Metti insieme Finance e digitale e il primo pensiero dei responsabili IT non è la possibilità di attivare servizi innovativi. È piuttosto la necessità di proteggere questi nuovi servizi fintech. Perché il mondo finanziario è, storicamente, il bersaglio preferito della criminalità informatica. Quando si pensa alla digitalizzazione dei servizi finanziari è quindi necessario associarvi subito componenti di cyber security. Che, come il fintech stesso, vanno evolvendo in funzione delle applicazioni e dello scenario complessivo della sicurezza.

Per il mondo fintech valgono innanzitutto le considerazioni che si possono fare per qualsiasi servizio digitale. "Il mondo iperconnesso di oggi - spiega Marco Urciuoli, Country Manager di Check Point Italia - crea molte opportunità sia a noi sia ai criminali informatici, purtroppo". Il punto potenzialmente debole del fintech è che sta crescendo in fretta, a volte troppo. "Le esigenze di trasformazione digitale cresceranno a passo spedito e di conseguenza l'infrastruttura IT di queste organizzazioni crescerà e sarà molto più complessa di quanto non sia oggi", sottolinea Urciuoli.

Meglio pensarci per tempo: "Una sfida chiave che le aziende dovranno affrontare sarà quella di costruire un'infrastruttura IT sicura attraverso l’implementazione di un'architettura di sicurezza consolidata che sia in grado di offrire una prevenzione totale delle minacce, riducendo la complessità di gestione e aumentando l'efficacia della sicurezza al tempo stesso", spiega Urciuoli.
È opportuno quindi ragionare in ottica di architetture, più che di prodotti puntuali. In casa Check Point parliamo di Infinity, che dal punto di vista del vendor è "un’architettura per la prevenzione completa contro gli attacchi - spiega Urciuoli - che fa della prevenzione avanzata delle minacce e della semplificazione dell’experience dei nostri clienti i suoi punti di forza". Servono però anche nuovi approcci - "una best practice da adottare è ricorrere ad un approccio di rilevamento proattivo, piuttosto che il solo rilevamento, per difendersi da sofisticate minacce informatiche", evidenzia Urciuoli - e auspicabilmente anche la possibilità di coprire tutti i possibili scenari: rete, device mobili, endpoint, cloud, anche le reti OT e IoT.

Pericoli vecchi e nuovi

Dal punto di vista della cyber security, il mondo fintech "paga" la sua crescente complessità: l'essere basato su una pluralità di servizi a cui si accede potenzialmente da qualsiasi device. Il che apre la strada a minacce anche ben diverse da quelli tradizionali. Ad esempio, "le applicazioni fintech sono sottoposte a molteplici attacchi emergenti - spiega Gianluigi Crippa, Strategic Business Development Manager di Consys.it - effettuati tramite l’utilizzo di identità sintetiche, da programmi malevoli che emulano un cliente reale e che fanno uso di credenziali rubate".

Da qui la necessità di seguire più strade in parallelo. Per le minacce in stile classico, l'esperienza fa dire a Consys.it che "la risposta più efficace è fornita dai Web Application Firewall, configurati con logica negativa e positiva, arricchiti da servizi di scansione applicativa che alimentano in automatico i sistemi WAF e portano la sicurezza nel ciclo di sviluppo, con un approccio DevSec". Per frodi e abusi di nuova concezione, serve invece "Introdurre soluzioni innovative che siano in grado di rispondere a tre semplici domande. Chi richiede il servizio è una persona? Ha intenti leciti o malevoli? È chi dice di essere?". Si parla in pratica "di applicazioni che, basate sulla raccolta e l’analisi in cloud dei dati utilizzati dai servizi stessi, siano in grado poi di interpretarli prontamente tramite funzionalità di intelligenza artificiale e machine learning", commenta Crippa.
Marco Urciuoli, Country Manager di Check Point Italia, e Gianluigi Crippa, Strategic Business Development Manager di Consys.itDavanti a minacce in aumento e in diversificazione "la sicurezza informatica deve essere affrontata per gradi e su più livelli", spiega Jacopo Bruni, Marketing Manager di Praim. E un livello che spesso viene trascurato è quello degli endpoint. In fondo, è da quelli che si accede ai servizi e ai dati. Quanto sono protetti e in grado di difendersi? E quanto lo staff IT è eventualmente davvero in grado di monitorarli e gestirli?

"Un argomento questo - spiega Bruni - che è stato acutizzato dalla situazione di questi ultimi mesi, che ha costretto molte aziende, fintech comprese, a riorganizzarsi per delocalizzare il proprio lavoro". Per poter assicurare un giusto grado di cyber security quindi "è indispensabile prevedere una corretta gestione di tutti gli endpoint in sede e non, anche se parliamo di dispositivi che non sempre sono di proprietà dell’azienda... Gli strumenti esistono e, se puntualmente adottati, consentono un lavoro migliore e sicuro sia per gli utenti che per i responsabili IT".

L'ottica del risk management

La cyber security dei servizi finanziari, non importa se più o meno evoluti, è in sintesi fatta da molti tasselli, in risposta a molte minacce. Questi tasselli certamente si possono considerare in un'ottica di architettura. Ma è necessaria anche una ottica diversa, di gestione del rischio. "Le aziende devono essere pronte alle frodi sui canali digitali - spiega Mario Grossi, Senior System Engineer, RSA Fraud & Risk Intelligence - e includerle nella loro strategia di mitigazione del rischio. La miglior difesa è un approccio globale che analizzi il comportamento del cliente mentre effettua un’operazione e determini il rischio associato ad ogni transazione".
Jacopo Bruni, Marketing Manager di Praim, e Mario Grossi, Senior System Engineer, RSA Fraud & Risk IntelligenceProprio esaminando il flusso di una generica transazione si percepisce meglio la complessità delle architetture fintech, quindi delle possibili contromisure che si possono mettere in atto. Dall'autenticazione a due fattori imposta dalla PSD2 al dynamic linking, col quale a chi imposta un pagamento vengono mostrati importo e beneficiario prima dell'autorizzazione definitiva. "Il dynamic linking - spiega Grossi - permette di contrastare il problema dei malware che, attraverso tecniche di manipolazione del software (man-in-the-middle e man-in-the-browser), vanno a modificare gli estremi di un pagamento".

Il concetto generale è quello della risk-based authentication, cioè "l’autenticazione basata su un punteggio di rischio elaborato dal sistema antifrode", sintetizza Grossi. Il che permette di considerare anche fattori di rischio che sono "esterni" alla transazione in sé, come il social engineering. "Il monitoraggio delle transazioni è cruciale per prevenire tutti gli scenari di frode conosciuti. E investire nell’individuazione e prevenzione delle frodi attraverso strumenti di machine learning è vitale. Solo usando un approccio risk-based si può trovare il giusto equilibrio tra identificazione delle frodi ed esperienza utente", evidenzia Grossi. Il che significa anche poter garantire ai servizi finanziari innovativi quella semplicità per cui sono tanto apprezzati dai nuovi consumatori digitali.