È sempre più efficace l’attività di difesa delle banche contro le frodi informatiche. Riguardo alle tipologie di attacchi, nel caso della clientela al dettaglio quasi la metà dei furti di identità avviene attraverso tecniche di phishing (truffa informatica effettuata inviando un’e-mail al cliente per carpire dati riservati come il numero di carta di credito e password di accesso al servizio di home banking), mentre nel caso delle imprese principalmente attraverso malware (codice malevolo che può essere diffuso attraverso programmi, documenti o messaggi di posta elettronica, in grado di rendere disponibili informazioni riservate e codici d’accesso al truffatore), a conferma di una specializzazione dei meccanismi di frode a seconda del tipo di clientela. Coinvolte, anche se in misura più limitata, anche le frodi che vedono il coinvolgimento del dispositivo mobile quando usato per ricevere gli SMS che autorizzano le operazioni di internet banking. Interessante notare che, nell’ambito delle attività di analisi della rete per l’identificazione dei siti web clone, migliaia di siti fraudolenti vengono ogni anno rilevati e bloccati. Il tema della sicurezza informatica si conferma una priorità dedicando una quota sempre maggiore di investimenti nelle misure di sicurezza digitale. Grazie alle azioni di contrasto e prevenzione da parte del settore bancario e a un’attenta attività di sensibilizzazione della clientela, cresce in ogni caso la fiducia da parte dei clienti nell’utilizzo dei servizi on line.
Dieci consigli per un home banking sicuro
1. Diffidare di qualsiasi messaggio, anche se apparentemente autentico, ricevuto tramite e-mail, sms, social network, etc. che ti invita a scaricare documenti o programmi in allegato. Potrebbero contenere dei malware che si installano sul tuo pc.
2. Diffidare di qualunque richiesta di dati relativi a carte di pagamento, chiavi di accesso all’home banking o altre informazioni personali ricevute su qualsiasi canale digitale (posta elettronica, sms, etc.).
3. Per connettersi al sito della propria banca, scrivere direttamente l’indirizzo nella barra di navigazione. Non cliccare su link presenti su e-mail e sms, che potrebbero invece condurti su siti contraffatti, molto simili all’originale.
4. Controllare regolarmente le movimentazioni del proprio conto corrente per assicurarsi che le transazioni riportate siano quelle realmente effettuate.
5. Verificare l’autenticità della connessione con la propria banca, controllando con attenzione il nome del sito nella barra di navigazione.
6. Durante la navigazione in internet, installare solo programmi di cui è possibile verificare la provenienza.
7. Installare e mantenere aggiornati software di protezione (antivirus e antispyware), ed effettuare delle scansioni periodiche del proprio hard disk.
8. Aggiornare costantemente sistema operativo e applicativi del computer, installando solo gli aggiornamenti ufficiali disponibili sui siti web delle aziende produttrici.
9. Fare attenzione a eventuali peggioramenti delle prestazioni generali (rallentamenti, apertura di finestre non richieste, ecc.) o a qualsiasi modifica improvvisa delle impostazioni di sistema, che possono indicare infezioni sospette.
10. Se si riscontrano problemi o anomalie nei servizi di home banking rivolgersi subito alla propria banca, che potrà dare informazioni utili.
Hanno partecipato all’inchiesta:
– Guido Uglietti (G.U.), Vicedirettore e Head of Management Office di PKB Privatbank
– Marco Molteni (M.M.), Membro di Direzione e Responsabile del Servizio sicurezza di Banca Stato
– Mattia Wolf (M.W.), Responsabile sicurezza BPS (Suisse)
– Anthony Glauser (A.G.), Responsabile Centro IT Ticino di Credit Suisse
– Fabio Cattaneo, Responsabile consulenza & supporto IT di Raiffeisen Svizzera
– Sede Svizzera italiana
1. Dal vostro osservatorio privilegiato quali sono nel vostro settore i più frequenti tentativi di violazione della sicurezza informatica?
