I ricercatori della piattaforma di security testing ImmuniWeb hanno messo alla prova le applicazioni di web banking delle principali 100 banche mondiali elencate da S&P Global, e l’esito non è tranquillizzante per i loro clienti: 85 non superano il test di conformità del GDPR, il Regolamento europeo per la Data Protection, 25 non sono protette da un web application firewall (WAF), e 7 contengono vulnerabilità note e sfruttabili dagli hacker. Quanto alle app di mobile banking, ben 20 su 100 contengono almeno una vulnerabilità di sicurezza ad alto rischio.

Più in dettaglio, ImmuniWeb è la piattaforma di security testing e rating basata su Artificial Intelligence della società svizzera High-Tech Bridge, e i suoi ricercatori hanno analizzato i 100 siti web principali, 2366 subdomini, 102 applicazioni di web banking, 55 app di mobile banking e relative 298 backend API appunto delle banche Top 100 di S&P Global, tra le quali tre sono italiane: Unicredit, Intesa Sanpaolo, e CDP-Cassa Depositi e Prestiti.

Questi asset digitali sono stati sottoposti a test di SSL Security, Website Security, Mobile App Security, e Phishing Test, oltre a test di conformità agli articoli 5, 6, 7, 25, 32 e 35 del GDPR.

Oltre alle conclusioni già richiamate, ImmuniWeb evidenzia per esempio che 49 delle applicazioni di web banking non hanno superato il test di conformità allo standard PCI DSS, obbligatorio per chi gestisce transazioni basate su carte di pagamento. Inoltre il 92% delle app di mobile banking contiene almeno una vulnerabilità con livello di rischio medio, e tutte le banche hanno vulnerabilità di sicurezza dovute a subdomini dimenticati, cioè non attivamente gestiti. Soltanto tre banche hanno ottenuto per i loro siti web il massimo voto (A+) sia per la sicurezza del sito che per la crittografia SSL: Credit Suisse, Danske Bank, e Handelsbanken (Svezia).

“Questi risultati evidenziano per le banche l’urgenza di rivedere e migliorare rapidamente i loro approcci di application security, ha dichiarato il CEO e fondatore di ImmuniWeb, Ilya Kolochenko, suggerendo quattro priorità: considerare l’implementazione della metodologia CARTA (Continuous Adaptive Risk and Trust Assessment) di Gartner, mantenere un inventario completo e continuamente aggiornato degli asset che compongono il proprio perimetro esterno attaccabile, monitorare continuamente la sicurezza di tale perimetro man mano che si implementano nuove applicazioni e funzionalità, e considerare di adottare anche tecnologie di AI e Machine Learning per le attività più routinarie di tale monitoraggio.

I risultati principali della ricerca di ImmunoWeb sono stati evidenziati anche da un comunicato di Federprivacy. Quello della privacy online non è un tema da considerare solo per evitare le sanzioni introdotte dal GDPR, ma anche perché un pieno sviluppo del mercato digitale richiede un diffuso clima di fiducia nel web, dichiara nel comunicato il presidente di Federprivacy, Nicola Bernardi: “Oggi le persone possono svolgere dal proprio pc o smartphone molte operazioni che in passato richiedevano spesso lunghe file presso sportelli e uffici. D’altra parte, gli utenti hanno bisogno di capire di quali siti web possono veramente fidarsi, specialmente se devono fornire i loro dati per effettuare pagamenti online. Non è quindi un caso che la maggior parte delle richieste per ottenere il marchio “Privacy Ok” ci stiano pervenendo dal mondo finanziario, e sono oltre trenta i siti e le app di banche e istituti di credito che dovremo esaminare nei prossimi mesi per valutare quali sono idonei per ottenerlo”.

Il marchio “Privacy Ok” viene rilasciato ad aziende ed enti che aderiscono ad uno specifico codice di condotta, assumendosi l’impegno vincolante di rispettarne tutte le regole. Federprivacy ha affidato il processo di valutazione a TÜV Italia per assicurarne l’imparzialità.