cybersecurity

Cybersecurity, tutti i rischi della nuova normativa bancaria Spd2

Secondo un report rilasciato da Trend Micro l’apertura dei canali di comunicazione tra i dati bancari dell'utente e le aziende da loro autorizzate rappresenterà un grosso problema

di Giancarlo Calzetta

default onloading pic

Secondo un report rilasciato da Trend Micro l’apertura dei canali di comunicazione tra i dati bancari dell'utente e le aziende da loro autorizzate rappresenterà un grosso problema


4' di lettura

Il 14 di settembre è entrato in vigore il revised Payment Service Directive, conosciuto anche come SPD2. Si tratta di una direttiva che stabilisce una serie di regole che permette agli utenti una maggiore libertà di gestione dei dati custoditi dalle istituzioni finanziarie, garantendo la possibilità di condividere queste informazioni con aziende esterne.

In altre parole, aziende diverse dalla nostra banca potranno fornire servizi come gestione automatica dei pagamenti, monitoraggio finanziario, creazione di piani di accantonamento e così via prelevando direttamente i dati dal nostro conto e impartendo disposizioni al nostro posto. Tutto questo è reso possibile dal fatto che gli istituti finanziari sono stati costretti a predisporre dei canali di comunicazione che permette l'accesso a tutti i dati finanziari dei propri clienti, dietro autorizzazione del cliente stesso.

L'idea che sta alla base della direttiva è quella di promuovere la concorrenza e la creazione di servizi innovativi in ambito finanziario, favorendo l'arrivo nel settore di nuove realtà. Purtroppo, gli esperti di sicurezza informatica temono che la concorrenza non sarà l'unica a beneficiare delle nuove regole.

Sembra una buona idea, ma non è tutt'oro quel che luccica
Secondo un report rilasciato da Trend Micro intitolato ““Ready or Not for PSD2: The Risks of Open Banking” l'apertura dei canali di comunicazione tra i dati bancari dell'utente e le aziende da loro autorizzate rappresenterà un grosso problema, mettendo a serio rischio i dati dei clienti stessi.

Una delle regole che sta alla base delle buone pratiche di sicurezza, infatti, è quella di ridurre al minimo la “superficie d'attacco”, cioè quell'insieme di software e punti d'accesso che rappresentano per i criminali un potenziale punto d'accesso.

Con la nuova direttiva, invece, i punti suscettibili a un attacco aumentano di parecchio perché tutti quei rapporti che prima si intrattenevano esclusivamente tra cliente e istituto finanziario, adesso potrebbero interessare anche altre aziende, altri siti web o altre app che starebbero a tutti gli effetti tra cliente e banca.

Per di più, come si vede dalla foto in alto, l'app dell'azienda autorizzata potrebbe avere accesso ai dati dell'utente conservati su più istituti finanziari, rendendola un bersaglio particolarmente ghiotto per i criminali. Compromettere, infatti, il servizio di queste aziende spalancherebbe le porte di più istituti finanziari con un colpo solo.

Una nuova ondata di spam e di truffe
Uno dei fattori che preoccupa maggiormente chi ha stilato il rapporto sui rischi dell'SPD2 riguarda il fatto che gli utenti dovranno “reimparare” a proteggersi. Dopo anni di spam in cui i criminali chiedevano le credenziali dei conti bancari tramite e-mail, siti compromessi e pagine fasulle che ormai gli utenti tendono a riconoscere perché in circolazione da molti anni, adesso si troveranno a dover fare i conti con nuovi attacchi in cui l'entità da attaccare non sarà più la loro banca, ma un sito o un'app che ancora conoscono poco.

Ma neanche i cybercriminali sono poi così contenti
Chi ha creato le linee guida dell'SPD2 era comunque consapevole dei maggiori rischi a cui sarebbero stati esposti gli utenti e, per limitarne la portata, sono state inserite nel regolamento anche una serie di misure di sicurezza aggiuntive che gli istituti finanziari devono mettere in pratica. La più importante è che ogni transazione economica, a prescindere se sia effettuata a distanza o di persona, dovrà passare attraverso un sistema di autorizzazione multilivello. Questo significa che non basterà più inserire username e password perché al momento della transazione verrà richiesto un ulteriore controllo che può esser basato su di un oggetto in nostro possesso o su di un dato biometrico.
L'innalzamento del livello di sicurezza ha gettato nello sconforto i criminali informatici di basso livello, quelli meno evoluti, che sui forum del deep web si sono lasciati andare a commenti pessimisti; mentre quelli tecnicamente più capaci sono fiduciosi nel fatto che “per una porta che si chiude, un'altra se ne apre”.

Cosa può fare l'utente per difendersi
Per quanto possano apparire comodi i servizi offerti da aziende esterne alla nostra banca, è una buona idea quella di concedere autorizzazioni con estrema parsimonia.
Sebbene le pratiche di sicurezza siano ormai di buon livello, l'errore da parte di chi le implementa è sempre in agguato. Le stesse banche, che hanno avuto lustri per affinare le loro difese ancora oggi cadono preda di errori grossolani, mentre alcuni tipi di transazioni fanno riferimento a vecchi protocolli che potrebbero essere intrinsecamente insicuri.
Un esempio, molto preoccupante, citato dal report mostra come 12 banche inglesi esaminate su poco più di 50 lasciassero viaggiare username e password dei propri clienti nell'URL delle pagine del sito, rendendole semplicissime da intercettare.

Instaurando un sistema completamente nuovo con tutte le banche che devono rilasciare delle API, i canali di comunicazione di cui abbiamo parlato, aperte a chiunque, i rischi di vulnerabilità e falle di sicurezza è effettivamente elevato, almeno a giudicare da quanto è successo in passato. Il nuovo sistema di autorizzazione a più fattori rappresenterà sicuramente una protezione efficace nella maggior parte dei casi contro il furto di denaro, ma i nostri dati restano decisamente più esposti perché molti meccanismi di controllo informatico come la realizzazione di registri di accesso o la raccolta di dati in caso di errore dell'app o del servizio, potrebbero non esser stati ancora analizzati in maniera sufficientemente approfondita e portare a una fuga di informazioni sensibili.

Ben vengano, quindi, le operazioni tese ad aumentare la concorrenza e l'innovazione, ma ricordiamoci di usare sempre molta prudenza sui dispositivi informatici.

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti