attivare l’autenticazione a due fattori con generatori come Google Authenticator aggiunge un codice alfanumerico mutevole che l’AI fatica a indovinare in tempo utile.
Meglio sostituire la comodità della memoria con la prudenza di un sistema stratificato: un piccolo sforzo che può salvare il saldo e la tranquillità.
