L'APPROFONDIMENTO

PSD2 e open banking: tutti i problemi di sicurezza della Strong Customer Authentication

È iniziata l’era della PSD2 e dell’open banking che, grazie a nuovi sistemi di autenticazione previsti dalla Strong Customer Authentication (SCA) e a più efficienti procedure di verifica dell’identità dell’utente e dell’autenticità delle operazioni di pagamento, promettono di rafforzare la sicurezza dei nostri conti correnti. Ma i problemi di sicurezza non mancano: ecco dove si nascondono i pericoli

17 Set 2019
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

È ufficiale oramai: dal 14 settembre scorso il PSD2 (Payment Services Directive 2) è ufficialmente e pienamente – con l’attuazione dell’ultima parte della direttiva – in vigore. In breve, dobbiamo dire addio al vecchio sistema del token e abbracciare in pieno l’era dei bonifici dal palmo di una mano, dell’open banking e dei nuovi sistemi di autenticazione, teoricamente pensati per rafforzare la sicurezza dei nostri conti correnti.

Certamente le nuove regole non sono state digerite in maniera uniforme da tutti gli istituti bancari: non esiste una vera e propria guida all’adozione e quindi si è creato una sorta di sistema di misure di sicurezza a doppia velocità, in attesa – con il beneplacito della Banca d’Italia – del completo adeguamento anche dei ritardatari.

PSD2 e open banking: le novità in tema sicurezza

Cosa ha comportato per l’utente, in concreto, il PSD2? In primis si è palesata la necessità e obbligatorietà di un doppio fattore indipendente di autenticazione (la arcinota strong authentication o Strong Customer Authentication in questo caso) da effettuare con PIN più codice usa e getta e il limite per questo di poter compiere una sola operazione per password generata.

WHITEPAPER
Scopri le tecnologie avanzate per affrontare il Black Friday nel tuo negozio

La procedura impone alle banche di verificare l’identità dell’utente e l’autenticità delle operazioni di pagamento attraverso l’utilizzo di due o più fattori tra loro indipendenti che facciano riferimento alle categorie:

  • della “conoscenza”, qualcosa che solo l’utente conosce, ad esempio il PIN);
  • del “possesso” (qualcosa che solo l’utente possiede, ad esempio l’OTP, one time password, generata dal proprio cellulare);
  • della “inerenza” (qualcosa che solo l’utente è, ad esempio l’impronta digitale, gadget oramai onnipresente nella maggior parte degli smartphone).

Fino a qui tutto coerente con la richiesta di maggiore sicurezza, ma il fare affidamento così massiccio sui dispositivi personali come gli smartphone ha generato qualche perplessità, soprattutto tra coloro che di cyber security si occupano quotidianamente.

PSD2 e open banking: pericolo mobile malware

Il cellulare è diventato quasi l’estensione, nel bene o nel male, naturale del nostro corpo. Ma nonostante la nostra dipendenza da questo device, può capitare a tutti di dimenticarlo incustodito, rendendolo, statisticamente, più facilmente a rischio di violazione di una chiavetta “old school” di generazione OTP.

C’è poi sicuramente da tenere bene a mente il fenomeno legato all’incremento esponenziale di malware progettati specificatamente per sottrarre password e codici, i cosiddetti keylogger. Questi sono studiati per raccogliere silenziosamente tutti gli input, di fatto rendendo inutile la SCA.

Ma questi sono solo la punta dell’iceberg: la vera minaccia è rappresentata dai mobile banking trojan, un’evoluzione naturale delle vecchie, ma ancora attive, campagne di mail phishing e social engineering che venivano usate per i tradizionali trojan banker.

Ora questo sistema si è evoluto per includere i remote access trojan (RAT), malware che permettono all’attaccante di accedere alle funzionalità del dispositivo bersaglio. Tra queste, c’è non solo la possibilità di registrare e intercettare le telefonate, utilizzare le telecamere o installare software, ma anche quello di intercettare e inviare gli SMS (il tramite solitamente usato per inviare le OTP). Anche in questo caso, di fatto, vengono bypassate le tecniche di SCA che gli istituti finanziari hanno implementato.

