Tra PSD2, GDPR e NIS, PCI DSS e CSP il settore finanziario è estremamente regolamentato, eppure secondo ABI Lab nel 2017, mette in guardia Stormshield, gli investimenti in sicurezza informatica di banche e istituti finanziari sono stati superati da iniziative di mobile e digital payment, dematerializzazione di processi e documenti e progetti per il potenziamento delle infrastrutture tecnologiche. Un vero paradosso.
Non stupisce quindi che lo scorso febbraio, diversi istituti finanziari olandesi abbiano annunciato di essere stati oggetto di un attacco di tipo denial of service (DDoS) distribuito che ha paralizzato la maggior parte dei loro servizi bancari.
Allo stesso tempo, un rapporto pubblicato dalla Banca centrale russa ha rivelato che dal 2016 gli hacker avevano rubato quasi 5 milioni di euro utilizzando la rete di comunicazione interbancaria Swift, peraltro oggetto di ri-regolamentazione.
A fronte di una situazione di rischio molto elevata, spiega Stormshield, anche nel nostro Paese il settore finanziario rientra nella categoria di servizi essenziali per la nazione come da direttiva UE 2016/1148 nota con l'acronimo NIS, approvata in via preliminare dal Consiglio dei Ministri italiano l'otto febbraio scorso e poi ratificata definitivamente.
Gli hacker, continua l'azienda, sembrano essere infinitamente creativi e i loro metodi variano continuamente. Il "jackpotting", ad esempio, consente di svuotare gli sportelli bancomat con solo una chiave USB e un computer. Un metodo che, applicato su otto bancomat di due banche russe nel 2017 ha fruttato in una sola un bottino stimato di 800.000 dollari.
Gli sportelli automatici possono anche essere il bersaglio di malware). I più famosi, come Alice e Ripper, possono essere installati sulla rete a cui è connessa la macchina o direttamente sul suo sistema operativo tramite una porta USB. Il noto gruppo di criminali informatici Cobalt ha sottratto dal 2013 ad oggi una quantità sconosciuta di fondi da una dozzina di Paesi europei con questo metodo.
Un altro metodo, ancora oggi utilizzato, sono gli skimmer, imitazioni fisiche del lettore di carte degli ATM, che però copiano le informazioni presenti sulle carte bancarie degli utenti per poi clonarle.
Normative standard per proteggere il settore bancario
A conseguenza di questo la regolamentazione legislativa è stata rafforzata per far fronte alle crescenti minacce. Tre le direttive significative per l'intero comparto, segnala Stormshield, vi sono:
- la seconda direttiva sui sistemi di pagamento digitali (PSD2) entrata in vigore in Italia il 13 gennaio scorso.
- il regolamento europeo sulla protezione dei dati (GDPR), che istituisce i requisiti di sicurezza per le imprese, che entrerà in vigore questo mese.
- la direttiva sulla sicurezza delle reti e dell'informazione (NIS) dell'Unione europea, che impone agli Stati membri di istituire autorità nazionali competenti in materia di sicurezza informatica e di rafforzare la sicurezza degli operatori che erogano servizi essenziali.
Ma non basta, lo standard PCI DSS (Payment Card Industry Data Security Standard) e il Customer Security Program (CSP) supportato di Swift, ancora in lavorazione, sono affiancati da iniziative "opportunistiche" come FIDO (Fast Identity Online), un forte protocollo di autenticazione per i pagamenti online supportato da grandi aziende (Google, Microsoft, Amazon, Samsung, Lenovo, Gemalto, ecc.) intenzionate a farne lo standard per i pagamenti digitali prima della diffusione su larga scala di PSD2 in Europa.
In un settore estremamente regolamentato come quello finanziario, uno studio condotto da Accenture Security, riporta Stormshield, nel 2016 ha rivelato che quasi il 10% dei budget IT era dedicato alla sicurezza informatica.
Un argomento che in Italia, secondo ABI Lab, occupava nel 2017 la quarta posizione, scavalcato da investimenti in iniziative di mobile e digital payment, di dematerializzazione di processi e documenti e progetti per il potenziamento delle infrastrutture tecnologiche.
Un quadro che si riflette un deficit di competenze interne, sia in termini di gestione della sicurezza delle applicazioni sensibili o dei dati dei clienti, sia di conduzione di attività di sensibilizzazione e formazione interna.