Cresce per le aziende il costo medio per i crimini informatici, anche nel settore finanziario. E l’assenza di standard di sicurezza condivisi del mobile payment può rappresentare un rischio. Ecco perché il prossimo Salone dei Pagamenti si concentra sul tema chiave della cybersecurity …
di Mattia Schieppati
Aziende di tutti i settori e di tutto il mondo, ponete la massima attenzione alla sicurezza informatica. Lo dice l'ultimo report stilato da Accenture "Cost of Cyber Crime Study" (qui per il download), che ha intervistato 2.182 professionisti informatici e esperti di sicurezza in 254 grandi aziende in tutto il mondo. Uno studio che si ripete ogni anno dal 2009, e consente ormai di avere un trend significativo di dati e rilievi. Il trend che ne emerge mostra una progressiva crescita degli attacchi informatici e del cybercrime.
Una overview mostra come nel 2017 il costo medio dei crimini informatici ha raggiunto gli 11,7 milioni di dollari per azienda, con un aumento del 23% rispetto ai 9,5 milioni di dollari registrati nel 2016 e del 62% nell’ultimo quinquennio.
Confrontando i diversi paesi analizzati, le aziende statunitensi sostengono il costo medio più alto pari a 21,22 milioni di dollari, mentre la Germania evidenzia la crescita più significativa con un costo medio che è passato da 7,84 a 11,15 milioni di dollari. Più confortante la situazione per le aziende italiane, che mostrano un costo medio di 6.73 milioni, leggermente inferiore rispetto agli altri paesi europei.
In media un’azienda subisce 130 violazioni all’anno, con un aumento del 27,4% rispetto al 2016 e con un valore quasi doppio rispetto al numero di attacchi informatici dell’ultimo quinquennio.
Le più colpite sono le aziende dei settori finanziario e quelle dell’energia, con un costo medio annuo rispettivamente pari a 18,28 e 17,20 milioni di dollari. I malware e gli attacchi web sono i due tipi di violazioni che comportano i maggiori costi, con spese per le aziende rispettivamente pari a 2,4 e 2 milioni di dollari.
Difendersi è un buon investimento?
Delle nove tecnologie di sicurezza prese in esame dallo studio, la percentuale di spesa maggiore è stata destinata ad avanzati controlli perimetrali; tuttavia, le aziende che hanno utilizzato queste soluzioni hanno realizzato risparmi di costi operativi pari a solo 1 milione di dollari, derivanti dall’identificazione e dalla risoluzione di attacchi informatici. Questo dato fa ipotizzare un impiego inefficace delle risorse. Una delle categorie più incisive nella riduzione delle perdite per reati informatici è quella dei sistemi di security intelligence, definiti come strumenti che raccolgono informazioni da diverse fonti e aiutano l’azienda a identificare e dare un ordine di priorità alle minacce interne ed esterne. Questi sistemi hanno consentito risparmi consistenti pari a 2,8 milioni di dollari, l’importo maggiore rispetto a tutti gli altri tipi di tecnologia analizzati in questo studio. Le tecnologie di automazione, orchestrazione e di machine learning sono state impiegate solo dal 28% delle aziende, il valore più basso tra le tecnologie analizzate. Eppure, con 2,2 milioni di dollari, hanno registrato il terzo maggior valore di risparmio tra le tecnologie di sicurezza in generale.
Mobile payments un rischio possibile. Lo dicono gli esperti
Mancano, in questa messe di numeri che disegna comunque uno scenario importante, dati specifici sulle frodi informatiche mirate alle piattaforme di pagamento. Una questione su cui si è però espressa l'Enisa (European Union Agency for Network and Information Security), l'ente che l'Ue intende promuovere al ruolo di Agenzia di sicurezza cibernetica europea, con un documento mirato che si intitola Security of Mobile Pauments and Digital Wallets (scaricabile qui). Un approfondimento che prende il via da una survey realizzata intervistando 900 esperti di sicurezza informatica, la quale ha evidenziato come solo il 23% di loro sia convinto che i sistemi di mobile payment attuali siano sufficientemente sicuri, mentre circa la metà degli intervistati (47%) teme che le applicazioni di pagamento da mobile non siano completamente sicure, e il 30% crede che siano attaccabili. Da questo punto di vista, gli utenti (non esperti) sono invece molto più ottimisti e fiduciosi: da un'analoga indagine basata su utenti di mobile payments negli Usa, risulta che il 20% di loro teme che qualche malintenzionato possa intercettare dati relativi alla transazione o altri dati personali durante operazioni svolte con il telefonino, mentre il 13% teme che il proprio smartphone possa essere hackerato. Percentuali di "timore" dunque abbastanza basse, ma in un campo così complesso è ovviamente il parere degli esperti quello che conta. E, dicono i numeri, la necessità di rendere i sistemi di pagamento e i digital wallet attuali più sicuri in effetti è tra gli operatori un'esigenza sentita.
