Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

servizi finanziari

Fintech, i principali rischi cyber e tre rimedi tecnologici

L’uso del digitale per offrire nuovi servizi finanziari o cambiare le modalità con cui questi vengono offerti o fruiti pone dei rischi che è bene conoscere e affrontare per non perdere i benefici connessi. Ecco come mitigarli e le tre principali attività di ricerca portate avanti dalla Fondazione Bruno Kessler

23 Gen 2019

Silvio Ranise

responsabile dell’Unità di Ricerca “Security & Trust”, Fond. Bruno Kessler, Trento

Alberto Siena


Il processo di digitalizzazione dei servizi finanziari porta, da una parte, una maggiore flessibilità e diversificazione dell’offerta e, dall’altra, nuove sfide per gestire i rischi derivanti dall’utilizzo delle nuove tecnologie.

Risulta pertanto di fondamentale importanza capire quali sono i rischi associati all’utilizzo di soluzioni fintech ed elaborare opportune strategie per mitigare il loro impatto. Vediamo in che modo.

Servizi finanziari e tecnologie: cos’è la Fintech

Fintech è l’abbreviazione di Financial Technology e designa un settore che si trova all’intersezione tra servizi finanziari e tecnologia. Questo settore vede una certa eterogeneità nella tipologia delle organizzazioni coinvolte che vanno dalle start-up (innovative per vocazione alla conquista di quote di mercato) agli attori tradizionali del settore finanziario come banche ed assicurazioni (che subiscono la pressione dell’innovazione e temono di perdere quote di mercato). Indipendentemente dal tipo di organizzazione, l’idea centrale del fintech consiste nell’utilizzare tecnologie digitali per offrire nuovi servizi o cambiare i processi e le modalità con le quali questi vengono offerti o fruiti.  La sensazione di inadeguatezza a gestire soluzioni basate su nuove tecnologie (specialmente da parte degli attori tradizionali del settore finanziario) può bloccare o ritardare la diffusione di servizi fintech innovativi, capaci di portare benefici sia a chi li offre che a coloro che ne usufruiscono con un danno all’economia nel suo complesso.

Quali sono le tendenze che accrescono i rischi

Tre sono le tendenze principali che concorrono ad accrescere i rischi inerenti alle soluzioni fintech:

  • Aumento consistente della superficie d’attacco come conseguenza della tendenza a portare on line un numero crescente di processi. L’effetto di questa tendenza è l’incremento dei punti d’entrata per gli attaccanti che possono sfruttare le vulnerabilità dei sistemi. Questo aspetto diventa particolarmente importante per alcuni processi come quello di identificazione ed autenticazione del cliente che richiedono l’utilizzo di tecniche tese a minimizzare le frodi che sfruttano l’identità digitale.
  • Mancato sfruttamento delle informazioni di cyber intelligence da parte degli attori del settore fintech. Mentre si assiste ad un certo livello di cooperazione da parte degli hacker per portare attacchi sempre più mirati e su ampia scala, le istituzioni finanziarie non sono ancora riuscite ad elaborare una strategia efficace per condividere informazioni sugli attacchi in corso in modo da poter predisporre le necessarie misure di contenimento e ridurre al minimo l’impatto. Il problema principale non è di natura tecnologica (esistono infatti piattaforme per la condivisione di informazioni di cyber intelligence) ma connesso al fattore umano ed in particolare alla mancanza di fiducia che le informazioni condivise non vengano poi sfruttate per altri scopi (come ad esempio tattiche concorrenziali).
  • Sensibile incremento del grado di interconnessione tra i servizi finanziari ad un livello tale da creare dipendenze tra i mercati. Questo implica una maggiore pericolosità dei vettori di attacco che si possono propagare attraverso la fitta rete di interconnessioni, contagiando diversi mercati ed innescando potenzialmente un effetto domino. Per ridurre al minimo la probabilità di scatenare un effetto domino, si devono mettere in sicurezze le infrastrutture utilizzate per fornire i servizi fintech come quelle per la gestione dell’identità digitale (ad esempio quelle dei singoli stati Europei o quella transnazionale basata su eIDAS), i pagamenti (ad esempio SWIFT) e le transazioni finanziarie (ad esempio quelle recenti che sono basate sulla blockchain o Distributed Ledger Technology).

