Servizi di pagamento digitali: best practice per mitigare i rischi ed evitare le frodi - Cyber Security 360

TECNOLOGIA E SICUREZZA

Servizi di pagamento digitali: best practice per mitigare i rischi ed evitare le frodi

L’incremento delle vendite online ha stimolato la crescita del mercato dei servizi di pagamento digitali; allo stesso tempo, la liberalizzazione delle tariffe introdotta dalla direttiva PSD2 e il conseguente aumento della competizione tra gli operatori ha comportato nuovi rischi di frode. Ecco come mitigarli

26 Mar 2021
K
Jusef Khamlichi

Information & Cyber Security Advisor presso P4I - Partners4Innovation

È notizia di questi giorni che Stripe ha raggiunto la capitalizzazione di 95 miliardi: Stripe è una società “Fintech” da poco quotata che si occupa di servizi di pagamento digitali.

Anche in quest’ultimo anno dove l’economia è stata falcidiata dalla pandemia, il mercato dei servizi di pagamento digitali risulta in crescita in parte a causa dell’incremento delle vendite online. La direttiva PSD2 dell’UE, entrata in vigore nel 2016, ha “liberalizzato” la possibilità di erogare servizi di pagamento e affini, consentendo a soggetti privati diversi dalle banche di erogare tali servizi.

Servizi di pagamento digitali: nuovi rischi

Questa apertura ha comportato la liberalizzazione delle tariffe tramite l’aumento della competizione sul mercato dei pagamenti, ma ha anche aumentato la complessità organizzativa, con l’accesso di molteplici soggetti tra i quali molte startup.

La complessità organizzativa e l’innovazione tecnologica hanno comportato inevitabilmente nuovi rischi in un settore molto critico dal punto di vista della sicurezza.

Il regolatore, conscio di tali rischi, ha normato specificatamente le attività inerenti ai servizi di pagamento richiedendo a tutti i soggetti coinvolti significativi investimenti in sicurezza e affidabilità dei servizi, con particolare riferimento agli aspetti di disponibilità dei servizi e dei dati, e soprattutto ai rischi di frode.

Il regolamento delegato sulla Strong Customer Authentication

In particolare, dal settembre 2019 è entrato in vigore il regolamento delegato sulla Strong Customer Authentication e sulla sicurezza delle comunicazioni (RTS), che prevede specifici requisiti di sicurezza per l’accesso ai servizi di pagamento e sullo scambio di informazioni.

I prestatori di servizi di pagamento come anche le terze parti (PISP e AISP), incluse le banche che già svolgevano questa tipologia di attività, hanno dovuto quindi evolvere e adattare i propri sistemi e processi per adeguarsi alle normative, con non poche difficoltà sia di natura tecnica che organizzativa.

I requisiti di sicurezza per contrastare le frodi

Vogliamo trattare in particolare gli impatti derivanti dai requisiti di sicurezza previsti dalla PSD2 e dagli RTS, primo tra tutti la Strong Customer Authentication (SCA). L’obiettivo dell’introduzione di tale meccanismo di autenticazione è chiaramente impedire la realizzazione di frodi ai danni del cliente e quindi dell’istituto di pagamento, ma anche la protezione della riservatezza dei dati del cliente (es. nel caso di servizi di informazione sui conti).

Al di là degli aspetti tecnici legati all’implementazione della SCA e dei requisiti previsti dagli RTS, è importante rilevare la centralità delle attività di prevenzione e gestione delle frodi da parte dell’Istituto.

Infatti, il sistema antifrode è particolarmente sollecitato alla luce dell’evoluzione del contesto portata dalla PSD2, in quanto è chiaramente aumentata la superficie d’attacco che i frodatori possono sfruttare per ottenere un guadagno illecito:

  • è aumentato il numero di transazioni elettroniche;
  • è aumentato il numero di canali;
  • è aumentata la propensione all’utilizzo di tali canali da parte del cliente;
  • sono cambiate le tecnologie per l’accesso ai servizi di pagamento (es. pagamento tramite smartphone);
  • è aumentata la competenza tecnica degli attaccanti e la disponibilità di strumenti per gli attacchi.

Servizi di pagamento digitali tra PSD2 e GDPR

Lo scenario di evoluzione dei servizi di pagamento sta risentendo di un altro fenomeno che potremmo categorizzare come “cross selling”, infatti sempre più spesso le gli istituti di pagamento estendono il loro perimetro di attività diventando un cosiddetto money management hub che di fatto integra i servizi di pagamento in senso stretto con quelli di informazioni sui conti consentendo al cliente di gestire centralmente e con una visione completa tutti i suoi conti anche se attestati su istituti differenti.

Questa tendenza comporta una nuova spinta competitiva tra i soggetti del sistema e introduce problematiche non banali di sicurezza e di data protection.

