Crimini informatici: banche in prima linea per la sicurezza
La sicurezza informatica passa anche attraverso la collaborazione dei clienti delle banche. Per operare online in modo comodo e sicuro è importante seguire alcune semplici regole.
Aumenta ancora di più l’impegno del mondo bancario nella lotta ai crimini informatici, attraverso presidi tecnologici, iniziative di formazione del personale e campagne di sensibilizzazione della clientela.
Anche in Cassa Padana sono operativi i pilastri della direttiva PSD2 a cominciare dal Dynamic Linking che consente di avere il pieno controllo sulle transazioni bancarie che insieme alla Strong Customer Authentication e alla Transaction Risk Analysis, completa il pacchetto di misure rafforzative nell’ambito della sicurezza dei pagamenti online.
Dynamic Linking è la possibilità di collegare in modo indissolubile i dati della transazione bancaria che si sta perfezionando con la One Time Password che viene generata per autorizzare definitivamente il pagamento (ad esempio, un bonifico).
Fino a poco tempo fa la One Time Password aveva la forma di una “chiavetta” da portare sempre con sé, dette anche “token fisici”. In qualche modo era slegata dalla transazione di pagamento corrente e il “numero magico” generato autorizzava il tutto.
Adesso, per rendere più robusto tutto il processo e per agganciare i dati della transazione, in fase di generazione della password vengono presi in considerazione altri parametri come l’importo della transazione e alcuni dati del beneficiario (ovvero l'IBAN).
In questo modo, qualora eventuali “ignoti” fossero in grado di modificare beneficiario e importo, la password generata non corrisponderebbe in fase di controllo, per cui non ci sarebbe autorizzazione al pagamento. Oltre a questo, il cliente viene informato di ciò che sta autorizzando con tutti gli estremi del pagamento prima di autorizzare o meno la transazione.
Il pacchetto che rafforza la sicurezza sui pagamenti va oltre il Dynamic Linking aggiungedoci la Transaction Risk Analysis. Si tratta di un'analisi che calcola il cosiddetto “indice di rischio” di una determinata transazione bancaria (ad esempio il solito bonifico).
Per fare questo si prendono in considerazione una moltitudine di parametri fra cui:
- l’importo della transazione;
- le “abitudini” del cliente quali, ad esempio, la sua localizzazione abituale e le modalità comportamentali di quest’ ultimo;
- gli scenari di frode conosciuti;
- eventuali elenchi di informazioni conosciute come fraudolente (ad esempio, gli IBAN conclamati come fraudolenti);
- l’eventuale compromissione del device del cliente, un aspetto sul quale torneremo più avanti.
Tutti questi controlli vengono eseguiti prima che il cliente possa autorizzare o meno la transazione stessa.
A questo punto viene generato il cosiddetto “indice di rischio” ovvero un numero che, sommato ad altri concorrerà al punteggio finale che determinerà l’eseguibilità o meno dell’operazione.
In questi mesi di emergenza Covid le banche hanno portato avanti una serie di iniziative volte a supportare gli operatori del settore finanziario e a rilevare nuove possibili minacce e ha organizzato seminari e riunioni, in modalità remota, per erogare informazioni e approfondimenti tecnologici sui fenomeni recentemente rilevati, con particolare riferimento alle campagne di phishing.
Tali attività si affiancano alle iniziative delle banche, che numerose hanno attivato campagne di sensibilizzazione rivolte ai dipendenti proprio per sollecitare l’attenzione sulle misure da adottare nel lavoro tra le mura domestiche.
La sicurezza informatica, tuttavia, passa anche attraverso la collaborazione dei clienti delle banche.
Non va dimenticato che, per operare online in modo comodo e sicuro, infatti, è importante seguire alcune semplici regole:
• cambiare periodicamente la password dell’email, dei social network, dell’internet banking e dei siti per gli acquisti online;
• aprire solo le email provenienti da indirizzi noti;
• accedere a Internet solo dal proprio computer;
• installare o aggiornare l’antivirus;
• contenere la diffusione delle informazioni personali online;
• usare password diverse per siti diversi.