Cybersecurity, tutti i rischi della nuova normativa bancaria Spd2

Con la nuova direttiva, invece, i punti suscettibili a un attacco aumentano di parecchio perché tutti quei rapporti che prima si intrattenevano esclusivamente tra cliente e istituto finanziario, adesso potrebbero interessare anche altre aziende, altri siti web o altre app che starebbero a tutti gli effetti tra cliente e banca.

Per di più, come si vede dalla foto in alto, l'app dell'azienda autorizzata potrebbe avere accesso ai dati dell'utente conservati su più istituti finanziari, rendendola un bersaglio particolarmente ghiotto per i criminali. Compromettere, infatti, il servizio di queste aziende spalancherebbe le porte di più istituti finanziari con un colpo solo.

Una nuova ondata di spam e di truffe
Uno dei fattori che preoccupa maggiormente chi ha stilato il rapporto sui rischi dell'SPD2 riguarda il fatto che gli utenti dovranno “reimparare” a proteggersi. Dopo anni di spam in cui i criminali chiedevano le credenziali dei conti bancari tramite e-mail, siti compromessi e pagine fasulle che ormai gli utenti tendono a riconoscere perché in circolazione da molti anni, adesso si troveranno a dover fare i conti con nuovi attacchi in cui l'entità da attaccare non sarà più la loro banca, ma un sito o un'app che ancora conoscono poco.

Ma neanche i cybercriminali sono poi così contenti
Chi ha creato le linee guida dell'SPD2 era comunque consapevole dei maggiori rischi a cui sarebbero stati esposti gli utenti e, per limitarne la portata, sono state inserite nel regolamento anche una serie di misure di sicurezza aggiuntive che gli istituti finanziari devono mettere in pratica. La più importante è che ogni transazione economica, a prescindere se sia effettuata a distanza o di persona, dovrà passare attraverso un sistema di autorizzazione multilivello. Questo significa che non basterà più inserire username e password perché al momento della transazione verrà richiesto un ulteriore controllo che può esser basato su di un oggetto in nostro possesso o su di un dato biometrico.
L'innalzamento del livello di sicurezza ha gettato nello sconforto i criminali informatici di basso livello, quelli meno evoluti, che sui forum del deep web si sono lasciati andare a commenti pessimisti; mentre quelli tecnicamente più capaci sono fiduciosi nel fatto che “per una porta che si chiude, un'altra se ne apre”.

Cosa può fare l'utente per difendersi
Per quanto possano apparire comodi i servizi offerti da aziende esterne alla nostra banca, è una buona idea quella di concedere autorizzazioni con estrema parsimonia.
Sebbene le pratiche di sicurezza siano ormai di buon livello, l'errore da parte di chi le implementa è sempre in agguato. Le stesse banche, che hanno avuto lustri per affinare le loro difese ancora oggi cadono preda di errori grossolani, mentre alcuni tipi di transazioni fanno riferimento a vecchi protocolli che potrebbero essere intrinsecamente insicuri.
Un esempio, molto preoccupante, citato dal report mostra come 12 banche inglesi esaminate su poco più di 50 lasciassero viaggiare username e password dei propri clienti nell'URL delle pagine del sito, rendendole semplicissime da intercettare.

Instaurando un sistema completamente nuovo con tutte le banche che devono rilasciare delle API, i canali di comunicazione di cui abbiamo parlato, aperte a chiunque, i rischi di vulnerabilità e falle di sicurezza è effettivamente elevato, almeno a giudicare da quanto è successo in passato. Il nuovo sistema di autorizzazione a più fattori rappresenterà sicuramente una protezione efficace nella maggior parte dei casi contro il furto di denaro, ma i nostri dati restano decisamente più esposti perché molti meccanismi di controllo informatico come la realizzazione di registri di accesso o la raccolta di dati in caso di errore dell'app o del servizio, potrebbero non esser stati ancora analizzati in maniera sufficientemente approfondita e portare a una fuga di informazioni sensibili.

Ben vengano, quindi, le operazioni tese ad aumentare la concorrenza e l'innovazione, ma ricordiamoci di usare sempre molta prudenza sui dispositivi informatici.