L’approccio Open Banking, che è stato esplicitamente favorito dall’introduzione della nuova normativa europea sui servizi di pagamento (PSD2), rischia di catturare l’attenzione dei cybercriminali. Che potrebbero sfruttare la maggiore apertura per generare un’ondata di attacchi cyber, che metterebbero a rischio sia le aziende che gli utenti. Questa la principale evidenza di una ricerca condotta dal vendor di sicurezza Trend Micro, intitolata “Ready or Not for PSD2: The Risks of Open Banking”. Sono tre, in particolare, i possibili scenari di attacco da cui dovrebbero guardarsi gli operatori del settore. A cominciare dagli attacchi alle API (Application Programming Interface), che sostanzialmente abilitano le aziende terze ad accedere ai dati bancari degli utenti, così da fornire i nuovi servizi finanziari auspicati dalla PSD2. Secondo Trend Micro, la presenza di difetti di implementazione all’interno delle API potrebbe consentire lo sfruttamento dei server back-end per rubare i dati. In secondo luogo la direttiva assegna un ruolo da protagonista alla Fintech che, però, al momento appaiono molto deboli in materia di protezione dati, tanto da non avere spesso nessun professionista dedicato alla security. Le Fintech e le applicazioni da essere implementate potrebbero così rilevarsi un bersaglio molto facile.
Non solo: dal momento che la maggior parte dei servizi di Open Banking saranno installati come app mobile, i cybercriminali punteranno a impadronirsi di username, password o altre chiavi, in maniera tale da agire come veri e propri utentei reali. Infine, anche nel caso delle app di Open Banking, occorrerà prestare attenzione agli attacchi di phishing. In questo scenario l’imperativo per gli attori del mondo finanziario è quello di migliorare la loro cyber resilienza. Le informazioni sensibili non debbano mai essere inserite negli URL la sicurezza dei protocolli deve essere salvaguardata mentre vanno eliminate tutte le pratiche rischiose. Nel frattempo, gli sviluppatori e i proprietari delle app di Open Banking devono adottare un approccio security-by-design, che includa controlli regolari di sicurezza software prima del rilascio pubblico.
“Il settore finanziario ha sempre rappresentato un target primario per i cyber criminali. La PSD2 e l’Open Banking rischiano di offrire ancora più opportunità per sottrarre informazioni sensibili personali e finanziarie – ha affermato Ed Cabrera, chief cybersecurity officer for Trend Micro – La nostra preoccupazione è che il settore possa non essere del tutto preparato per affrontare questi nuovi rischi. Ecco perché vogliamo capire quali potrebbero essere le nuove possibilità di attacco e aiutare le aziende FinTech e tradizionali a proteggere i propri asset”.