Il Salone dei Pagamenti 2017 – Payvolution presso il MiCo Milano Congressi ha ospitato quest’anno un evento dedicato alla protezione, alla riservatezza e alla sicurezza dei pagamenti, ovvero a come le banche italiane rispondono efficacemente alle richieste dei clienti per l’accesso ai servizi bancari online in modo facile, veloce e, soprattutto, sicuro. Con lo sviluppo delle nuove tecnologie e dell’economia digitale, cresce l’impegno del mondo bancario nella lotta ai crimini informatici, attraverso presidi tecnologici, iniziative di formazione del personale e campagne di sensibilizzazione della clientela.

Sono stato invitato da ABI Lab ad esporre la situazione del cyber crime nel settore finanziario e le misure intraprese dalla mia azienda e dal sistema bancario in generale per contrastare attacchi informatici e frodi ai danni della clientela, all’evento “Banche, Cittadini e Imprese: Sicuri Tutti Insieme!” moderato dal Segretario Generale del Consorzio ABI Lab Romano Stasi e con la partecipazione del Vice Questore Aggiunto del Compartimento Polizia Postale e delle Comunicazioni per la Lombardia Lisa Di Berardino.

L’evento è stato anche l’occasione per la presentazione del nuovissimo opuscolo informativo di ABI Lab “HOME BANKING, CARTE, E-COMMERCE … Regole semplici per pagamenti sicuri”, prodotto in collaborazione con la Polizia di Stato, il CERT Finanziario Italiano (CERTFin) e la Fondazione per l’Educazione Finanziaria e al Risparmio (FEDUF). L’opuscolo fornisce utili consigli di base per usare in sicurezza l’home banking, le carte di pagamento, l’e-commerce, il mobile banking, il proprio computer e i social network.

Lo scenario di riferimento

Il mio intervento ha riguardato inizialmente l’attuale scenario degli attacchi informatici e del cyber crime in Italia, con focalizzazione sul settore bancario: nel quarto trimestre 2016 l’Italia è salita al 4° posto nel mondo per percentuale di utenti online colpiti da cyber crime (29%) ed è entrata nella top ten mondiale per numero e gravità degli attacchi.

Il cybercrime è in forte crescita e rappresenta l’origine del 75% del totale degli attacchi rilevati.

In merito al settore bancario, sono essenzialmente tre le tipologie di attacco più rilevanti, ovvero il social engineering, attraverso phishing (in aumento del 64%) e altri fenomeni come vishing, smishing, spear phishing, CEO fraud e instant phishing, quindi i malware infostealer dedicati alla sottrazione di informazioni bancarie e credenziali d’accesso (Neverquest, Dridex, Gozi, Gookit, BankBot, Dyre, ecc.) e, infine, i ransomware che possono causare gravi disservizi alla clientela. Gli attacchi ai servizi di pagamento sono per il 70% indirizzati al retail banking, per il 25% ai gestori delle carte di pagamento, per il 3% al corporate banking e il 2% a piattaforme social e fornitori di servizi email gratuiti.

(I dati citati sono tratti dal Rapporto Clusit 2017 sulla Sicurezza ICT in Italia)

Il conflitto di cultura e di relazione fra banche e clientela

Il settore bancario è di fatto il più regolamentato, contraddistinto da una forte pressione normativa e una particolare focalizzazione sugli aspetti di sicurezza. Tuttavia si profilano all’orizzonte tre normative che si aggiungono alla già articolata Circolare di Banca d’Italia 285/2013 e che avranno un impatto molto rilevante sul settore: la Direttiva UE 2015/2366, cosiddetta PSD2, la Direttiva UE 2016/1148, cosiddetta NIS, e il Regolamento UE 2016/679 chiamato anche GDPR. Tutte impongono nuove e più aggiornate misure di sicurezza e rappresentano importanti sfide per gli istituti bancari, soprattutto per l’avvio dell’era dell’Open Banking e dei nuovi operatori BigTech (Google, Amazon, Facebook, ecc.) e FinTech, nonché alle nuove misure di tutela dei dati personali.

Quindi da una parte ci sono gli istituti bancari che hanno maturato negli anni, in particolare negli ultimi quattro anni con la pubblicazione nel luglio 2013 del 15° aggiornamento della Circolare Bankit 263/2006, una forte cultura di sicurezza, di controllo e di protezione delle transazioni di pagamento, mentre dall’altra c’è una clientela fortemente eterogenea per età, classe sociale e capacità, ma contraddistinta da un livello di consapevolezza tuttora insufficiente per riconoscere gli attacchi informatici e contrastare efficacemente i tentativi di frode. Sono ancora troppo pochi, infatti, i clienti che mantengono aggiornati i propri dispositivi informatici, che verificano l’affidabilità e la provenienza delle applicazioni che installano, che controllano quali permessi vengono concessi alle app installate sui dispositivi mobili o che fanno ricorso a funzionalità di sicurezza come antivirus, crittografia, sistemi di blocco dell’accesso, cancellazione remota dei dati e impostazioni delle politiche sulla privacy.

