Sicurezza bancaria 2022: online banking and istant payments

28/01/2022

di Alvise Biffi - Imprenditore, business angel, Vice Presidente Assolombarda con delega ad Organizzazione Marketing e sviluppo e Consigliere delegato per la CyberSecurity di Piccola Industria Confindustria

Molto spesso mi chiedono: la mia banca è sicura? Posso usare la carta di credito online? Meglio le app? Meglio le prepagate? A conferma che il tema della sicurezza dei conti e degli strumenti di pagamento online resta tra le principali preoccupazioni. In passato la sicurezza nel mondo bancario era principalmente “fisica” (ovvero finalizzata alla protezione per le rapine agli sportelli o ai bancomat) o da attività illegali come il riciclaggio di denaro ecc. Oggi la situazione è cambiata molto: le banche affrontano i temi della Digital Transformation, connettendo non solo i propri sistemi informativi, ma anche i propri prodotti con “componenti intelligenti”. La sicurezza informatica bancaria è diventata quindi un “Must Have”, a seguito anche di ingenti perdite dovute ad attacchi informatici e alla conseguente stretta sui regolamenti da parte delle autorità centrali europee.

Le direttive europee hanno puntato i riflettori su un tema che fino a pochi anni fa risultava marginale, soprattutto negli istituti medio-piccoli o con presenza solo locale. La tecnologia ha permesso un’evoluzione sostanziale nel rapporto tra i clienti e il proprio istituto di credito: oggi grazie a telefoni, tablet e PC, tutti possiamo compiere direttamente quasi tutte le operazioni che fino a qualche anno fa eravamo obbligati a realizzare allo sportello bancario e, inoltre, possiamo farlo senza limiti di luogo o di orario, è sufficiente avere una connessione internet. Questa innovazione ha modificato in modo sostanziale l’offerta degli strumenti e dei servizi delle banche verso i propri clienti (e.g., home banking, carte conto, peer to peer payments etc.), aumentando le operazioni che è possibile svolgere online e creando di conseguenza una nuova superficie di attacco molto più ampia rispetto al classico “sportello/bancomat”.

PSD2

La PSD2 è la normativa europea, legge in Italia dal 12 agosto 2016, che per prima ha avuto tra i suoi obiettivi principali proprio quello di favorire l’evoluzione del mercato bancario in direzione dell’Open Bank, inserendo, grazie alle nuove tecnologie, maggiori possibilità per i clienti, ma contestualmente imponendo maggiori misure di cybersecurity a tutela degli utenti. La vera rivoluzione introdotta è rappresentata dall’accesso ai conti dei clienti, in passato il territorio più gelosamente custodito da parte degli istituti, ai fornitori di servizi terzi detti Third Party Providers (TPP). È evidente come questo tipo di apertura, da una parte offra un ventaglio di nuovi servizi innovativi e maggior competition in favore dei clienti, ma dall’altra allarghi ulteriormente il perimetro e la superficie d’attacco, andando oltre le Banche: la PSD2 dedica infatti ampio spazio alle misure che le banche europee dovranno adottare per garantire un adeguato livello di protezione dei sistemi e dei dati.

Gli standard

Sono stati quindi definiti degli standard tecnici (RTS) per garantire: Comunicazioni sicure; Monitoraggio delle attività; Attività di Audit ai fini di una condivisione di minacce e attacchi nell’intero ecosistema. Per garantire questi standard sono state introdotte soluzioni altamente tecnologiche scelte cercando di non appesantire l’esperienza di uso dell’utente, se non dove e quando strettamente necessario. Gli strumenti a disposizione sono numerosi, si va dal riconoscimento biometrico ad applicazioni che permettono di rilevare la presenza di malware sui dispositivi, per fare un paio di esempi. Qualsiasi tecnologia posta a “barriera” difensiva, però, è essa stessa esposta ad attacchi e non può garantire nel tempo un’inviolabilità certa, quindi una volta compromessa e superato il perimetro di difesa, resta campo libero ai criminali.

