L’utilizzo dei sistemi di pagamento elettronico è una prassi comune ed estremamente diffusa in molteplici situazioni: eseguendo le varie operazioni economiche e finanziarie disponibili con una banca on-line, utilizzando carte di credito o di debito come strumento di pagamento.

Le minacce che incombono sui sistemi di pagamento elettronico sono mirate alla frode economica e la loro pratica e diffusione è un fatto consolidato nel mondo del crimine organizzato e non dà segni di recessione nemmeno in periodi di crisi economica globale che non sembra avere ostacolato l’economia sommersa o il crimine informatico (cyber crime) verso i servizi finanziari. A titolo d’esempio nel 2009 il settore finanziario è stato nuovamente il più colpito dagli attacchi di phishing nelle transazioni economiche on-line, con il 74% dei marchi colpiti da questo fenomeno. Al secondo posto ci sono gli Internet service provider, con solo il 9%, il che indica che il phishing a danno dei gestori di servizi finanziari rimane sempre redditizio per gli aggressori.

Le tendenze del crimine informatico a danno dei servizi finanziari evidenziano il notevole aumento del numero di nuovi programmi maligni (malware) agevolato dal facile reperimento nel mercato underground (anche per soli 700 USD) di kit per lo sviluppo di loro varianti, associato alla costante tendenza degli attacchi basati sul web (vettore di attacco preferito dagli hacker) che utilizzano tecniche di social engineering, quali lo spam e il phising, per attirare l’utente in un sito che sfrutta le vulnerabilità di browser e plug-in per installare codici maligni (programmi spia – Trojan, Keylogger) o software di sicurezza contraffatto, sul computer della vittima per acquisirne il controllo. Creando in questo modo gruppi di pc infetti, detti botnet, governati remotamente dal crimine organizzato.

Le modalità di attacco sono quindi articolate e in generale rivolte principalmente al furto delle informazioni personali (credenziali di accesso; numeri di carte di credito; qualsiasi informazione riservata facilmente monetizzabile), con il 60% delle identità informatiche rubate compromesse da attacchi di hacking. La successiva frode economica ai danni dell’utente finale sovente ricade economicamente sulla Banca con lo scopo di quest’ultima di evitare o mitigare i danni reputazionali.

Se da un lato conosciamo gli aspetti tecnici delle minacce e i rischi annessi al crimine informatico, dall’altro è necessario considerare la “dimensione” del danno economico e l’impatto negativo sui servizi informatici che di conseguenza perdono parte del loro vantaggio competitivo. Oggi eventuali disservizi conseguenti a una non adeguata politica di sicurezza possono, ancor più, tradursi in danni alla reputazione e all’immagine dell’azienda, aspetto a cui viene dedicata sempre maggior attenzione sia dal mercato che dagli enti regolatori. Per avere un’idea della dimensione del problema basti pensare che secondo informazioni dell’Osservatorio CRIF sulle Frodi Creditizie nel 2008 sono state registrate 25.000 frodi creditizie per un valore complessivo di €145 milioni (+27% Vs. 2007).

Tutto ciò richiede alle Banche un approccio alla prevenzione delle frodi informatiche multilivello, collaborativo e sempre più reputation based. In altre parole la scansione antivirus, il rilevamento euristico, la prevenzione delle intrusioni, l’impiego di sistemi per l’autenticazione forte restano misure di sicurezza fondamentali ma nuove tecnologie, quale la sicurezza reputation based, sono destinate a prendere sempre più piede.

scarica il focus in pdf