di Pierluigi Paganini*
La sicurezza delle transazioni finanziarie è uno dei temi cruciali per l’Europa. Il mondo bancario è notoriamente una vittima privilegiata del crimine informatico. I principali rapporti di cyber security confermano che il numero di reati è in costante aumento e la minaccia informatica sempre più complessa.
Uno degli aspetti più delicati è la sicurezza dell’online banking, con la necessità di garantire i pagamenti online.
Gli istituti di credito operanti nel territorio europeo devono recepire le linee guida in tema di sicurezza dei pagamenti online introdotte dalla BCE. Il rapporto “Recommendations for the security of Internet payments” contiene i requisiti minimi di sicurezza che gli istituti finanziari che offrono servizi di pagamento online devono rispettare.
La Banca Centrale Europea ha stabilito che i fornitori di servizi di pagamento devono allinearsi alle direttive entro il 1° agosto 2015.
Tra le indicazioni fornite dalle linee guida c’è anche la necessità di implementare sistemi di autenticazione forte. Questi servono a proteggere le informazioni fornite in fase di autenticazione verso ogni attore coinvolto nella procedura di pagamento.
Sebbene incrementi sensibilmente il livello di sicurezza dell’utenza bancaria, l’autenticazione forte non azzera il rischio di frode. Ciò spiega perché, nonostante la maggior parte degli istituti di credito utilizzi meccanismi di autenticazione forte per i propri servizi online, il numero di reati finanziari online è in continua crescita. Questo grazie alla diffusione di malware in grado di eludere i sistemi di difesa.
Una moltitudine di codici malevoli, dal popolare Zeus al più recente VAWTRAK, implementano la tecnica di attacco nota come man-in-the-browser, che consente loro di intercettare le operazioni effettuate dall’utenza una volta che questa si è autenticata tramite il proprio browser al servizio di online banking. Tipicamente i codici malevoli alterano l’esperienza dell’utente durante l’accesso al servizi bancario online. In questo modo il codice malevolo è in grado di dirottare pagamenti, cambiarne gli importi e nascondere le operazioni alle vittime visualizzando delle schermate di riepilogo epurate delle transazioni illecite.
Come aumentare la sicurezza delle transazioni finanziarie in Europa
Gli esperti di sicurezza sono concordi che la sicurezza dei sistemi di online banking necessita l’adozione di modello a più strati. Accesso dati CERT, information sharing, sistemi di monitoraggio e autenticazione a due fattori sono esempi in cui più sistemi e metodiche concorrono alla messa in sicurezza dei pagamenti online.
Una soluzione potrebbe essere un meccanismo di validazione della transazione, che ne attesti l’autenticità e l’integrità e la renda non ripudiabile. In poche parole potremmo pensare all’adozione di soluzioni di firma digitale delle transazioni.
Esistono diversi modi per apporre una “firma elettronica” a una transazione bancaria. Potremo pensare a meccanismi hardware, che validano una transazione firmandone digitalmente la richiesta. Questa verrebbe proposta su monitor a cristalli liquidi. Oppure a meccanismi che prevedano per le operazioni di firma “visiva” l’uso di QR code contenenti i dati della transazione opportunamente cifrati. In quest’ultimo caso all’utente verrebbe proposto un QR code scansionabile con tablet o smartphone, per ottenere un codice di firma necessario a validare la transazione.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef