Secondo una ricerca di Trend Micro le nuove normative europee in materia bancaria potrebbero dare vita a una serie di cyber attacchi, pericolosi per aziende e utenti. Lo studio “Ready or Not for PSD2: The Risks of Open Banking” approfondisce l’impatto della revisione della Direttiva europea sui servizi di pagamento (PSD2), progettata per consentire agli utenti un controllo maggiore sui propri dati finanziari e la possibilità di condividerli con aziende FinTech innovative, abilitando il cosiddetto “Open Banking”.
Ed Cabrera, Chief Cybersecurity Officer for Trend Micro
Il settore finanziario ha sempre rappresentato un target primario per i cyber criminali. La PSD2 e l’Open Banking rischiano di offrire ancora più opportunità per sottrarre informazioni sensibili personali e finanziarie. La nostra preoccupazione è che il settore possa non essere del tutto preparato per affrontare questi nuovi rischi. Ecco perché vogliamo capire quali potrebbero essere le nuove possibilità di attacco e aiutare le aziende FinTech e tradizionali a proteggere i propri asset.
Trend Micro presenta i diversi e possibili scenari di attacco, che potrebbero diventare reali grazie alla revisione della direttiva PSD2:
-attacchi alle API: le Application Programming Interface pubbliche sono il cuore dell’Open Banking e abilitano le aziende ad accedere ai dati bancari degli utenti, per fornire i nuovi servizi finanziari. Difetti di implementazione all’interno delle API consentirebbero di sfruttare i server back-end per rubare i dati.
-Attacchi alle aziende FinTech: gli utenti instaureranno relazioni di fiducia con provider che potrebbero avere meno risorse, rispetto alle proprie banche, e nessun protocollo di protezione dati. Trend Micro ha scoperto che le aziende FinTech hanno in media una ventina di impiegati e nessun professionista dedicato alla security, che le rendono il target ideale per gli attacchi e sollevano dubbi su eventuali gap di security nelle applicazioni mobile, nelle API, nelle tecniche di condivisione dati e nei moduli di security, che potrebbero essere implementati in maniera non corretta.
-Attacchi alle applicazioni o alle piattaforme mobile: la maggior parte dei servizi di Open Banking sarà installato come app mobile, rendendoli un target per i cybercriminali. Entrando in possesso di dati come username, password o altre chiavi, gli attaccanti sarebbero in grado di agire come se fossero l’utente reale.
-Attacchi agli utenti: le nuove app di Open Banking diventeranno il canale primario per accedere ai servizi e ai dati finanziari. Questo potrebbe generare un aumento degli attacchi di phishing.
Quindi le istituzioni finanziarie devono migliorare la loro cyber resilienza. Questo include che le informazioni sensibili non debbano mai essere inserite negli URL ad esempio, così come mettere al primo posto la sicurezza dei protocolli ed eliminare pratiche rischiose. Nel frattempo, gli sviluppatori e i proprietari delle app di Open Banking devono adottare un approccio security-by-design, che includa controlli regolari del software.