FinTech e minaccia Cyber: siamo sicuri di essere al sicuro?

Cambiamenti climatici, instabilità geopolitica, implicazioni sociali legate all’uso dell’Intelligenza Artificiale sono comprensibilmente citate tra le maggiori preoccupazioni dei CEO delle principali aziende mondiali intervistate da EY nel “2019 EY CEO Imperative Study”, ma c’è una tipologia di minaccia che li preoccupa più di tutte quelle citate, e sono proprio gli attacchi informatici.

Si tratta di un risultato poco sorprendente se pensiamo anche solo al mondo dei servizi finanziari: i data breach trovano facilmente posto sulle prime pagine di giornali e fanno sempre più scalpore tra i consumatori, preoccupati a loro volta da una minaccia poco comprensibile nelle specifiche, ma dagli effetti estremamente reali e devastanti per il grande pubblico. Un esempio lampante, certamente tra i più rilevanti in termini di risvolti mediatici, è la violazione subita da Capital One nell’estate del 2019, che ha esposto i dati personali di più di 100 milioni di cittadini americani e canadesi, provocando danni fino a 150 milioni di dollari, perdita del valore delle azioni del 6% e incalcolabili danni reputazionali. La causa? Un errore nella configurazione del Web Application Firewall, di per sé una soluzione di sicurezza dedicata alla protezione stessa delle risorse interne, che ha così esposto una possibilità di compromissione assolutamente evitabile.

Uno degli attacchi ai dati finanziari dei clienti più famoso degli ultimi anni però non è stato subito da un’istituzione finanziaria bensì da una Compagnia Aerea, British Airways.

L’azienda britannica ha subito una multa record di 183,4 milioni di sterline come conseguenza di un attacco Cyber per il furto dei dati delle carte di credito di quasi mezzo milione di clienti dal sito Web della compagnia aerea.

La truffa ha visto i clienti dirottati su un sito Web falso in cui gli aggressori hanno raccolto i dettagli della carta di credito, rubando numeri di carta di credito, scadenza e codici di sicurezza a tre cifre, nonché nomi, indirizzi e indirizzi e-mail.

A confermare che il cyber crime non faccia dormire la notte molti banchieri, ci pensa lo studio realizzato dalla Conference of State Bank Supervisors (CSBS), da cui emerge che più del 70% delle 571 banche intervistate in 137 paesi dichiarano la cybersecurity come il rischio più significativo per la propria organizzazione.

Se le notizie di banche e servizi finanziari vittime di attacchi informatici si rincorrono sulle testate giornalistiche, è anche vero che ad oggi non si registrano casi altrettanto clamorosi di incidenti cyber che abbiano impattato i player FinTech: possiamo quindi ragionevolmente tirare un sospiro di sollievo catalogando i servizi finanziari innovativi come più sicuri rispetto agli attori tradizionali?

La risposta semplice è no, ma le cose sono ovviamente più complicate di così.

Sulla carta, le FinTech e le Challenger Banks hanno a loro disposizione molti vantaggi strutturali che permettono di by-passare una serie di barriere ben note alle banche tradizionali: essendo nate come organizzazioni totalmente digitali, non devono fare i conti con farraginosi sistemi legacy e hanno a disposizione un’organizzazione flessibile per far fronte ai cambiamenti in modo agile, nonché il vantaggio di una cultura ad impronta tecnologica che si traduce sia in nell'approccio che nell'adozione di nuove soluzioni sia in un mindset favorevole dei dipendenti, per la maggior parte giovani nativi digitali con competenze fortemente spostate sul tech.

D’altro canto, la pressione normativa imposta dagli organi regolamentari nazionali e internazionali rende le banche tradizionali forzatamente propense ad investire una parte cospicua del budget in ampliamenti tecnologici e strategici per migliorare costantemente la sicurezza e non incorrere in pesanti sanzioni.

Secondo lo studio del 2019 condotto da Akamai, il 50,6% degli attacchi web-based indirizzati ai servizi finanziari sono stati subiti dalle banche, seguiti a distanza da servizi di carte e pagamenti (15,7%) e assicurazioni (14,5%), mentre le FinTech sono solo all’8° posto con lo 0,7% del totale. Sempre secondo l’analisi di Akamai, il 94% degli attacchi rivolti al settore dei Financial Services dipende da uno dei seguenti metodi: SQL Injection (SQLi), Local File Inclusion (LFI), Cross-Site Scripting (XSS), e OGNL Java Injection, tutte vulnerabilità ben note e mitigabili attraverso l’applicazione di best practices e standard comuni di sicurezza.

Kaspersky Lab evidenzia invece una crescita allarmante dei malware nel mobile banking, che continua ad essere uno dei veicoli preferiti dei cyber criminali: l’attacco può avvenire attraverso la replica di un’app all'apparenza legittima che in alcuni casi viene persino pubblicata sugli store ufficiali per trafugare le credenziali associate al conto: si tratta dei cosiddetti “Mobile Banking Trojan” che hanno preso di mira solo nel primo trimestre del 2019 oltre 300.000 singoli utenti. I consumatori scaricano un’app che appare come una copia fedelissima dell’originale, ma che in realtà ha il solo scopo di ingannarli per ottenere i dati del conto, o in alcuni casi altri tipi di credenziali sensibili scambiate attraverso il proprio cellulare. Il panorama delle minacce evidenziato dallo studio mostra come i Trojan di questo tipo stiano aumentando sia come varietà e tipologie, sia come quota rappresentava nell'elenco delle diverse tipologie di malware indirizzato ai dispositivi mobili.

In definitiva, sulla carta non sembrano esserci motivi per cui le FinTech dovrebbero essere immuni al cyber-crime, ed è lecito pensare che al momento l’impatto di questo tipo di minaccia potrebbe essere stato minimo per una semplice questione di appetibilità da parte degli attaccanti: nello scegliere il target su cui indirizzare i loro sforzi, i colossi bancari continuano a rappresentare una maggiore fonte di profitto rispetto all'investimento del tempo e delle risorse necessarie per creare tipologie di attacco sempre più avanzate. Tuttavia, la situazione potrebbe presto ribaltarsi grazie al crescente successo e alla diffusione di cui stanno godendo i nuovi player, che continuano a guadagnare utenti e inizieranno a gestire un’importante quota delle finanze a livello mondiale.

Inoltre, la spinta regolatoria e di mercato verso modelli sempre più aperti nella condivisione di dati finanziari apre ad una serie di preziose funzionalità che però allo stesso tempo introducono complessità non indifferenti in termini di protezione dei dati stessi. Si tratta di un aspetto con il quale tutti gli operatori finanziari dovranno fare i conti, in quanto coinvolti in un ecosistema sempre più integrato ma anche più esposto alle vulnerabilità potenzialmente introdotte dagli altri partecipanti in gioco.

Resta da capire se le FinTech sapranno sfruttare il vantaggio tecnologico e temporale che hanno a disposizione per indirizzare saggiamente investimenti mirati in materia di cyber security, o se dobbiamo aspettarci il coinvolgimento di nuove tipologie di vittime nel prossimo data breach finanziario di cui inevitabilmente sentiremo parlare.

Autori:

Carlo Alberto Minasi - Chief Innovation Officer Financial Services, EY

Federica Baiocchi - Cyber Security Senior Consultant