Bancos online con Smartcards (tarjetas inteligentes)

Buenas tardes a todos,

me gustaría conocer qué bancos hay por ahí que soporten smartcards (o certificados de usuario que ya los guardaría yo en una smartcard) y que experiencias habéis tenido con ellos(si permiten firmar ordenes de transferencia efectivo por ejemplo, etc...)

Actualmente soy cliente de uno-e y OpenBank y los mecanismos de seguridad me parecen bastante mediocres. Además estoy algo descontento con openbank ya que la nueva web no soporta bien algunos navegadores, y de cambiar me gustaría a hacerlo a algún banco con medios de autentificación y firma más serios(y para amortizar también el lector de tarjetas :-)

De antemano, muchas gracias.

De los que yo conozco Inversis e ING admiten la utilización de certificados de usuario.

Saludos.

Entiendo que lo "certificados de seguridad en smartcard o tarjeta inteligente" en ING e Inversis son los del DNI electrónico.
Como no tengo el DNI nuevo no puedo opinar sobre qué te permiten hacer con él, pero la Banca en general no está muy conforme cómo sobre presta el servicio las Administraciones Públicas involucradas, ya que no dan las garantías necesarias sobre la lista de certificados revocados-aunque es entrar en temas técnicos, una infraestructura de certificados pública lleva aparejada el manejo de unas listas de certificados que ya no son válidos, por ejemplo, porque me han robado el DNI y he pedido su anulación; esas listas se consultan cuando se realiza una operación para comprobar si el certificado que se pretende usar está revocado-. Por ello, es muy importante asegurarse de que estas listas están actualizadas lo más rápidamente posible.
Así que el responsable de seguridad de un importante grupo financiero español comentaba que ellos no lo iban a usar o iba ser un método más considerado "débil", como el típico de usuario/contraseña.

Los Bancos van en general en la línea de enviarte al móvil una contraseña o clave de un solo uso para realizar operaciones, y también están saliendo o van a salir al mercado certificados en la tarjeta SIM del móvil, para ello se necesita la cooperación entre los operadores y los Bancos -supongo que los que están en la punta de la tecnología, como Bankinter, lo lanzarán pronto-.

También podrían usar certificados digitales como por ejemplo los que emite la Fabrica Nacional de Moneda y Timbre y que se pueden utilizar, entre otras cosas, para presentar declaraciones de IRPF por Internet.
Se podría considerar bastante más seguro que una simple clave que te mandan al móvil.

Hola,

he estado mirando el caso de ING y parece que el certificado que usan( http://www.ingdirect.es/html/conoce/faqs/faqs_firmadigital.asp?opcion1=3&seccion=7&subseccion=5&preg=1#33 ) es el de la FNMT( y no el del eDNI) además de que solicitan permiso para consultar la validez de tu certificado por OCSP por lo que en principio si que soportarían la revocación de certificados.

Coincido contigo en que sin poder comprobar al instante si un certificado está revocado, el sistema vale de poco. Creo que Ibercaja si que usa el eDNI, así que me gustaría que me indicaras donde puedo obtener más información sobre el asunto (si no es mucho abusar :-).

De nuevo, gracias por contestar.

Saludos

Hola,
creo que no expliqué bien los problemas con el DNIe, no es tanto el tema de la actualización de la lista de los certificados revocados, que como bien dices, se consultan en tiempo real con OCSP contra la autoridad de validación (la FNMT para empresas privadas), sino que a los Bancos y, en general, a cualquier empresa que quiera consultar si un certificado está revocado, no se les garantiza un nivel de servicio -esto es, ¿cuántas consultas por segundo aguanta el sistema?- por lo que se puede convertir en un cuello de botella si empieza a aumentar el uso del mismo. La Banca, en general, es muy reacia a usar métodos de identificación de usuarios que no estén controlados por ellos mismos.

En cualquier caso, creo que el futuro va por la línea de los certificados en la tarjeta SIM, -para información sobre el tema, buscar "ETSI MSSP" (ETSI es el organismo que ha producido las especificaciones sobre el tema, y MSSP es el nombre del servicio: mobile signature service provider). Básicamente, se trata de que te hagan llegar a tu móvil un mensaje "Acepta la transferencia por xxx euros a la cuenta yyyy", introduces tu PIN de firma y tu tarjeta se encarga de realizar la firma y enviarla.
Recordar que la legislación española de firma electrónica exige que los certificados se generen y almacenen en un dispositivo seguro -tarjeta inteligente de la FNMT, DNIe, o la SIM del móvil-. En este sentido, el certificado "software" que uno se descarga de la FNMT y se guarda en el ordenador no cumple los requisitos.

Muy interesante. Investigaré sobre lo que me comentas. Muchas gracias.