G.U.: «PKB opera principalmente nel settore del wealth management, ambito nel quale la gestione della relazione con i Clienti è ancora basata sui canali d’interazione tradizionali che i nostri Clienti apprezzano. Se l’esperienza è high touch non manca l’high tech in quanto la tecnologia svolge un ruolo certamente strategico nelle attività di gestione e questo spiega i motivi per i quali PKB si è recentemente dotata di un rinnovato sistema informativo. Guardando al settore banche in genere, includendo anche quelle retail, sicuramente i pagamenti via Internet sono ritenuti i servizi più esposti ad attacchi informatici. Invece, nell’esperienza di PKB il canale e-banking, parlando di pagamenti online, si è dimostrato sicuro al punto che la Banca stessa ha deciso di promuovere attivamente iniziative per favorirne l’adozione tra i suoi Clienti. PKB consiglia l’utilizzo dell’e-banking dal momento che questo servizio offre anche un canale di comunicazione criptato e sicuro, funzionalità molto importante per il Cliente e per la Banca. Dal lancio del servizio non abbiamo registrato incidenti di sicurezza in questo ambito, ma sappiamo, dai report dagli osservatori specializzati e dalle informazioni dei nostri partner tecnologici, che il phishing e i maleware rappresentano le categorie d’incidente di sicurezza più frequenti.
M.M.: «Sono prevalentemente i classici. Ad esempio le mail contenenti virus Trojan, con il quale i malintenzionati sfruttano il PC dell’utente per carpire informazioni sensibili. L’invito è sempre lo stesso: non aprite mail “strane” e non cliccatene i link! Nel settore finanziario i malintenzionati utilizzano anche gli strumenti di quella che viene chiamata “ingegneria sociale”: si fingono per chi non sono, adducono scuse varie per chiedere dati sensibili dell’utente e le usano per derubarli. Vi è anche chi si finge un parente per addirittura farsi versare somme anche ingenti. Per questo motivo si sensibilizza sempre il cliente sul fatto che gli istituti finanziari non comunicano e non richiedono dati privati tramite mail o telefono. In ogni caso, di fronte a un qualsiasi dubbio, meglio alzare la cornetta e chiamare la propria banca. I criminali informatici tentano a volte anche attacchi diretti all’infrastruttura delle banche, ma la qualità delle contromisure fa sì che questi tentativi possano restare solo “tentativi”».
M.W.: «Si registrano ormai una serie considerevole di attacchi e il trend è in continua ascesa: molti di questi sono da considerare generici ma un gran numero sono decisamente mirati verso gli istituti finanziari, estremamente complessi e pericolosi se non adeguatamente contrastati. A tutto questo si aggiungono in maniera preponderante i tentativi che sfruttano il canale “sociale” e tra questi spiccano le truffe via email (il cosiddetto phishing) in cui si passa da tentativi relativamente semplici e talvolta maldestri sino a truffe molto ben architettate e difficili da smascherare. L’altra grossa categoria di attacchi riguarda invece quei messaggi apparentemente innocui e difficilmente bloccabili a priori dai sistemi di protezione che però contengono, ad esempio, un collegamento esterno da cui viene prelevata la componente virale vera e propria che serve per infettare o, come in molti casi nell’ultimo periodo, per cifrare tutti i dati dei sistemi in modo da poi poter richiedere un riscatto. Qui entra in gioco la sensibilità e la preparazione del singolo individuo che deve diffidare di contatti sconosciuti e totalmente inaspettati come avviene in questi casi».
A.G.. «In generale si può dire che l’elemento più a rischio in ambito informatico è l’essere umano. Basta un attimo di disattenzione, per esempio cliccando su un link in un messaggio e-mail che sembra provenire dalla banca, e si possono aprire le porte a eventuali truffatori. I pericoli maggiori arrivano proprio da tentativi di phishing mediante messaggi fraudolenti via e-mail che “dirottano” il cliente su falsi siti da cui accedere all’e-banking. Inoltre, spesso i truffatori contattano il clienti spacciandosi per la banca e chiedendo i codici di accesso. È imperativo sapere che la banca non chiede mai ai propri clienti di comunicare telefonicamente i codici di accesso né spedisce e-mail di questo tipo».
F.C.: «Solitamente i malintenzionati cercano di entrare in possesso dei dati di identificazione dei nostri clienti tramite i cosiddetti attacchi phishing. I cyber criminali inviano e-mail contraffatte nelle quali viene richiesto al cliente di inserire in un link appositamente creato, i codici d’accesso del proprio e-banking. Dopo aver acquisito queste informazioni registrano degli ordini di pagamento fraudolenti».
