La revisione della PSD2 potrebbe dare il via a una serie di pericolosi attacchi

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

Le nuove normative europee in materia bancaria potrebbero generare un’ondata di attacchi cyber e a rischio sarebbero sia le aziende che gli utenti. L’abbiamo rivelato nella nostra ultima ricerca, dal titolo “Ready or Not for PSD2: The Risks of Open Banking”.

Lo studio approfondisce l’impatto della revisione della Direttiva europea sui servizi di pagamento (PSD2), progettata per consentire agli utenti un controllo maggiore sui propri dati finanziari e la possibilità di condividerli con aziende FinTech innovative, abilitando il cosiddetto “Open Banking”.

La nostra ricerca mette in luce diversi possibili scenari di attacco, che potrebbero diventare realtà grazie alle nuove regole:

Attacchi alle API: le API (Application Programming Interface) pubbliche sono il cuore dell’Open Banking e abilitano le aziende ad accedere ai dati bancari degli utenti, per fornire i nuovi servizi finanziari. Difetti di implementazione all’interno delle API consentirebbero di sfruttare i server back-end per rubare i dati

Attacchi alle aziende FinTech: gli utenti instaureranno relazioni di fiducia con provider che potrebbero avere meno risorse, rispetto alle proprie banche, e nessun protocollo di protezione dati. Durante un’indagine sulle aziende FinTech di Open Banking, Trend Micro ha scoperto che hanno in media una ventina di impiegati e nessun professionista dedicato alla security. Caratteristiche che le rendono il target ideale per gli attacchi e sollevano dubbi su eventuali gap di security nelle applicazioni mobile, nelle API, nelle tecniche di condivisione dati e nei moduli di security, che potrebbero essere implementati in maniera non corretta

Attacchi alle applicazioni o alle piattaforme mobile: la maggior parte dei servizi di Open Banking saranno installati come app mobile, rendendoli un target per i cybercriminali. Entrando in possesso di dati come username, password o altre chiavi, gli attaccanti sarebbero in grado di agire come se fossero l’utente reale

Attacchi agli utenti: le nuove app di Open Banking diventeranno il canale primario per accedere ai servizi e ai dati finanziari. Questo potrebbe generare un aumento degli attacchi di phishing

Per essere pronti in uno scenario in perenne cambiamento, le istituzioni finanziarie devono migliorare la loro cyber resilienza. Questo include che le informazioni sensibili non debbano mai essere inserite negli URL ad esempio, così come mettere al primo posto la sicurezza dei protocolli ed eliminare pratiche rischiose.

Nel frattempo, gli sviluppatori e i proprietari delle app di Open Banking devono adottare un approccio security-by-design, che includa controlli regolari del software.

La ricerca “Ready or Not for PSD2: The Risks of Open Banking” è disponibile a questo link

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.