19/09/2019 di Redazione

PSD2 e Open Banking: porte aperte a rischi e truffe (arginabili)

La direttiva europea sui sistemi di pagamento digitale favorirà le Fintech e l’avvento di nuove app. Ma anche nuovi pericoli, dal phishing alle fughe di dati, come evidenziato da uno studio di Trend Micro.

immagine.jpg

Attenzione ai rischi dell’online banking, degli acquisti di e-commerce e dei trasferimenti di denaro via app. Perché con l’adozione della direttiva europea PSD2 e con l’open banking potremmo trovarci ancor più esposti a potenziali attacchi informatici e truffe di quanto non lo siamo stati fino a ieri. Questo è l’allarme lanciato da Trend Micro alla luce di un nuovo studio che evidenzia i rischi connessi a una nuova cornice normativa che pure è nata con tutte le buone intenzioni e destinata certamente a produrre effetti positivi sul mercato. 

La PSD2, infatti, nasce dichiaratamente per promuovere l’innovazione e la sicurezza nei pagamenti via Pc e via smartphone, come dimostra per esempio l’obbligo delle verifiche di strong authentication a due fattori nelle procedure di login. Inoltre la direttiva incoraggia la competizione e allo stesso tempo la cooperazione fra banche e società Fintech. Quest’ultime finalmente potranno accedere alle Api delle banche per connettervi i propri servizi, mentre le banche potranno integrare nuovi servizi nelle proprie piattaforme. Per l’utente, si prospettando user experience più fluide e interconnesse.

Tutto bene, quindi? No, perché a detta di Trend Micro non siamo del tutto preparati a tale ondata di cambiamenti. Le infrastrutture, i software, i metodi di scambio e protezione dei dati presentano delle debolezze. L’Open Banking allarga la potenziale superficie di attacco, mettendo dati bancari nelle mani di società che non sono soggette ai medesimi regolamenti e misure di controllo a cui si prestano le banche.  “Gli utenti che autorizzano le applicazioni di Open Banking a gestire i propri dati”, si legge nello studio, “si ritroveranno in una nuova relazione di fiducia. In precedenza gli utenti dovevano fidarsi di istituzioni finanziarie collaudate, con alle spalle una lunga storia di sicurezza, mentre ora dovranno dare lo stesso livello di fiducia a meno conosciuti fornitori terzi”. E si tratta, sottolinea Trend Micro, solitamente di piccole software house, a volte sprovviste di personale interno dedicato alla sicurezza. 

(Fonte: Trend Micro, "Reaty or Not for PSD2: The Risks of Open Banking")

 

Altri rischi derivano dalla libertà di accesso alla Api di banche e Fintech da parte di soggetti terzi; dalle applicazioni mobili delle Fintech; da tecniche di condivisione dei dati ormai obsolete (nel report si utilizza proprio questa parola e si fa l’esempio dei server OFX, che impiegano il protocollo non crittografato Http) eppure ancora in uso, e da componenti software intrinsecamente non sicuri. Altro pericolo è il phishing: i truffatori informatici potrebbero usare le applicazioni di Open Banking per agganciare all’amo le loro vittime, contando sul fatto che solitamente ci si aspetta truffe di questo genere attraverso la posta elettronica. Va detto che soltanto una parte delle applicazioni di Open Banking potranno veicolare pagamenti e, dunque, essere usate per sottrarre denaro senza troppi passaggi intermedi. Tuttavia, anche le app che non eseguono pagamenti potranno risultare utili ai criminali per raccogliere informazioni sulle abitudini, sugli interessi e sulla disponibilità economica di potenziali vittime.

Poiché non è verosimile rinunciare alle trasformazioni favorite dalla PSD2, quel che è possibile fare è adottare misure di sicurezza capaci di arginare almeno in parte questi rischi. Trend Micro suggerisce alle Fintech di adottare protocolli sicuri, come OAuth 2.0, abbandonando invece i server OFX e smettendo di usare tecniche come lo screen scraping. Una raccomandazione rivolta alle banche è, invece, quella di non trasmettere in nessun caso informazioni sensibili (come username dei clienti, password, token o dati sui pagamenti) attraverso percorsi Url. Sia le banche sia le Fintech, inoltre, dovrebbero limitare il più possibile che i dati “escano” dalle loro applicazioni verso qualsiasi destinazione diversa dai server della banca o della Fintech proprietaria. Gli sviluppatori di applicazioni di Open Banking, infine, dovrebbero seguire principi di security-by-design e affidare ad audit esterni (o comunque indipendenti) la valutazione finale sul grado di sicurezza dell’app.

 

ARTICOLI CORRELATI