Verizon e gli acquisti natalizi, come difendersi dalle minacce

A Natale crescono gli attacchi

Gabriel Leperlier, Head of Continental Europe Advisory Services GRC/PCI di Verizon Enterprise Solutions, ci spiega come difendersi dalle frodi online.
Con il Natale alle porte, negozi, store online e strutture turistiche incrociano le dita nella speranza che la stagione 2017 sia positiva e che le festività contribuiscano ad incrementare le vendite.

A prescindere dai risultati economici, una cosa è certa: una fetta importante della spesa dei consumatori per i regali di Natale transiterà online. Le previsioni parlano di una cifra attorno ai 602 miliardi di Euro per l’ecommerce europeo, e i Paesi dell’Europa occidentale restano in prima linea, in particolare il Regno Unito, che da solo copre il 33% della spesa online del Vecchio Continente.
Nel 2016, tra i mercati ecommerce maturi, i Paesi che hanno registrato il maggior numero di consumatori che hanno fatto acquisti online in proporzione sono Regno Unito (87%), Danimarca (84%) e Germania (82%).

Anche gli acquisti da dispositivi mobile stanno diventando sempre più popolari, e spesso vengono fatti utilizzando più di un dispositivo: un consumatore, per esempio, può cercare il prodotto o servizio di suo interesse da computer, per poi verificarne la disponibilità da smartphone e pagare tramite il dispositivo smart.

Con il passaggio all’esperienza d’acquisto multicanale, è importante che le aziende mantengano in sicurezza i dati dei loro clienti, comprese le informazioni sulle carte di credito, su tutti i dispositivi e attraverso tutti i canali.

L’evoluzione della sicurezza per le carte di credito e debito
Le carte di credito e di debito sono in circolazione rispettivamente dagli anni 50 e 70, e nel corso degli anni sono state introdotte varie misure di sicurezza che vanno dagli ologrammi a funzionalità elettroniche avanzate. Queste misure hanno reso sempre più complesso l’uso di carte rubate e contraffatte. Ma i criminali non si sono arresi e hanno focalizzato la loro attenzione sugli attacchi Card Not Present (CNP). Questo tipo di attacchi include le transizioni effettuate da telefono o online.

Per gestire questa forma di criminalità in ascesa, i brand di carte di credito stanno sperimentando varie funzionalità nuove da introdurre nelle carte, tra cui un display elettronico in grado di generare un nuovo codice ogni 30 secondi. Ad oggi l’unica funzionalità introdotta su larga scala è 3D Secure – una forma di autenticazione a due fattori. Quando viene effettuata una transazione online, il possessore di carta di credito deve compilare un form aggiuntivo in cui gli viene chiesto di inserire una password e, nel caso in cui non l’abbia creata in precedenza, viene chiesto di inserire informazioni personali aggiuntive, come la data di nascita, per crearne una.

Oltre a modificare le carte, gli emissori stanno cercando soluzioni per migliorare i sistemi di identificazione delle frodi. Questo è un passaggio che ha il vantaggio di non essere visibile agli utenti, quindi non li spinge ad evitare di utilizzare la carta. Uno dei metodi più promettenti è l’uso della geolocalizzazione tramite lo smartphone dell’utente per verificare che la persona si trovi nel luogo in cui sta avvenendo la transazione. Se così non fosse, la transazione può essere bloccata, o è possibile richiedere ulteriori verifiche per procedere.
Ma aggiungere misure di sicurezza risponde solo in parte al problema. I rivenditori devono infatti assicurarsi di aver adottato delle misure di sicurezza efficaci. In caso contrario, i dati dei clienti potrebbero essere vulnerabili, e una violazione dei dati potrebbe rovinare il Natale a tutti.

Proteggere i dati durante e al termine della transazione
I rivenditori devono di proteggere i dati quando avvengono le transazioni, dopo che è stato effettuato il pagamento, e quando questo viene archiviato.

Ecco alcuni consigli per consolidare la sicurezza:
Prestate attenzione ai segnali di manomissione dei dispositivi. Controllate regolarmente tutti i dispositivi che registrano i dati di pagamento. Rientrano sotto questo aspetto anche i training per i dipendenti volti a spiegare loro come identificare i segni di manomissione. Assicuratevi inoltre che i dispositivi vengano riposti in un luogo sicuro quando non vengono utilizzati.
Crittografate i dati utilizzando i metodi più aggiornati e più sicuri. Siti e App dovrebbero essere progettati utilizzando tecniche di codifica sicure e l’ultima versione di TLS. Per i pagamenti effettuati di persona, la point-to-point encryption (P2PE) protegge i dati dal point-of-sale (POS) fino al raggiungimento di un ambiente di decodifica sicuro.
Assicuratevi che tutti i metodi utilizzati per processare le carte di pagamento dei clienti (compresi quelli di terze parti) abbiano delle solide policy di identificazione e accesso. È importante cambiare le password di default, utilizzare un’autenticazione efficace e assicurarsi che gli utenti non condividano i loro account. I dati non dovrebbero essere conservati più a lungo di quanto richiesto, e non dovrebbero essere condivisi con altre persone a meno che questo non sia necessario per il loro lavoro. Si tratta di norme base di sicurezza, ma è incredibile constatare quante aziende non le mettono in pratica in maniera corretta.
Investite sui dipendenti. Possono essere la vostra arma più potente o la vostra maggiore debolezza. Fate formazione in modo che possano identificare le minacce e segnalarle, oltre a misurare e controllare l’efficacia delle misure di controllo. Si tratta di un aspetto chiave per creare un sistema di controllo sostenibile, che sia sempre efficace, a prescindere dalle evoluzioni dell’azienda e del panorama delle minacce.

Da una nostra ricerca è infatti emerso che i cyber attacchi sono rivolti alle aziende di tutte le dimensioni, e una sola violazione dei dati potrebbe avere un impatto duraturo sulla reputazione aziendale. La conformità al PCI DSS, coprendo le misure di sicurezza sopra riportate e molte altre ancora, può aiutare a ridurre le possibilità di incorrere in attacchi informatici all’interno dell’azienda.

Essere conformi al PCI DSS non garantisce la protezione, ma contribuisce in maniera significativa a questo obiettivo. Tra tutte le violazioni di dati di carte di pagamento che il Verizon Threat Research Advisory Center (VTRAC) ha analizzato dal 2010, non c’era nemmeno un’azienda che fosse conforme al 100% nel momento in cui è avvenuta la violazione. Mantenere al sicuro i dati dei clienti non significa semplicemente superare il test una volta. I controlli di sicurezza vengono messi alla prova ogni giorno e devono essere solidi e resilienti. I clienti danno la loro fiducia ai brand ogni volta che fanno un acquisto. Non traditela.