Smartphone, una porta aperta
Il paper dell'Enisa passa in rassegna il processo di autenticazione e transazione delle tre più diffuse piattaforme di mobile payment e digital wallet, ovvero Apple Pay, Google Wallet/Android Pay e Samsung Pay, e centra la sua attenzione sul fatto che il wallet - ovvero un'app estremamente delicata, in quanto contiene dati personali molto sensibili e accesso alle movimentazioni finanziarie dell'utente - non rappresenta che una delle centinaia di applicazioni presenti su uno smartphone.
«Gli smartphone sono ormai degli strumenti utilizzati praticamente ogni ambito sia professionale che della vita privata. Sono degli enormi accumulatori di dati personali, e sono anche delle "porte" potenzialmente sempre aperte sull'esterno, anche rispetto alla possibilità di attacchi malevoli. Oltre a scaricare app e navigare, con il telefonino apriamo e leggiamo mail, scarichiamo allegati, scarichiamo programmi, video, file di qualsiasi tipo», certifica il documento. Si tratta di un uso estremamente intensivo e, soprattutto, cui l'utente presta ormai una soglia bassissima di attenzione. Mentre di fronte a un pc si avverte maggiormente la necessità di attenzione, protezione e riservatezza, il cellulare è una porta - spesso - spalancata sul mondo. Con tutta la facilità di utilizzo, ma anche con tutti i rischi che da questo derivano. Rischi elevati proprio dall'utilizzo crescente che del telefonino si farà per effettuare pagamenti e transazioni di denaro, magari attraverso sistemi sempre più rapidi e facilitati.
Urge far maturare questa consapevolezza, dunque, e urge farlo in fretta. «Se consideriamo che l'industry del mobile payment è ancora nella sua fase nascente, ancora priva di standard chiari e condivisi e basata in larga parte sull'auto-regolazione, è di vitale importanza che vengano prodotte dalle autorithy il più possibile allargate delle linee guida relative alla sicurezza delle singole applicazioni, e quindi alla sicurezza di sistema, che accompagnino gli sviluppatori dei sistemi di pagamento digitali e i provider a realizzare prodotti e servizi che garantiscano la sicurezza dei consumatori, dei retailers e delle istituzioni finanziarie. Insomma, di tutto l'ecosistema dei pagamenti».
----------------------------------------------------------------------------------------------------
ABI: nelle banche “operazioni” digitali ancora più sicure
Ogni anno le banche italiane spendono oltre 250 milioni di euro per la sicurezza informatica. Lo ha ribadito l’ABI in una nota, che sottolinea i risultati importanti conseguiti, grazie anche alla preziosa collaborazione con le forze dell’ordine: il 95% delle operazioni fraudolente viene bloccato e i clienti vittime di frode sono solo lo 0,002% del totale di quelli che operano su home banking, pari ad uno su 50 mila.
Maggiore tutela anche per le operazioni digitali che prevedono il coinvolgimento di terze parti. Infatti, con l’entrata in vigore della direttiva europea PSD2 (Payment services directive), fissata per gennaio 2018, saranno definiti i rapporti tra banche e nuovi attori non bancari che potranno operare nell’ecosistema dei pagamenti.
“Nell'attuare la nuova normativa – afferma il Direttore Generale dell’ABI, Giovanni Sabatini – si dovrà fare particolare attenzione a che, nell'accedere alle informazioni del conto dell'utente, l’operatore "terza parte" possa accedere solo a quelle informazioni per cui l'utente ha dato il suo consenso.”
Con lo sviluppo dell’economia digitale aumenta quindi l’impegno del mondo bancario nella lotta ai crimini informatici, attraverso presidi tecnologici, iniziative di formazione del personale e campagne di sensibilizzazione della clientela. Conciliando protezione e riservatezza con l’esigenza della clientela di “operare” in mobilità in modo facile e veloce le banche garantiscono alla clientela “operazioni” digitali sempre più sicure.
(a cura di Andrea Pippan)