Come ogni software anche le piattaforme di trading possono contenere delle vulnerabilità e gli esperti di Kaspersky hanno stilato un breve vademecum sulla sicurezza fintech Nel 2018, l’esperto di sicurezza informatica Alejandro Hernandez ha riscontrato delle falle in 79 applicazioni, tra cui il mancato uso della cifratura per custodire o trasmettere dati (chiunque potrebbe vederli o modificarli) e la mancata disconnessione dei profili degli utenti dopo un periodo di inattività. I difetti a livello di progettazione includevano la possibilità di utilizzare password deboli.

Un anno dopo, gli esperti di ImmuniWeb hanno condotto ricerche simili e hanno raggiunto una conclusione altrettanto negativa: dei 100 prodotti di sviluppo fintech testati, tutti erano in una certa misura vulnerabili. I problemi sono stati riscontrati sia nelle applicazioni web che in quelle mobili, con molti bug ereditati da sviluppi di terze parti e dai tool impiegati dai programmatori. Per alcune vulnerabilità, le patch esistevano da tempo ma non erano state applicate. Una di queste patch è stata rilasciata nel 2012, ma gli autori dell’applicazione fintech non l’hanno mai installata.

Inevitabilmente, se un prodotto riscontra problemi di sicurezza, si farà notare, danneggiando potenzialmente la reputazione delle aziende e scoraggiando i clienti. E se, a causa di un bug in un’app, gli utenti subiscono una perdita di dati o di denaro, lo sviluppatore potrebbe incorrere in una grossa multa o essere costretto a pagare i danni.

A volte, il creatore di una piattaforma è l’unico a rimetterci. Per esempio, gli autori dell’app di trading Robinhood non sono riusciti a individuare un bug che permetteva agli utenti premium di prendere in prestito fondi illimitati dalla piattaforma per scambiare azioni, e un utente ha preso in prestito un milione di dollari a fronte di un anticipo di soli 4 mila dollari. I trader l’hanno soprannominato il “codice truffa del denaro illimitato”.

Per evitare perdite associate a bug e vulnerabilità, chi si occupa della programmazione di una piattaforma di trading deve dare la giusta importanza alla sicurezza nella fase di sviluppo, pensando in anticipo a situazioni come il logout automatico dell’utente, la cifratura e l’impossibilità di servirsi di password deboli. Dovrebbero anche rivedere regolarmente il codice alla ricerca di errori e correggerli prontamente.

Attacchi alla supply chain

Per risparmiare tempo e denaro, la maggior parte delle aziende non solo scrive il proprio codice, ma si avvale anche di sviluppi, framework e servizi di terze parti. Se l’infrastruttura di un fornitore è compromessa, anche le aziende che la utilizzano possono risentirne.

È quello che è successo al broker di valute Pepperstone, ad esempio. Nell’agosto del 2020, i criminali informatici hanno infettato i computer di un’azienda contractor, ottenendo l’accesso al suo account nel sistema CRM di Pepperstone. Sebbene l’effrazione sia stata rapidamente neutralizzata, i cybercriminali sono comunque riusciti a rubare alcuni dati dei clienti. Il broker afferma che i suoi sistemi finanziari e di trading non sono stati colpiti. Ciononostante, ricorda che le fughe di dati possono essere molto costose per le aziende, anche quando la colpa è del codice di terze parti.

Per evitare potenziali problemi, scegliete sempre partner affidabili e attenti alla sicurezza, e non affidatevi solamente ai meccanismi di protezione che offrono. Qualsiasi azienda nel campo della finanza dovrebbe adottare una politica di sicurezza rigorosa.

retail

Spear phishing

Il fattore umano è spesso causa di incidenti informatici. Ecco perché i cybercriminali si servono dei dipendenti di un’azienda per infiltrarsi nell’infrastruttura.