2. Quali misure avete adottato per combattere la pirateria e il rischio di truffe informatiche?
G.U.: «PKB profonde un costante impegno per fornire servizi bancari ad alto valore aggiunto con un adeguato livello di sicurezza informatica. Ad esempio, l’assenza d’incidenti di sicurezza in ambito e-banking non è frutto del caso, ma è il risultato di almeno due iniziative strategiche: prima iniziativa, l’adozione di un nuovo sistema informativo che ha portato in dote anche una soluzione di e-banking basata sui più moderni standard internazionali in termini di requisiti di sicurezza (es. ISO27001) e una rinnovata architettura tecnologica, seconda iniziativa, lo sviluppo di competenze specialistiche in ambito sicurezza informatica da parte dei collaboratori della Banca favoriti anche dalla collaborazione con società specializzate che forniscono servizi di assessment e consulenze in questo ambito.
La sicurezza informatica richiede, infatti, una costante azione di formazione di tutti i collaboratori che possono, in questo modo, trasferire attivamente ai Clienti nozioni e comportamenti fondamentali per la prevenzione degli incidenti di sicurezza.
Inoltre, anche se tra i fattori più importanti, ricordiamo tutti gli investimenti di adeguamento dei processi di gestione informatica, ICT Governance per gli addetti ai lavori, che hanno consentito d’irrobustire l’approccio della Banca tenendo in considerazione le buone pratiche e gli standard internazionali come ITIL e COBIT. Infine, non mancano gli investimenti in strumenti di monitoraggio e risposta attiva e la Banca sta anche valutando il ricorso a servizi di sorveglianza in tempo reale con la collaborazione di terze parti. Non dimentichiamo che PKB continua anche a revisionare e aggiornare il proprio sistema di controlli interni che costituisce un valido presidio organizzativo al fine di minimizzare i rischi operativi e quelli informatici.
M.M.: «La prevenzione passa innanzitutto dall’utilizzo di strumenti all’avanguardia che garantiscono alti standard di qualità: i prodotti online che offriamo sono solidi non solo dal punto di vista della costruzione ma anche da quella della gestione. BancaStato, come altri istituti, si avvale di Avaloq Sourcing Switzerland per i suoi servizi informatici; quest’ultima è un’azienda leader nel settore e offre ampie risorse e investimenti nell’ambito della sicurezza informatica. Ma il nostro Istituto ha stretto anche importanti collaborazioni con esperti indipendenti, che attestano la bontà del prodotto offerto al cliente. Sempre per il tramite di professionisti del settore eseguiamo periodicamente “attacchi” ben congegnati per individuare eventuali punti deboli e neutralizzarne la pericolosità. Sfruttiamo poi l’effetto rete di chi come noi lavora nel finanziario: lo scambio di informazioni è costante e si rivela molto prezioso».
M.W.: «Oltre alle usuali informative destinate a tutti i collaboratori, si è posta particolare importanza ad istituire un gruppo di specialisti che si occupano di gestire la “incident response” ovvero di tracciare e analizzare in dettaglio gli eventi accaduti alfine di ottenere una costante valutazione di impatti e contromisure da adottare. A questo si aggiunge l’utilizzo di soluzioni tecniche all’avanguardia e, altrettanto importante, il continuo stimolo di tutti i dipendenti a sviluppare una maggiore consapevolezza dei rischi diventando sempre più attenti e sospettosi verso tutto ciò che è sconosciuto. Una mia personale convinzione è quella che “avere un comportamento prudente aiuta sia sul posto di lavoro sia nella vita privata” ed è quindi importante che tutti, anche chi si considera meno competente, si sentano coinvolti e siano formati in quest’ambito».
A.G.. «La sicurezza e la protezione del sistema informatico rivestono una priorità assoluta per Credit Suisse. Di conseguenza investiamo molto nella prevenzione e restiamo costantemente aggiornati sull’evoluzione nel settore IT in modo da identificare tempestivamente nuove minacce e nel contempo combatterle in modo opportuno. In quest’ambito rientra anche l’informazione alla clientela su eventuali nuovi rischi che pubblichiamo regolarmente sul nostro sito nella sezione da cui si accede all’e-banking. Inoltre, stiamo sostituendo il sistema di accesso al nostro e-banking con una nuova procedura ancora più sicura».
F.C.: «Fino ad oggi Raiffeisen non è stata colpita da pirateria informatica. Per combattere le truffe informatiche da parte dei Cyber criminali, Raiffeisen ha allestito un ampio pacchetto di misure che vengono implementate sia a livello tecnico che organizzativo nonché a livello del personale.
