Articolo pubblicato sul numero 221 di AziendaBanca, rivista sull’innovazione di banca e finanza che si rivolge “a tutto il management del mondo bancario, assicurativo, della gestione del risparmio, del credito, della consulenza e della tecnologia“. L’articolo illustra i contenuti della tavola rotonda bancaria organizzata durante la IX edizione del Security Summit a Milano sul tema dell’integrazione della sicurezza nell’innovazione, con particolare riferimento alla direttiva PSD2 sui pagamenti. L’evento, dal titolo “Sicurezza nell’innovazione: come integrare la gestione della sicurezza nell’innovazione richiesta alle banche dal mercato e dalle normative“, verteva sui temi dell’open banking, dei nuovi standard regolamentari (RTS), sulla sicurezza delle FinTech e sul transaction monitoring.

Del mio intervento sono stati pubblicati due passaggi, uno in merito agli effetti potenzialmente devastanti dell’avvento dell’open banking sul sistema bancario, l’altro in merito alla sicurezza del dynamic linking e all’esigenza di una baseline di sicurezza condivisa fra tutti gli operatori del mercato. Riporto di seguito i due estratti che mi riguardano, rimandando all’allegato per la consultazione dell’articolo completo.

Open banking: la zona grigia

Ma l’apertura alle terze parti preoccupa non poco le banche italiane, soprattutto per ragioni tecniche. «L’open banking sarà vissuto dal settore bancario come un devastante tsunami, che richiederà nuovi paradigmi di sicurezza, di business e anche culturali – sottolinea Ettore Guarnaccia […]. Ma senza un framework standard su cui basarsi rimane un’ampia zona grigia sulla quale lavorare, per comprendere come aprirsi alle terze parti proteggendosi da tipologie di rischio per le quali non si dispone nemmeno di una qualche storicità».

Monitorare il comportamento dei clienti…

Difatti la direttiva ha avanzato la sua proposta: nelle operazioni di pagamento si può rafforzare la sicurezza con meccanismi di collegamento dinamico (dynamic linking appunto) che contengono almeno l’importo e un beneficiario specifico, così da garantire che l’autenticazione per una transazione a distanza non sia utilizzata per altri scopi. E alcune banche […] ci stanno già lavorando. «Ma il dynamic linking rimane vulnerabile ad alcuni tipi di exploit – chiarisce Guarnaccia. Per questo motivo è essenziale che venga definita una base line di sicurezza rispettata da tutti, anche dalle FinTech, fondamentale quanto opportune iniziative di sensibilizzazione della clientela. La sfida è scegliere tra le varie opportunità di servizio, soppesare le misure di sicurezza e anche accettare eventuali ostacoli alla user experience, fisiologici per poter garantire un adeguato livello di sicurezza. Alcune esenzioni potrebbero rendere la user experience più accettabile, tuttavia al momento sono poche le deroghe previste dalla PSD2. Tra queste, l’impiego di sistemi di monitoraggio sulle analisi comportamentali del cliente, da unire ad altri indicatori, ad esempio la geolocalizzazione, per rilevare in tempo reale gli scostamenti nelle abitudini della clientela».

Articolo completo: La sicurezza nell’innovazione, AziendaBanca n. 221 – Aprile 2017