Le modalità di distribuzione dei mobile banking trojan sono molteplici:

  • app trojan repacking: è una delle tecniche più usate. Si sceglie un’app conosciuta del mondo banking, si scarica l’app (APK) e si decompila. Viene modificato il codice inserendo il Trojan Banker. A questo punto viene ripubblicata o direttamente negli store ufficiali o in store “alternativi”, con un nome molto simile all’originale per ingannare gli utenti;
  • trojan app: viene sviluppata una vera e propria app relativa a funzionalità che potrebbero essere utili o servizi a supporto di altre applicazioni. Anche in questo caso viene pubblicata direttamente negli store come per l’app repacking;
  • e-mail: uno dei sistemi più antichi che comunque non va mai fuori moda. Rimane il vettore più usato. L’unica evoluzione sono le tecniche di social engineering utilizzate;
  • SMS: uno dei vettori preferiti dai trojan banker per due motivi. Il primo perché l’SMS è lo strumento naturale dei dispositivi mobile. Il secondo è perché alcuni trojan banker possono inviare loro stessi SMS dal dispositivo infetto;
  • ADV: sono gli annunci pubblicitari malevoli. Praticamente cliccando sull’annuncio l’utente viene inviato direttamente sulla pagina civetta oppure il click di fatto autorizza il download del software trojan. La particolarità di questo vettore di diffusione è che i criminal hacker possono scegliere su quali dispositivi verrà visualizzato l’annuncio;
  • mobile adware: l’utilizzo delle reti pubblicitarie di publisher è sicuramente una delle novità, insieme alla tecnica dell’app store indicato precedentemente. La tecnica utilizzata si basa su una forte componente di social engineering, prevedendo anche modelli di ricompense per installazione o altre modalità similari.

Attacchi SIM Swap: ritornano le frodi telefoniche

Non sono solo i trojan a mettere a rischio la sicurezza dei sistemi di mobile banking. Un altro sistema sempre più utilizzato dagli attori malintenzionati è il cosiddetto SIM Swap o SIM Scam (letteralmente scambio SIM o frode della SIM) un mix di frode della vecchia e nuova scuola.

Il tutto ha inizio quando lo scammer (termine più adatto rispetto a criminal hacker in questo caso) acquista nel Dark Web le credenziali e le copie dei documenti di riconoscimento della vittima prescelta, debitamente monitorata attraverso spyware.

Sfortunatamente questi sono disponibili e reperibili con relativa facilità nei meandri più oscuri della rete – e spesso non costano più di qualche centinaio di euro.

Una volta ottenuti questi dati, il truffatore si reca allo sportello di supporto per la telefonia mobile e compila la scheda per lo smarrimento della SIM, facendosi rilasciare un duplicato della stessa.

Una volta compiuto questo step, alla vittima rimangono poche chance per difendersi, considerato che lo scammer è di fatto in grado di intercettare il traffico telefonico e telematico e il malcapitato si trova all’improvviso senza alcun servizio sul proprio device.

Il malintenzionato può effettuare, una volta ottenute le credenziali, liberamente tutti i bonifici nei limiti consentiti dal contratto, mentre la vittima sta ancora cercando di comprendere l’accaduto in relazione al malfunzionamento del suo dispositivo mobile.

Conclusioni

Insomma, anche se il PSD2 sembra la strada giusta per molti aspetti, soprattutto legati all’open banking, sul fronte sicurezza ci sono ancora aree potenzialmente critiche da colmare.

Negli ultimi anni la tenuta delle varie app legate agli istituti finanziari è finita sotto la lente d’ingrandimento, adesso la nuova direttiva ha posto ancora più fattori di stress e carico su queste soluzioni.

La speranza è che, una volta superate le ruggini dovute all’adozione forzata e in alcuni casi frettolosa, i provider si attivino per aumentare esponenzialmente la cyber security delle loro soluzioni.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr