Firma elettronica delle transazioni web: non solo compliance

Ancora nessun commento

Un articolo del: 21.11.14
Un articolo di: Deborah
Si parla di: compliance, elettronica, firma, transazioni, web

Come è noto, entro il 1° febbraio 2015 dovranno essere recepite le linee guida in tema di sicurezza dei pagamenti Internet che la Banca Centrale Europea ha introdotto lo scorso anno con il rapporto dal titolo “Recommendations for the security of Internet payments”. Nel mese di ottobre, fra l’altro, identiche linee guida sono state ribadite con un consultation paper anche dall’European Banking Authority, che, relativamente alla regolamentazione degli ambiti di propria competenza, ne ha fissato il termine di recepimento al 1° agosto 2015.
Tra le Raccomandazioni della Bce spiccano l’adozione di metodi di “autenticazione forte” (o strong authentication) per l’utente, da applicare nella fase di autenticazione e autorizzazione di una procedura di pagamento, e l’implementazione di sistemi di monitoraggio come ulteriore livello di protezione nella fase di autorizzazione e inoltro delle transazioni elettroniche.

La strong authentication non basta

Partiamo dal primo punto. La strong authentication è una pratica già molto diffusa nel panorama degli istituti di credito italiani, dove l’attenzione alla sicurezza è spinta verso l’alto non soltanto da necessità di compliance normativa ma anche dal ripetersi di attacchi informatici e dal rischio associato al crescente sviluppo dei canali mobile. Una recente indagine condotta da Abi Lab (Osservatorio sicurezza e frodi informatiche in banca – maggio 2014) ha infatti dimostrato che il 92% delle banche pone come obbligatorio l’utilizzo della strong authentication sui canali Internet Banking per la clientela retail e l’83% anche per quella corporate. L’86%, inoltre, rende disponibile la medesima soluzione anche per il canale mobile.
Ma se la strong authentication conferisce certezza sull’identità dell’utente nel momento in cui questo accede all’Internet Banking, non è ovviamente funzionale a intercettare gli attacchi effettuabili durante una sessione aperta. La questione non è di poco conto: sempre dall’indagine Abi Lab, infatti, emerge che il crimeware (il crimine informatico che si basa sull’uso di software malevoli) continua a essere il vettore di attacco maggiormente utilizzato e, in particolare, nel 2013 è decisamente aumentato il numero dei cosiddetti attacchi Man In The Browser, perpetrati appunto durante una sessione attiva aperta dal legittimo utente titolare (si tratta del 28% degli attacchi totali rilevati sul canale retail).
Quella del Man In the Browser, in sintesi, è una tecnica che si basa sulla compromissione dei Pc degli utenti, sui quali viene subdolamente installato un trojan che si attiva durante una transazione, ad esempio un bonifico, con la capacità di indirizzarlo verso un Iban diverso da quello disposto dall’utente, e senza che tale artificio risulti visibile né all’utente stesso né al server della banca. La pratica è attuabile allo stesso modo anche per altre transazioni, quali ricariche di cellulari o di carte di credito.

Serve un secondo step di sicurezza

E’ proprio al contrasto di questo tipo di situazioni, tornando alla nostra analisi, che vanno ricondotti i dettami della Bce relativi al secondo aspetto inizialmente citato, quello del monitoraggio in fase di autorizzazione e inoltro della transazione. Per le banche significa l’attivazione di un controllo sulla veridicità dei dati della transazione nel momento in cui vengono trasmessi dall’utente ai propri server, consentendo a questi ultimi di bloccare le transazioni non rispondenti ai parametri specificati dall’utente.
Ipotesi futuristica? Tutt’altro. Il mercato già offre soluzioni concepite proprio per attivare un secondo step di sicurezza, assieme a quello della strong authentication, e mettere gli utenti nella condizione di “vidimare” i dati di una transazione, consentendo ai server della banca di identificarli e di scegliere come proseguire: processandoli, se veritieri, o bloccandoli, se manipolati.

Parliamo di soluzioni di firma elettronica delle transazioni che combinano perfettamente i necessari parametri di sicurezza con quelli di usabilità, distinguendosi per la loro intuitiva possibilità di fruizione. Nelle forme più evolute, prevedono operazioni di firma “visiva”, dove i dati della transazione vengono criptati in QR code di nuova generazione che il cliente visualizza sullo schermo del suo dispositivo (tablet, smartphone o Pc) e in seguito cattura con un apposito reader dotato di videocamera – o addirittura mediante un’app installata sul proprio smartphone – ottenendo un codice di firma in mancanza del quale, o in presenza di una sua modifica, il server blocca la transazione.
Tutto ciò con consistenti vantaggi per le banche che scelgano di adottarle. Come spesso accade, infatti, dietro un vincolo normativo si cela un’opportunità: quella di accrescere la sicurezza delle procedure, di rafforzare la fiducia nell’utilizzo dei canali “virtuali” e di incrementare, conseguentemente, la fidelizzazione della clientela e la propria competitività sul mercato.

Lascia un commento Annulla risposta

ALTRI ARTICOLI

Il modello 730 precompilato versione 2024 diventa semplificato

Da domani sarà possibile accedere attraverso le proprie credenziali all’area riservata del sito dell’agenzia delle Entrate per consultare i dati messi a disposizione dal Fisco, che costituiranno l’ossatura del 730.

Leggi »

29 Aprile 2024

Con Opa Unipol sale a oltre il 94% di UnipolSai

Unipol è arrivata a detenere il 94% del capitale di UnipolSai.

Leggi »

29 Aprile 2024

E’ stato emanato il decreto per la compensazione del credito d’imposta

Su indicazione del ministro delle Imprese è stato emanato il decreto riguardante la compensazione dei crediti di imposta che definisce il contenuto e le modalità di invio dei modelli di comunicazione di dati e informazioni che le imprese devono fornire.

Leggi »

29 Aprile 2024