3. Quali consigli vi sentite di rivolgere ai vostri Clienti per migliorare i servizi di home banking?
G.U.: «Nel wealth management l’e-banking rappresenta un canale di comunicazione sicuro con i Clienti per fornire informazioni strutturate sulla gestione del patrimonio affidato alla Banca. Nonostante questo rappresenti lo scopo principale, i Clienti, attraverso questo servizio, possono anche effettuare pagamenti e verificare tutte le operazioni completate.
È importante premettere che i nostri Clienti possono contare su un servizio di e-banking dotato di modalità di autenticazione forte (strong authentication) che si avvale di un token fisico o virtuale ovvero una App da installare sullo smartphone personale. Questo sistema di autenticazione è basato su un codice temporaneo (One Time Password, OTP) che in cooperazione con altri codici d’identificazione consente l’accesso al portale di home banking. Non tutte le banche adottato questo tipo di approccio anche se si registra ormai una certa convergenza in questa direzione. Questo presidio tecnico è molto importante e trasferisce ai Clienti un messaggio di fiducia.
PKB, nello spiegare i vantaggi della autenticazione forte, ricorda anche l’importanza della consultazione periodica delle informazioni e dei messaggi accedendo al servizio di e-banking. Personalmente ritengo che, se dovessi scegliere un solo consiglio da dare ai Clienti, anche la mia scelta personale ricadrebbe su questo monitoraggio. Vista l’importanza di questo controllo stiamo ampliando il nostro sistema di notifiche e stiamo valutando anche altri investimenti in ambito mobile. Infatti, senza dimenticare l’importanza fondamentale del contatto personale e della visita del Cliente in Banca, PKB tiene in costante considerazione il ruolo che la tecnologia può giocare nel facilitare le operazioni bancarie che i Clienti ci richiedono.
M.M.: «Per quanto riguarda l’e-banking occorre prima di tutto proteggere in maniera adeguata le informazioni con le quali ci si autentifica. L’ideale sarebbe imparare a memoria numero di utenza e password, così da non scriverle e renderle potenzialmente accessibili a terzi. BancaStato, come anche altre banche, mette anche a disposizione gratuitamente SafePlace, un software che fornisce ancora maggiore sicurezza dalle intrusioni esterne. Consigliamo anche di proteggere il PC con un buon firewall e anti-malware ed effettuare con regolarità gli aggiornamenti dei propri programmi. Sarebbe anche meglio pubblicare il meno possibile su Internet i propri dati personali, ad esempio indirizzo mail o numero di telefono: per i malintenzionati sono informazioni molto appetibili».
M.W.: «La fretta è da sempre una cattiva consigliera: per questo motivo suggerisco di fare in modo che quando si esegue il collegamento al proprio e-banking questo avvenga in un regime di tranquillità, senza interruzioni e sollecitazioni esterne: questi fattori diminuiscono sensibilmente la capacità di poter identificare e valutare criticamente qualsiasi anomalia che si presenta. A questo aggiungo che un ulteriore passo da seguire è quello di svolgere le proprie operazioni da postazioni o dispositivi mobili sempre aggiornati e muniti di quei sistemi di protezione usuali che sono ormai realmente indispensabili quando si è collegati ad internet».
M.W.: «La fretta è da sempre una cattiva consigliera: per questo motivo suggerisco di fare in modo che quando si esegue il collegamento al proprio e-banking questo avvenga in un regime di tranquillità, senza interruzioni e sollecitazioni esterne: questi fattori diminuiscono sensibilmente la capacità di poter identificare e valutare criticamente qualsiasi anomalia che si presenta. A questo aggiungo che un ulteriore passo da seguire è quello di svolgere le proprie operazioni da postazioni o dispositivi mobili sempre aggiornati e muniti di quei sistemi di protezione usuali che sono ormai realmente indispensabili quando si è collegati ad internet».
A.G.. «I vostri 10 consigli sono molto utili e dovrebbero essere adottati da tutti coloro che utilizzano i servizi di e-banking. Aggiungerei di prestare particolare attenzione anche al proprio network di casa, ossia alla sicurezza della connessione wireless che permette di collegare diversi dispositivi alla rete di casa, dai telefoni cellulari, alla televisione e alle consolle di giochi. È fondamentale cambiare sia il nome del network, sia la password dell’amministratore che viene fornita insieme al router, inserendone una complessa, non facilmente intuibile. Inoltre, se non già fatto, occorre disabilitare la possibilità di connettersi automaticamente alla propria rete wireless senza password. Consiglio inoltre, sia ai privati, sia alle aziende di consultare regolarmente il sito della Confederazione, ossia la Centrale di annuncio e di analisi per la sicurezza dell’informazione MELANI che riporta regolarmente nuove minacce informatiche e come proteggersi da esse».
