Da diversi anni, l'offerta "Retail" del settore bancario ha abbracciato il Web in modo crescente. Mentre nel periodo iniziale, i portali di Internet Banking erano rivolti esclusivamente ad utenti "avanzati", che facevano largo utilizzo di strumenti di trading ed erano propensi all'uso delle nuove tecnologie, al giorno d'oggi (2007) l'offerta è cresciuta al punto che ad ogni nuovo conto corrente aperto viene ad affiancarsi il corrispondente servizio Online. L'incontro si propone di analizzare in dettaglio i comuni meccanismi di sicurezza implementati negli odierni portali di Internet Banking, cercando di definire la loro efficacia contro gli attacchi che sfruttano vulnerabilità note sotto il nome di Cross Site Scripting (XSS). In sintesi questo intervento cercherà di rispondere alle seguenti domande: Un attaccante può essere in grado di controllare da remoto un conto corrente senza compromettere il computer dell'utente? Le implementazioni di test di turing (es. Captcha) o di password dispositive multiple, che livello di protezione reale offrono? L'impatto di una vulnerabilità è minore, se è sfruttabile solamente da utenti autenticati? Quale protezione offrono i dispositivi di One Time Password (es. Token Hardware)? La separazione dei canali (es. Password Web + SMS) in un processo di autenticazione è una garanzia di sicurezza? In aggiunta verranno illustrati esempi e casi pratici relativi alle problematiche esposte durante l'intervento.