I rischi peculiari del settore Fintech

Se le tre tendenze che influenzano i rischi di sicurezza identificate sopra si possono ritrovare anche in altre settori produttivi dove la tecnologia digitale inietta soluzioni innovative, è da notare una peculiarità del settore fintech, ovvero come l’effetto delle tendenze sul rischio sia ampliato sotto l’influenza di altre due forze:

  • La natura delle risorse manipolate dai servizi finanziari. I servizi fintech oltre a manipolare dati sensibili (similmente a molti altri servizi) operano anche su risorse monetarie. Ovviamente, gli attacchi che compromettono risorse monetarie hanno un impatto estremamente elevato e, soprattutto, immediato rispetto alla compromissione di dati sensibili che, nella maggior parte dei casi, richiede un ulteriore sforzo (si pensi ad esempio all’utilizzo di credenziali rubate nei casi di furto d’identità). A rendere ancora più importante l’influenza della natura monetaria delle risorse sui rischi di sicurezza assume importanza il fatto che le transazioni finanziarie possono essere sia di natura digitale (si pensi, ad esempio, ai bonifici tramite le applicazioni per home banking) che ibrida ovvero in parte digitale ed in parte fisica (ad esempio quando si ritira del contante dai Bancomat). Nel caso di transazioni puramente digitali, la componente fisica può giocare un ruolo importante in quanto queste passano per i data center degli istituti finanziari. L’accesso fisico a questi ultimi deve essere regolato in maniera attenta per evitare che attaccanti (anche interni come i dipendenti di una banca) possano installare dispositivi e compromettere il normale funzionamento del data center e quindi delle transazioni digitali da questi gestite. Similmente, si deve provvedere a mettere in sicurezza i Bancomat per evitare i cosiddetti skimming attack che hanno l’obiettivo di rubare i dati per utilizzare carte di credito (come il PIN) installando apparecchiature che inviano le informazioni necessarie a clonare le carte ad un attaccante. In altre parole, gli istituti finanziari devono adottare un atteggiamento prudente sia nei confronti di attaccanti esterni che interni e includere nelle loro strategie di sicurezza non solo il perimetro digitale ma anche quello fisico (e le possibili interazioni tra questi due aspetti) per avere un quadro quanto più possibile dettagliato della superficie di attacco da difendere.
  • L’elevato grado di regolamentazione del settore fintech. Gli istituti finanziari devono produrre un grosso sforzo per soddisfare i vincoli legali derivanti da una molteplicità di regolamenti e direttive rilevanti per il settore fintech, come il General Data Protection Regulation (GDPR) rispetto ai diritti e libertà fondamentali dei cittadini in tema di privacy, o come la revised Payment Service Directive (PSD2) che mira alla creazione di un unico mercato integrato di servizi di pagamento attraverso la standardizzazione della gestione delle informazioni sui clienti da parte delle banche e dei nuovi fornitori di servizi di pagamento. Tale sforzo non è solo di natura finanziaria ma anche in termini di conoscenze necessarie per garantire la conformità e le modalità per provarla all’autorità competente. Inoltre, gli istituti devono avere anche chiara la differenza tra “essere conformi” ed “essere sicuri.” I due aspetti non sono sinonimi pur avendo delle sovrapposizioni come evidenziato, ad esempio, dalle numerose brecce di sicurezza delle organizzazioni che gestiscono i dati relativi alle carte di credito. Nonostante molte di queste organizzazione fossero, in passato, perfettamente conformi allo standard Payment Card Industry Data Security Standard (PCI DSS), questo non ha impedito massicce esfiltrazioni di dati come quella della Heartland Payment System del 2010 nella quale furono rubati i dati relativi a circa 130 milioni di carte di credito.

Come mitigare i rischi

L’Unità di Ricerca “Security & Trust” (S&T) della Fondazione Bruno Kessler porta avanti un progetto di ricerca ed innovazione che ha l’obiettivo di mitigare i rischi legati alle tre tendenze individuate sopra che amplificano i rischi dei servizi fintech, tenendo conto della presenza di risorse di natura monetaria e dell’elevato grado di regolamentazione del settore. Il progetto ruota attorno a tre principali attività di ricerca ed innovazione.