In questo contesto, nel luglio di quest’anno, i ricercatori di sicurezza informatica hanno collegato al gruppo APT Evilnum una serie di attacchi contro istituzioni fintech nell’UE, nel Regno Unito, in Canada e in Australia. I cybercriminali hanno inviato delle e-mail ai dipendenti dell’azienda con un link a un file ZIP che si trovava su un servizio su cloud legittimo. I messaggi sembravano essere della normale corrispondenza commerciale e nel file apparentemente c’erano documenti o immagini. Sebbene il documento o l’immagine promessa comparisse sullo schermo, all’apertura del file si metteva in moto la catena di infezione.

A volte i criminali informatici si introducono negli account di posta elettronica aziendali, il che rende il loro phishing ancora più convincente. Nell’agosto di quest’anno, un attacco di questo tipo ha colpito la compagnia di trading Virtu. Secondo i rappresentanti dell’azienda, i cybercriminali sono entrati nella casella e-mail di un top manager e hanno passato le due settimane successive a inviare e-mail al reparto contabilità con le istruzioni per il trasferimento di grandi somme di denaro in Cina. La fiducia cieca è costata all’azienda quasi 11 milioni di dollari.

Per respingere tali attacchi, il personale che si occupa della sicurezza informatica ha bisogno di una formazione adeguata. Elaborate un elenco di segnali sospetti di phishing nelle e-mail e usatelo per organizzare una linea d’azione nel caso in cui un collega, un partner o un cliente vi chieda (o sembri chiedervi) di inviare un paio di milioni, o anche un po’ meno, a un certo signor Rossi.

Problemi causati dal cliente

A volte gli utenti perdono il proprio denaro senza che la vostra azienda o la vostra app abbia alcuna responsabilità, scaricando malware, inserendo password su siti di phishing o agendo in modo irresponsabile. Anche in questo caso, gli utenti possono avanzare pretese contro la piattaforma di trading. In alcuni paesi, le aziende sono legalmente obbligate almeno a capire cosa sia successo, quindi vale la pena di avvertire di tanto in tanto i trader sui potenziali pericoli e di esortarli a proteggersi (e, per estensione, parliamo anche di voi).

È una buona idea ricordare periodicamente ai clienti che qualsiasi software di terze parti, soprattutto se pirata o ottenuto da fonti dubbie, può rappresentare una minaccia. Ad esempio, potrebbe rubare le password, comprese quelle degli account di trading.

Avvertire i clienti che i criminali informatici potrebbero farsi passare per il servizio che offrite per ottenere le loro credenziali. Consigliate loro di prestare molta attenzione alle e-mail sui problemi relativi al servizio e di controllare attentamente l’indirizzo del mittente e il messaggio per verificare la presenza di errori di battitura e scritti utilizzando una sintassi non corretta. Consigliate loro di digitare a mano l’URL nel browser, di aprire l’applicazione o di chiamare l’assistenza clienti in caso di dubbi.

Come proteggere soldi e reputazione

La gestione del denaro comporta una grande responsabilità, e trascurare la sicurezza può costare caro alle aziende fintech. Pertanto Kaspersky consiglia di:

  • Monitorare il livello di sicurezza delle vostre applicazioni e dei vostri programmi. Analizzateli alla ricerca di vulnerabilità e mostrate una tolleranza zero per bug ed errori
  • Installare una soluzione di sicurezza affidabile sui dispositivi di lavoro; l’ideale sarebbe una soluzione su cloud e gestita attraverso un unico pannello di controllo
  • Istruire i dipendenti in merito ai fondamenti della sicurezza informatica, affinché non commettano errori che costino denaro e stress a voi e ai vostri clienti
  • Avvalersi di una politica di sicurezza rigorosa che riguardi i dipendenti e i fornitori esterni
  • Ricordare ai clienti che la sicurezza del loro denaro dipende in gran parte dalle proprie azioni. Consigliare loro di installare una soluzione di sicurezza sul dispositivo che usano per il trading e di mantenerlo pulito da altri elementi di disturbo
  • Implementare meccanismi di sicurezza nei vostri prodotti a partire dal primo giorno. Ciò significa vietare l’uso di password deboli, utilizzare la cifratura e promuovere il logout automatico degli utenti inattivi.