I rischi legati alle nuove normative bancarie PSD2 e all’Open Banking
Le nuove normative europee in materia bancaria potrebbero generare un’ondata di attacchi cyber e a rischio sarebbero sia le aziende che gli utenti. A rivelarlo è l’ultima ricerca Trend Micro dal titolo Ready or Not for PSD2: The Risks of Open Banking. Lo studio approfondisce l’impatto della revisione della Direttiva europea sui servizi di pagamento (PSD2), progettata per consentire agli utenti un controllo maggiore sui propri dati finanziari e la possibilità di condividerli con aziende FinTech innovative, abilitando il cosiddetto Open Banking.
La ricerca mette in luce diversi possibili scenari di attacco, che potrebbero diventare realtà grazie alle nuove regole:
- Attacchi alle API: le API (Application Programming Interface) pubbliche sono il cuore dell’Open Banking e abilitano le aziende ad accedere ai dati bancari degli utenti, per fornire i nuovi servizi finanziari. Difetti di implementazione all’interno delle API consentirebbero di sfruttare i server back-end per rubare i dati
- Attacchi alle aziende FinTech: gli utenti instaureranno relazioni di fiducia con provider che potrebbero avere meno risorse, rispetto alle proprie banche, e nessun protocollo di protezione dati. Durante un’indagine sulle aziende FinTech di Open Banking, Trend Micro ha scoperto che hanno in media una ventina di impiegati e nessun professionista dedicato alla security. Caratteristiche che le rendono il target ideale per gli attacchi e sollevano dubbi su eventuali gap di security nelle applicazioni mobile, nelle API, nelle tecniche di condivisione dati e nei moduli di security, che potrebbero essere implementati in maniera non corretta
- Attacchi alle applicazioni o alle piattaforme mobile: la maggior parte dei servizi di Open Banking saranno installati come app mobile, rendendoli un target per i cybercriminali. Entrando in possesso di dati come username, password o altre chiavi, gli attaccanti sarebbero in grado di agire come se fossero l’utente reale
- Attacchi agli utenti: le nuove app di Open Banking diventeranno il canale primario per accedere ai servizi e ai dati finanziari. Questo potrebbe generare un aumento degli attacchi di phishing
“Il settore finanziario ha sempre rappresentato un target primario per i cyber criminali. La PSD2 e l’Open Banking rischiano di offrire ancora più opportunità per sottrarre informazioni sensibili personali e finanziarie” ha affermato Ed Cabrera, chief cybersecurity officer for Trend Micro. “La nostra preoccupazione è che il settore possa non essere del tutto preparato per affrontare questi nuovi rischi. Ecco perché vogliamo capire quali potrebbero essere le nuove possibilità di attacco e aiutare le aziende FinTech e tradizionali a proteggere i propri asset”.
Per essere pronti in uno scenario in perenne cambiamento, le istituzioni finanziarie devono migliorare la loro cyber resilienza. Questo include che le informazioni sensibili non debbano mai essere inserite negli URL ad esempio, così come mettere al primo posto la sicurezza dei protocolli ed eliminare pratiche rischiose. Nel frattempo, gli sviluppatori e i proprietari delle app di Open Banking devono adottare un approccio security-by-design, che includa controlli regolari del software.