In sintesi, buona parte della clientela non conosce e non adotta le più basilari misure di prevenzione e contrasto degli attacchi e delle frodi a loro danno, e l’aumento esponenziale degli attacchi basati su tecniche di ingegneria sociale, prima fra tutte il phishing, ne è l’amara testimonianza.

A questo conflitto culturale si aggiunge la difficoltà di relazione fra banca e cliente, innescata dal cambiamento sociale conseguente l’esplosione dei nuovi canali di comunicazione social e instant messaging. I clienti provengono, infatti, da una cultura pregressa infusa in loro dalle banche stesse in cui venivano costantemente invitati a diffidare dalle comunicazioni provenienti dal loro istituto bancario, con l’affermazione che la banca non avrebbe mai chiesto loro di inserire credenziali o di cliccare su collegamenti allegati. Oggi, nell’era della comunicazione immediata e diffusa, il cliente è abituato alla notifica in tempo reale e le banche tendono a ribaltare il paradigma adottando una comunicazione più assidua, presente e pervasiva, sfruttando diversi canali.

Si pone quindi il problema di quali messaggi veicolare alla clientela e come confezionarli affinché siano riconoscibili, verificabili, comprensibili e, possibilmente, senza link da cliccare che il cliente possa giudicare sospetti, nonché quali canali adottare: social media e instant messaging vanno bene per i clienti più giovani e smart ma non per le generazioni più datate, gli SMS sono troppo dispendiosi e poco graditi al destinatario, i messaggi email sono efficaci per le generazioni di mezzo ma giovani e adulti non usano la posta elettronica, le notifiche su smartphone presuppongono che i clienti installino l’app della banca (cosa che avviene in pochi casi), mentre i cari vecchi poster cartacei e i flyer inseriti nelle buste di recapito degli estratti conto saranno presto sacrificati sull’altare della digitalizzazione.

Infine si profila all’orizzonte il rischio della disintermediazione fra banche e clientela indotta dall’avvento dei nuovi operatori finanziari sul mercato, ovvero i già citati BigTech e FinTech che sono stati liberalizzati dalla Direttiva PSD2. Il fatto che questi nuovi intermediari siano nuovi del settore e non vengano identificati come istituti bancari, quindi non saranno soggetti alla medesima pressione normativa di sicurezza delle banche, e siano per buona parte delle startup con scarsi fondi e ridottissimo time-to-market, potrebbe esporre i clienti ad un’ondata di nuovi rischi di attacchi informatici e frodi finanziarie ai loro danni.

Il ruolo delle banche sulla sicurezza

Grazie anche alla forte spinta derivante dalla pressione normativa, il settore bancario ha identificato e posto in atto una serie impressionante di misure di sicurezza, che comprendono sia l’allestimento di un framework ben articolato di politiche, processi e procedure di sicurezza, sia l’introduzione di strumenti di sicurezza come l’autenticazione forte a fattori multipli, i certificati SSL EV (Extended Validation), il 3D Secure, le notifiche in tempo reale sulle transazioni, fino a soluzioni più sofisticate come il monitoraggio antifrode in tempo reale, che sfrutta numerosi parametri come la geolocalizzazione e l’analisi comportamentale, e la verifica sul livello di sicurezza dei dispositivi del cliente.

Un notevole sforzo viene profuso nella prevenzione e la rilevazione del malware, oltre che al blocco delle reti utilizzate per la diffusione degli attacchi informatici. Lo sforzo è necessario soprattutto per coprire il periodo di scopertura che gli antimalware inevitabilmente lasciano in occasione dei malware 0-day e che ammonta mediamente in 12 giorni dalla prima diffusione e 2 giorni dal raggiungimento del picco di diffusione nel mondo. A tutto ciò si affiancano le numerose informative pubblicate sui siti di Internet Banking e sugli altri canali di accesso ai servizi bancari.

Ma lo sforzo più importante è costituito da una crescente promozione degli istituti bancari verso la crescita delle proprie strutture interne in materia di consapevolezza, con campagne di security awareness indirizzate a tutto il personale e focalizzare sul riconoscimento delle modalità di attacco e dei fattori di rischio, sulle migliori misure di sicurezza e sui comportamenti da adottare per prevenire incidenti di sicurezza e frodi ai danni della banca e della clientela. Iniziative come la campagna “Connessi e Consapevoli” che è stata premiata dal CLUSIT durante il Security Summit 2017.

Promuovere una maggiore consapevolezza di sicurezza fra il personale, infatti, favorisce un maggiore e più efficace trasferimento della cultura di sicurezza al cliente, attraverso il rapporto diretto con il personale di filiale o con le iniziative di comunicazione delle funzioni di marketing, comunicazione e commerciale della banca.

In tal senso, un presidio continuativo e consapevole dei moderni canali di comunicazione è il giusto complemento per massimizzare l’efficacia delle iniziative, unito alla collaborazione attiva con le autorità di vigilanza, gli enti di pubblica sicurezza (Polizia Postale, CNAIPIC, CERT Nazionale, ecc.) e i circuiti di settore (CERTFin, ABI Lab, VISA, MasterCard, ecc.).

Ettore Guarnaccia