In un mondo sempre più volto al progresso informatico anche il settore bancario ha dovuto compiere un salto di qualità in materia di Cyber Security. Digitalizzazione dei servizi e sicurezza informatica dei dati dei clienti per le banche operanti in Italia vanno di pari passo. L’utilizzo dei canali digitali aumenta vertiginosamente e parallelamente si rafforza l’impegno del Mondo Bancario contro i crimini informatici. Ciò è possibile grazie alle iniziative perseguite, in risposta alle restrizioni derivanti dal Covid-19, anche in collaborazione con le associazioni dei consumatori.

Cyber Security

Si sente spesso parlare di Cyber Security, ma cos’è veramente? É un insieme di strumenti e tecnologie aventi lo scopo di proteggere i sistemi informatici dagli attacchi dall’esterno. Questo campo si basa sulla protezione dei dati personali, dell’integrità e della disponibilità di un sistema informatico. Oltre a queste caratteristiche uno dei punti peculiari della Cyber Security è senza dubbio l’autenticità delle informazioni. La sicurezza informatica è basata su elementi giuridici, umani, tecnici e organizzativi in grado di analizzare vulnerabilità, minacce e rischi.

Garantire una cyber security relativa agli istituti bancari vuol dire dunque predisporre una serie di professionalità, strumenti e approcci che consentano di tracciare una mappa dei rischi informatici, di dettare policy coerenti con gli obiettivi aziendali e di delineare strategie di risposta agli incidenti che comunque si verificheranno.

Il primo passo sarebbe quello della riprogettazione dei processi aziendali di gestione del dato. Un’operazione da condurre assumendo le prospettive e le garanzie della privacy by default e della security by design. Antivirus e antimalware, soluzioni per la sicurezza di rete e crittografia dei dati rappresentano una dotazione tecnologica che è ormai impensabile non possedere.

Cyber Security e Data Protection

Il tutto è possibile esclusivamente all’interno di un’azienda tecnologicamente educata alla cultura della data protection. L’assenza di essa implica far fronte alle falle che gli stessi utenti, inconsapevolmente, apriranno tra uno strato e l’altro della superficie aziendale. Si tratta quindi di individuare le giuste misure tecniche e organizzative da applicare ai trattamenti delle informazioni sensibili e un riassetto dei sistemi. Mediante l’Intelligenza Artificiale, il Machine Learning e le piattaforme di NLP, le banche potrebbero elaborare dati non strutturati, facilitando così il riconoscimento delle problematiche e delle vulnerabilità rispetto al framework di riferimento.

Cyber risk

Il Cyber risk è diventato uno dei capitoli più rilevanti nella gestione dei rischi operativi all’interno del mondo finanziario. Questo perché un’intromissione esterna nei network di una banca può comportare conseguenze problematiche nella gestione dei processi aziendali, con ripercussioni anche gravi sui risultati attesi. Da non sottovalutare sono anche la data protection e la compliance in rapporto alle norme per la tutela della privacy, a partire dal GDPR. Inoltre la questione viene amplificata dalla continua commistione tra tecnologie digitali e procedure finanziarie. Queste consentono a un numero sempre più esteso di clienti di accedere alle funzionalità degli istituti di credito attraverso una moltitudine di touch point diversi. Touch point che, se non adeguatamente presidiati, diventano porte d’ingresso anche per hacker, cyber criminali e malware.

Payment Service Directive – SPD2

Dal 14 Settembre 2019 è entrato in vigore il revised Payment Service Directive, o semplicemente SPD2. Si tratta di una direttiva che consente agli utenti maggiore libertà di gestione dei dati custoditi dalle istituzioni finanziarie, garantendo la possibilità di condividere informazioni con aziende esterne. Mediante questo meccanismo quindi, aziende esterne alla propria banca, forniscono servizi come gestione automatica dei pagamenti, monitoraggio finanziario, creazione di piani di accantonamento ecc. Così facendo, le suddette, hanno la possibilità di prelevare i dati direttamente dal conto e impartire disposizioni al nostro posto. Ciò è possibile poiché gli istituti finanziari sono obbligati a predisporre canali di comunicazione che forniscono l’accesso a tutti i dati finanziari dei propri clienti, previa autorizzazione.

La direttiva vuole promuovere la concorrenza e la creazione di servizi innovativi in ambito finanziario, favorendo l’arrivo nel settore di nuove realtà. Purtroppo però, gli esperti di sicurezza informatica temono che la concorrenza non sarà l’unica a beneficiare delle nuove regole. I rischi relativi alla sicurezza dei dati dei clienti sembrano quindi notevoli e le preoccupazioni degli esperti estremamente fondate.
Con la nuova direttiva i punti suscettibili a un attacco informatico aumentano. Tutte le connessioni relative a cliente e istituto finanziario, adesso potrebbero interessare anche altre aziende che si potrebbero frapporre tra cliente e banca.

Come può difendersi l’utente?

Dopo aver appurato l’incertezza relativa alla nuova direttiva, all’errore umano o organizzativo, non ci resta che una domanda: cosa può fare l’utente per tutelarsi?
Il consiglio che può essere banalmente dato all’utente è quello di prestare maggiore attenzione ed informarsi in merito alle autorizzazioni che concede. Sebbene le pratiche di sicurezza siano ormai di buon livello, l’errore da parte di chi le implementa è sempre in agguato. Le stesse banche autorizzano ancora oggi transizioni con riferimenti a vecchi protocolli che possono considerarsi tecnologicamente superati a livello di sicurezza informatica. Le banche devono aggiornare i propri software concedendogli di rilasciare delle API, aperte a chiunque, aumentando così i rischi di vulnerabilità e falle di sicurezza.  Il nuovo sistema di autorizzazione a più fattori rappresenta una protezione maggiore contro il furto di denaro, ma al contempo aumenta l’esposizione dei dati personali.

La sicurezza informatica, tuttavia, passa anche attraverso la collaborazione dei clienti delle banche stesse. Concretamente, al fine di operare online in modo sicuro, l’utente può cambiare periodicamente le proprie password; aprire solo le email provenienti da indirizzi noti; accedere a Internet solo dal proprio computer; installare o aggiornare l’antivirus; contenere la diffusione delle informazioni personali online e usare password diverse per siti diversi.