Uniti contro il cyber crime
di Flavio Padovan
-
23 Maggio 2019
Nel 2018 il numero di attacchi informatici alle banche andati a buon fine è diminuito del 3%, ma è salito l'impatto economico, con una perdita del 3,2%. Mario Trinchera del CertFin analizza i dati del Rapporto “Sicurezza e frodi informatiche in banca”, presentati a Banche e Sicurezza. Uno scenario di rischio sempre più complesso, ma che è possibile contrastare con efficacia. Puntando ad accrescere la consapevolezza dei clienti e la collaborazione tra tutti gli attori, anche di settori differenti. Come dimostra la soluzione individuata insieme da banche e Telco contro una delle frodi più pericolose per il segmento mobile, quella chiamata “Sim swap”, che pone l'Italia all'avanguardia in questo campo ...
Nel 2018 i tentativi di frode andati a buon fine, che hanno cioè causato perdite effettive, sono calati del 3%. Contemporaneamente, però, il danno economico causato dagli stessi attacchi in Italia è aumentato del 3,2% rispetto all'anno precedente, dato questo che fornisce un’indicazione precisa: ci sono meno attacchi ma quando colpiscono provocano mediamente danni maggiori. Il target principale sono sempre più le aziende mentre, al contrario, la clientela retail si dimostra meno vulnerabile (l'impatto economico nel segmento retail è sceso del 30%). Queste le prime evidenze del
Rapporto “Sicurezza e frodi informatiche in banca” che il CertFin – Cert Finanziario Italiano – ha presentato a Milano in occasione del convegno Banche e Sicurezza (21 e 22 maggio presso il Centro Bezzi) –
Qui lo Speciale di Bancaforte.
Abbiamo incontrato Mario Trinchera, Technical Coordinator del CertFin, per fare il punto sulle tendenze di un'area di rischio diventata prioritaria con la trasformazione digitale del mondo finanziario e sulle contromisure da adottare per minimizzarne gli impatti e la pericolosità.
“L'awareness, la consapevolezza dei rischi – spiega Trinchera - è un passo fondamentale per affrontare il nuovo scenario digitale. Il CertFin, iniziativa pubblico-privato guidata da ABI e Banca d’Italia per innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari, è fortemente impegnato su questo fronte e le iniziative rivolte agli utenti finali cominciano a dare risultati concreti, come dimostra il 30% in meno di successo degli attacchi portati alla clientela privata. Le mail potenzialmente pericolose che solo 3 anni fa sarebbero state aperte senza preoccupazione, ora il cliente riesce ad individuarle grazie alle nuove competenze acquisite e a rendersi così più impermeabile a questo tipo di attacchi. Un processo di formazione e consapevolezza che va ovviamente portato avanti, perché comunque il cliente finale rimane l'anello debole della catena della sicurezza. Ed è per questo che stiamo per lanciare una nuova campagna di comunicazione, che quest'anno è rivolta in particolare a sensibilizzare sulle buone pratiche da adottare per un utilizzo sicuro dei sistemi di pagamento digitali”
Come è articolata?
“OcchioalClic, questo il nome dell'iniziativa presentata a Banche e Sicurezza, sarà veicolata sui principali quotidiani nazionali e tramite social e banner on line, che mettiamo a disposizione anche delle banche in modo che possano utilizzarli sui propri siti, dando così una diffusione capillare alla campagna. L'obiettivo è far capire che, così come il mondo reale che ci circonda, anche il mondo virtuale non è esente da qualche insidia, se non si presta attenzione. E che quindi è necessario essere informati sui temi della sicurezza informatica e seguire alcune semplici regole quando si effettuano operazioni online. Sul sito del CertFin abbiamo realizzato una sezione dedicata a OcchioalClic dove è possibile trovare, oltre ad informazioni dettagliate e aggiornate sulle più frequenti frodi attuate in campo finanziario, anche suggerimenti per navigare e acquistare in modo sicuro. Perché il cliente deve avere consapevolezza che, utilizzando sempre di più pc e smartphone, una parte importante della sicurezza dipende dai suoi comportamenti. Ad esempio deve cambiare periodicamente la password dell’email, dei social network, dell’internet banking e dei siti per gli acquisti online; aprire le email provenienti solo da indirizzi noti; accedere a Internet solo dal proprio computer; istallare o aggiornare l’antivirus; contenere la diffusione delle informazioni personali online e usare password diverse per siti diversi. Ovviamente l'impegno più rilevante per contrastare il cyber crime è a carico del mondo finanziario e delle istituzioni, che stanno investendo risorse ingenti e attuando strategie efficaci basate sulla collaborazione e lo scambio di informazioni ed esperienze. Ottenendo risultati importanti”.