F.C.: «Offriamo ai clienti Raiffeisen metodi moderni per accedere al nostro e-banking. Il login tramite photoTAN presenta un elevato grado di sicurezza. Altre funzioni permettono al cliente di essere avvertito in caso di transazioni particolari. Oltre a tutto ciò, consigliamo ai nostri clienti di trattare con la massima attenzione le password come pure di tenere costantemente aggiornate le varie componenti del proprio strumento informatico: il browser, i software di sicurezza ed i sistemi operativi. Questo permette di evitare falle nel sistema di sicurezza.
4. In generale, ritenete che le norme internazionali che regolano il settore siano adeguate e quali altre misure vorreste che fossero adottate?
G.U.: «In questo momento l’attenzione della FINMA in ambito sicurezza informatica è alta al punto che è stato già annunciato alle banche che la Circolare 2008/21 verrà aggiornata nel corso del 2017 proprio con un focus su questo ambito.
La crescente attenzione del regulator segue anche le linee di tendenza internazionali. Se guardiamo al contesto a noi più vicino, ovvero quello europeo, già nel corso di gennaio 2013 la Banca Centrale Europea aveva emanato delle raccomandazioni per la sicurezza dei pagamenti via Internet fornendo 14 ambiti di raccomandazione. Queste linee guida sono state successivamente fatte proprie anche dall’ABE (Autorità Bancaria Europea) che ha reso questi requisiti obbligatori per le banche europee attraverso le iniziative di coordinamento e verifica degli organismi di vigilanza bancaria europei.
Il dialogo con il regulator, anche attraverso i nostri revisori esterni, è molto importante per garantire sempre un adeguato livello di sicurezza ai Clienti senza precludere la facilità di utilizzo dei servizi. In tal senso è importante che la normativa emerga dopo attenta consultazione di tutti gli stakeholder coinvolti lasciando aperta la strada ad approcci adattativi che consentano l’adozione di presidi di sicurezza variabili al crescere (es. autenticazione forte ripetuta per bonifici d’importo rilevante) o al decrescere (es. acquisto di titoli) della rischiosità delle operazioni richieste.
M.M.: «Il settore informatico ha vissuto in pochi anni molte rivoluzioni tecnologiche e le norme sono state adattate alle nuove esigenze di sicurezza. Credo che attualmente, almeno in Svizzera, vi sia una legislazione adeguata; legislazione che in futuro dovrà poter seguire i cambiamenti tecnologici e continuare a fornire agli operatori del settore le corrette risorse contro i criminali informatici».
M.W.: «Il quadro normativo di riferimento a livello Svizzero ed Europeo è importante ed in continua evoluzione. Da parte nostra vengono sicuramente fatti tutti i passi necessari per conformarsi con le norme ma questo può non bastare, internet è dappertutto ed è necessario fare qualcosa in più. Ritengo che tutto, ancora una volta, ruoti intorno alle persone, all’utilizzatore finale del servizio: mi piacerebbe quindi che diventi normale affrontare queste tematiche, e soprattutto la questione dei rischi, con i nostri ragazzi già nelle scuole in modo da fornire loro i mezzi e la consapevolezza che internet è un mezzo fantastico e valido con cui confrontarsi ma è necessario conoscere sufficientemente bene i rischi legati al suo utilizzo. L’ignoranza, come sempre, rischia di costare molto cara».
A.G.. «Molto è stato fatto in passato per meglio regolamentare il settore e incrementare la collaborazione a livello internazionale in caso di frodi informatiche. Occorre tuttavia tenere presente che sia il settore informatico, sia le relative frodi e i tentativi di eludere nuove regolamentazioni si evolvono costantemente. Non è quindi facile tenere il passo e notoriamente l’implementazione di nuove norme, soprattutto a livello internazionale, è un processo politico che richiede tempo».
F.C.: «Gli standard internazionali sono una linea guida molto utile; di conseguenza, Raiffeisen si orienta fortemente su di essi. Bisogna però dire che gli standard e le normative regolamentari, faticano a tenere il passo con la realtà. Per questo motivo Raiffeisen valuta regolarmente i rischi e, dove necessario, intraprende misure che vanno oltre gli standard e le normative regolamentari.