Questo esempio si presta per evidenziare la complessità nella gestione dei requisiti normativi attinenti alla sicurezza delle informazioni che impattano sul mondo dei servizi di pagamento: si pensi per esempio alla gestione degli incidenti per la quale sono previsti requisiti specifici dalla PSD2 ma anche dal GDPR che è evidentemente applicabile in caso di violazione dei dati di informazione sui conti.

Tale interazione tra le due normative è così significativa che l’European Data Protection Board ha emanato delle linee guida dedicate.

Un sistema di gestione delle frodi

Il nuovo contesto richiede quindi un approccio evoluto alla gestione delle frodi, per esempio, con riferimento all’autenticazione, il servizio di pagamento deve essere in grado di riconoscere con certezza l’utente che effettua una transazione a prescindere dal dispositivo specifico, ma al contempo facilitare l’accesso ai servizi quando il rischio di frode è minimo al fine di garantire una customer experience soddisfacente (“frictionless”).

L’Istituto deve anche tenere conto dell’ampia varietà nei livelli di digitalizzazione dei clienti, facilitando per quanto possibile l’accesso ai servizi e un adeguato livello di comprensione anche ai soggetti meno informatizzati (es. anziani), pur garantendo adeguati livelli di sicurezza.

Ciò si riflette sul sistema di gestione delle frodi che deve essere in grado di valutare i diversi casi e soprattutto affiancare efficacemente l’utente quando necessario.

Sistemi di pagamento digitali e aspetti di sicurezza: una gestione complessa

Ritenendo che la gestione del rischio di frode si debba focalizzare sull’utente e non sugli asset tecnologici compromessi, diventano fondamentali la capacità di comprendere il comportamento del cliente analizzando tutti i dati disponibili, senza però trascurare i limiti imposti dagli obblighi di protezione dei dati.

La gestione dei sistemi di pagamento digitali e dei relativi aspetti di sicurezza, in particolare la gestione delle frodi, sta diventando sempre più complessa e richiede competenze a tutto tondo difficili da reperire, che includono la sicurezza informatica, la compliance normativa, gli aspetti tecnologici, la conoscenza dei processi di pagamento e via dicendo.

Queste competenze devono essere coordinate con un approccio di sistema di gestione antifrode che si integri nei processi di gestione dei pagamenti.

Venendo allo scenario attuale in merito alle frodi, i dati di Banca d’Italia per il mondo carte aggiornati al 2020 rilevano un calo dei tassi di frode on line nell’ultimo triennio con l’introduzione degli orientamenti EBA sulla sicurezza dei pagamenti online, anche se ci si attende un ulteriore calo dei tassi di frode con l’attivazione dei presidi previsti dagli RTS che, per il mondo carte, sono diventati obbligatori a partire dal 2021.

Con riferimento al mondo “credit transfer” (es. bonifici) la situazione dei tassi di frode è in generale migliore in quanto è stato possibile adottare i presidi di sicurezza previsti dagli RTS fin dall’entrata in vigore degli stessi (14 settembre 2019), inoltre la gestione dei pagamenti via bonifico o affini è totalmente in capo all’Istituto di pagamento che quindi piena visibilità delle informazioni necessarie a valutare la genuinità della transazione.

Conclusioni

Dall’esperienza acquisita riteniamo che l’introduzione dei nuovi presidi previsti dalla normativa attuale abbiano avuto o avranno un impatto significativo sui tassi di frode ma occorrerà rivalutarne l’efficacia a fronte dei dati relativi alla customer experience che molto probabilmente sarà peggiorata (ad esempio con la SCA per l’accesso ai conti o per le transazioni e-commerce).

Rileviamo un altro aspetto che probabilmente inciderà sull’efficacia dei presidi antifrode introdotti con la normativa (prima tra tutte la SCA), ovvero il fattore umano.

Non è raro, infatti, che gli istituti rilevino episodi nei quali l’attaccante sia riuscito a raggirare il cliente riuscendo a farsi autorizzare una transazione fraudolente anche quando fosse richiesto il secondo fattore di autenticazione.

Questo tipo di eventi esce in qualche modo dall’area di competenza della banca che tuttavia deve gestire opportunamente la relazione con il cliente e spesso può preferire una mediazione con lo stesso per limitare il contezioso e i possibili impatti reputazionali.

Seppure rimangano essenziali i presidi tecnici e tecnologici oltre alla SCA, che permettono di prevenire le frodi, quali ad esempio l’analisi del rischio della transazione anche tramite soluzioni di AI, la verifica delle informazioni tecniche disponibili (es. informazioni sul dispositivo), diventa fondamentale quindi il ruolo del cliente nella prevenzione delle frodi, mentre l’Istituto deve essere in grado di supportarlo efficacemente per esempio tramite:

  1. adeguate attività di formazione e sensibilizzazione;
  2. accesso facilitato e sempre disponibile ai canali di segnalazione e supporto;
  3. proattività dell’Istituto nell’appurare i casi sospetti con il cliente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3