Un esempio?
“In tema di sicurezza delle transazioni effettuate da dispositivi mobile, abbiamo appena individuato in Italia, primi al mondo, una contromisura tecnica utile a contrastare una delle frodi più pericolose, quella basata sulla modalità dello “Sim swap”. Un fenomeno preoccupante: il 90% delle banche italiane ha infatti subito tentativi di frode di questo tipo e il 40% ha dichiarato danni effettivi. Una modalità di attacco che ha dimensioni non solo nazionali, ma mondiali”.
Come avviene?
“Il frodatore, una volta che è entrato in possesso delle credenziali della vittima e del suo numero di telefono, ha bisogno solo di un altro elemento per poter agire: il codice Otp che molte banche inviano tramite Sms prima delle transazioni. Per ottenerlo, chiede all'operatore Telco di bloccare la Sim della vittima fingendo lo smarrimento del cellulare e immediatamente dopo va dal dealer con i documenti falsi della vittima e se ne fa rilasciare una nuova. Da quel momento è completamente padrone della situazione e può effettuare tutte le operazioni che vuole”
In che modo si può contrastare questa frode?
“La contromisura è stata individuata grazie a un tavolo di lavoro costituito da CertFin, banche e operatori delle telecomunicazioni. Ora è al vaglio di AGCOM, che riteniamo possa approvarla in tempi rapidi dando il via a una prima sperimentazione. La proposta è semplice, al di là di alcune complessità puramente tecniche ma che sono superabili: consentire alle banche di verificare se la Sim da cui arriva la richiesta di Otp sia cambiata rispetto a quella precedentemente registrata. Siamo ottimisti perché il 90% di banche e Telco sono favorevoli ad adottare questa soluzione”.
Quali sono le aree operative presidiate dal CertFin?
“Abbiamo diversi tavoli di lavoro consolidati, quelli su Cyber Security, Emergency Response Center, e Infosharing. A questi se ne stanno affiancando altri relativi a temi importanti quali Cyber and Threat Intelligence e Awareness. Il nostro approccio è da sempre quello del confronto continuo e dello scambio di esperienze con operatori ed esperti, anche di altri settori, e con la community internazionale, perché la resilence al cyber crime si riesce a innalzare solo con la cooperazione”.
A quali progetti state lavorando a livello internazionale?
“Partecipiamo a 11 tavoli internazionali e attualmente abbiamo in corso di svolgimento 3 progetti europei. Quello di punta a livello europeo è REDFin - Readiness Enhancement to Defend Financial Sector, di cui siamo capofila. Il suo obiettivo è definire modelli operativi e metodologie per identificare scenari di minacce e verificare l'efficacia dei processi difensivi posti in essere dal mondo finanziario. A Banche e Sicurezza è stato analizzato il primo rapporto che abbiamo realizzato, centrato in particolare sulle metodologie Cyber Table - Top e Red Teaming. Un lavoro che servirà a definire insieme a Banca d'Italia le linee guida per rafforzare i livelli di resilienza del settore finanziario. Altre due iniziative europee di particolare rilievo a cui stiamo collaborando sono eIB e CyberSec4EU. La prima, legata al regolamento eIDAS, è rivolta alla realizzazione di una piattaforma di marketplace in cui gli utenti possono interagire venendo identificati digitalmente da remoto. La seconda è un progetto di ampio respiro che coinvolge 44 operatori di 21 Paesi membri. La parte che stiamo seguendo riguarda l'open banking e in particolare l'individuazione dei requisiti minimi per la sicurezza delle infrastrutture utilizzate in questo campo”.