  • Identità digitale. S&T ha sviluppato una lunga esperienza nello sviluppo di soluzioni sicure per la gestione dell’identità digitale ed in particolare dei protocolli di autenticazione. Tale esperienza è maturata nel contesto di varie collaborazioni con realtà legate al territorio trentino che a livello nazionale. Recentemente, insieme all’Istituto Poligrafico e Zecca dello Stato, S&T sviluppa soluzioni distribuite per l’identificazione e l’autenticazione degli utenti basate sulla nuova Carta d’Identità Elettronica (CIE 3.0). Uno degli scenari più interessanti in cui si vuole utilizzare la CIE 3.0 è quello dell’on-boarding dei clienti sia digitale (da remoto) che fisico (in filiale). Attualmente, infatti, l’on-boarding del cliente costituisce un collo di bottiglia importante data la quantità dei dati da collezionare in maniera sicura ed in modo conforme alle varie normative. La sfida è duplice: da una parte semplificare al massimo l’esperienza utente (ad esempio diminuendo la tempistica del processo e la quantità di informazioni richieste esplicitamente) e dall’altra sfruttare le informazioni ottenute in fase di onboarding con contratti sempre più personalizzati gestiti grazie alle nuove infrastrutture digitali basate sulla blockchain e che sfruttano gli smart contract. L’obiettivo di questa attività di ricerca ed innovazione di S&T è quello di sviluppare una soluzione per l’on-boarding dei clienti che sia al tempo stesso sicura, conforme alle normative e che permetta un’esperienza utente confortevole.
  • Blockchain/DLT. La metodologia per costruire servizi ed applicazioni basati su BC/DLT è ancora poco sviluppata. Questo, oltre a costituire un impedimento nell’adozione di tale tecnologia, porta una serie di problemi di sicurezza come vulnerabilità derivanti dall’uso improprio delle funzionalità di interfaccia per l’utilizzo delle primitive BC/DLT. Inoltre, non risultano chiari i criteri per selezionare i meccanismi di consenso distribuito che offrono il miglior rapporto sicurezza-prestazioni rispetto al tipo di scenario applicativo in cui si intende sviluppare l’applicazione ed è in discussione la possibilità di costruire servizi ed applicazioni basate su BC/DLT che siano conformi al GDPR. Nel contesto fintech, queste problematiche sono fonte di grossa preoccupazione vista la forte pressione normativa e i requisiti di sicurezza molto forti. D’altra parte, la BC/DLT suscita un forte interesse da parte di tutti gli istituti finanziari in quanto promette di abbattere i costi (in particolar modo quelli di intermediazione) ed allo stesso tempo rendere più flessibile l’offerta di servizi. L’obiettivo di questa attività di ricerca ed innovazione di S&T è quello di sviluppare una metodologia che permetta di sviluppare servizi ed applicazioni per la finanza digitale che siano allo stesso tempo, sicure, conformi ed inoltre supportino un elevato grado di personalizzazione dell’offerta.
  • Messa in sicurezza delle infrastrutture fintech. Come si è detto, si assiste ad una sempre maggiore interconnessione tra diversi tipi di infrastrutture come quelle per la gestione dell’energia, dell’acqua, la logistica, ecc. Anche l’infrastruttura che permette le operazioni dei servizi finanziari è destinata ad essere sempre più integrata con le altre infrastrutture. Di conseguenza, un ciberattacco può innescare un effetto domino che mette fuori gioco diverse infrastrutture dando origine a situazioni di instabilità economica e sociale. Diventa pertanto fondamentale sviluppare opportune tecniche e metodologie per la protezione delle infrastrutture critiche che tengano conto delle peculiarità del settore in cui operano. Per affrontare queste sfide, S&T è partner del progetto (flagship H2020) Finsec che coinvolge oltre 20 organismi tra istituti finanziari, enti di ricerca e aziende di sviluppo software. L’obiettivo ultimo di Finsec (da raggiungere nei prossimi 3 anni) è quello di creare un’architettura di riferimento per la sicurezza integrata cyber-fisica. Tale architettura dovrà consentire una preparazione tempestiva contro gli attacchi, puntando in particolare su approcci di tipo collaborativo tra gli istituti finanziari e contribuendo alla mitigazione del rischio nella supply chain finanziaria come mezzo per affrontare minacce complesse ed i loro effetti a catena.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4