Le macchine a protezione dell’uomo

Per aumentare il livello di sicurezza, accanto a queste soluzioni sono stati studiati anche approcci che non prevedano difese accessibili ai frodatori e che, di conseguenza, non possano essere attaccate direttamente. Intelligenza Artificiale e Machine Learning oggi permettono di elaborare Big Data con algoritmi capaci di tracciare in modo sempre più preciso il modello comportamentale di ogni utente, permettendo di evidenziare le anomalie rispetto al comportamento abituale: questo si dimostra attualmente l’approccio più efficace per difendere gli utenti perché non è invasivo, è indipendente dai dispositivi di utilizzo e soprattutto non è uno strumento esposto direttamente agli aggressori. Per questo motivo la PSD2 richiede esplicitamente alle banche di dotarsi di sistemi comportamentali (Transaction Risk Analysis) che profilino le attività standard e segnalino ciò che risulta essere molto inconsueto o sospetto.

Analisi comportamentale

La vera sfida tecnologica del momento in questo segmento (Fintech Security) è proprio come delineare al meglio il comportamento dell’utente per individuare di conseguenza le frodi con maggior efficacia e minor disturbo. Tutto questo ci porta a pensare che banche e servizi di open banking regolati e controllati siano sicuri ed in effetti per chi ha ben investito negli strumenti di analisi comportamentale è così. Tuttavia, un altro elemento da evidenziare è che oltre la metà degli attacchi verso questi target oggi sono realizzati con tecniche piuttosto banali, quindi di facile realizzazione da parte dei criminali, come ad esempio campagna di Phishing, approfittando del fatto che la cultura media sui temi di CyberSecurity è molto bassa. Quindi la domanda principale rispetto alle attuali minacce che in pochi si fanno è: se la mia banca è sicura, IO sono affidabile/sicuro per la mia banca? Conoscere è il primo passo per evitare gli errori e cadere vittima delle truffe, quindi ecco una descrizione sintetica di una delle categorie di attacchi più diffusi verso il mondo dell’open banking: il Cross Site Request Forgery.

Cross Site Request Forgery

Un attacco di Cross Site Request Forgery (CSRF) consente al criminale di ingannare la vittima facendogli compiere un’azione indesiderata su un sito web utilizzandone un altro. In sostanza è la falsificazione di una richiesta che da un sito viene indirizzata ad un altro. Mi rendo conto che non sia uno scenario di facile comprensione, provo a chiarirlo con un esempio: Stefano è collegato al proprio home banking e contestualmente sta navigando, oppure ha chiuso il proprio home banking senza fare logout e prosegue la navigazione. In questa ipotesi “la sessione” verso la propria banca è attiva, di conseguenza se il criminale inganna Stefano (ad esempio con un phishing mail) facendolo “cliccare” all’interno di un suo sito “pirata”, che può essere un clone della banca come pure un finto sito caccia e pesca, passione di Stefano, in questo modo il criminale può usare la sessione attiva verso la banca e Stefano senza rendersene conto navigando il sito pirata eseguirà azioni sul proprio home banking, a beneficio del frodatore, attraverso i cookies registrati nel proprio browser.

Occhio ai social

Vi chiederete: ma come fa il criminale ad essere così tempestivo ed informato sui gusti di Stefano per ingannarlo? Non ci pensiamo, ma ogni giorno, attraverso l’utilizzo dei Social Network, condividiamo con l’intero mondo i nostri interessi e le nostre passioni. A loro volta, tali informazioni, risultano accessibili a criminali informatici interessati a creare degli attacchi mirati e specifici per singole persone. È per contrastare questo attacco che le banche hanno inserito i token e gli OTP (one time Password) autorizzativi, in modo da rendere molto più complesso al criminale dar corso ad operazioni dispositive anche in ipotesi di “furto di sessione”. Cari lettori alla fine ha sempre ragione la nonna, anche nel modo Digital mai accettare “cookies” dagli sconosciuti… è da lì che spesso iniziano gli attacchi più pericolosi!