Categorie: Cyber Security

Le frodi informatiche bancarie, o più in generale quelle indirizzate all’ecosistema finanziario, rappresentano senza dubbio uno dei principali rischi a cui tale industry è soggetta. 

Parlando di cyber crime a tutto tondo, non vi è dubbio che il finance sia da sempre uno dei settori più bersagliati in assoluto, dato che viene confermato anche nei report del 2021. Leggendo l’ultima versione dell’X-Force Threat Intelligence Index di IBM, si scopre che l’ecosistema finanziario e assicurativo è in assoluto la top attacked industry del 2020, con il 23% di tutti gli attacchi registrati a livello globale. Passando poi al celebre Cost of a Data Breach Report 2021, sempre di IBM, si scopre che l’impatto del cyber crimine contro il finance può raggiungere i 5,72 milioni di dollari per singolo evento, una cifra enorme che però in questo caso si posiziona al secondo posto, dopo i 9,23 milioni dell’universo healthcare.  

 

Le frodi informatiche bancarie indirizzate contro i clienti 

Le frodi informatiche bancarie rientrano in questo contesto e ne rappresentano un sottoinsieme molto insidioso. Secondo l’ultimo Rapporto Clusit, le frodi informatiche bancarie (o finanziarie) passano quasi sempre attraverso il metodo tradizionale del furto delle credenziali di accesso ai sistemi bancari o di pagamento. Tutto ciò è certamente logico: essendo le banche soggette da sempre a vincoli di sicurezza e compliance molto avanzati, i malintenzionati ottengono più soddisfazione attaccando gli utenti finali con mezzi subdoli come i financial malware, il phishing – magari rafforzato da tecniche di social engineering – o sistemi più evoluti come il SIM swap. Il phishing, in particolare, è un fenomeno talmente diffuso che il Rapporto Clusit ha rilevato, nel secondo semestre 2020, una media di 3,2 nuove pagine di phishing al giorno, con aumento graduale nel corso dell’anno e picco in prossimità del Natale con 5,6 pagine al giorno. 

Il modello adottato dai malintenzionati con le frodi informatiche bancarie è piuttosto ovvio: si attacca l’anello debole della catena. Ciò che le banche possono (e devono) fare è impegnarsi in attività di awareness nei confronti dei loro clienti, implementare tutti i sistemi di protezione delle identità e degli accessi, sfruttare al massimo la multi-factor authentication e andare oltre le prescrizioni normative (si consideri PSD2, per esempio) rafforzando il più possibile i propri sistemi.  

 

L’anello debole della catena è sempre quello umano 

Se l’anello debole della catena è senza dubbio quello umano, rientrano in questa categoria anche tutti i dipendenti delle banche, che potendo accedere ai sistemi interni hanno una responsabilità ancora maggiore nei confronti della sicurezza dell’infrastruttura e dei dati della propria azienda. Come detto, di solito le banche godono di ambienti molto solidi sotto il profilo infrastrutturale e della data protection a prescindere dal modello adottato, che può fare un uso più o meno pervasivo – a seconda dell’azienda in questione – di risorse e servizi cloud, pubblici e privati. Al di là della necessità di garantire un monitoraggio continuo e pervasivo della rete e dell’infrastruttura, la protezione dalle frodi informatiche bancarie passa anche – e soprattutto – attraverso un’intensa attività di security awareness indirizzata ai dipendenti. Si tratta infatti dell’unico strumento in grado di trasformare l’anello debole della catena in un muro a difesa dei propri sistemi e dei propri dati.  

Il problema, se così lo possiamo definire, è fare in modo che i percorsi di awareness siano efficaci e non si trasformino in pure e semplici occasioni di formazione tradizionale. La tecnologia e le piattaforme di oggi permettono alle aziende di creare percorsi personalizzati, coinvolgenti, indipendenti da luogo e orario, arricchiti da esercitazioni pratiche e simulazioni all’insaputa dei destinatari, magari resi divertenti ed engaging dal ricorso alla gamification. In altri termini, oggi è possibile trasformare un obbligo in un’attività affascinante, e per questo motivo facilmente assimilata e messa in pratica nella quotidianità lavorativa, a garanzia di sicurezza per sé, per la propria azienda, per i clienti e i risparmiatori.  

 

CTA-white-paper-business-resilience