Le firme per le transazioni incontrano i selfie

I trojan utilizzati per il furto di denaro sono superati. Quando è stata l’ultima volta che hai effettuato l’accesso al tuo portale di online banking, inoltrato un pagamento, ricevuto una notifica sul tuo telefono per validare i dettagli della transazione e approvare l’operazione tramite tocco? O ancora, quando è stata l’ultima volta che hai dovuto utilizzare un dispositivo hardware fisico per firmare una transazione?

Quando ti rechi in banca e richiedi di effettuare una transazione per un pagamento di valore elevato utilizzando i tuoi fondi, la procedura standard prevede che l’impiegato della banca stampi un riepilogo della richiesta di transazione da validare. Dopo averlo controllato, confermi semplicemente all’impiegato di proseguire con la transazione del pagamento.  A questo punto, in seguito alla tua convalida, ci si aspetta che nessuno nel retro della banca sia pronto a deviare immediatamente la richiesta di transazione e a trasferire i fondi su un altro conto.  Quando si tratta di online banking, questa procedura di convalida della transazione costituisce un passaggio fondamentale per ostacolare eventuali frodi tramite sofisticati trojan.  A seconda della tua posizione geografica, la tua esperienza quotidiana di online banking quando effettui un pagamento potrebbe già prevedere un processo di convalida della transazione out-of-band con firma crittografica.  Per altri, invece, questo passaggio aggiuntivo è una novità assoluta: Cosa vuol dire che devo effettuare un ulteriore passaggio di convalida dei dettagli della transazione per completare l’operazione di pagamento che ho già richiesto?

Di recente sono stato in Olanda e mi sono fermato in una caffetteria per bere il mio primo caffè ad Amsterdam e capire quanto ci sarebbe voluto per richiedere un passaggio con Uber. Mi sono seduto a sorseggiare il mio caffè. Seduta con fare attento davanti al suo laptop, la donna accanto a me ha tirato fuori dalla borsa un dispositivo hardware per l’autenticazione.  Credo stesse effettuando un pagamento tramite online banking. Infatti digitava numeri in un ulteriore dispositivo hardware per completare la transazione. Il dispositivo grigio utilizzato per firmare la transazione era in netto contrasto con il suo telefono, un nuovissimo e grande iPhone 6 Plus, credo.  Le ho chiesto perché non stava semplicemente utilizzando il suo telefono per completare la transazione.

Effettuare pagamenti tramite online banking dovrebbe essere un’esperienza semplice e sicura. Dopotutto, si tratta dei nostri soldi. In un contesto in cui diversi tipi di malware continuano a minare nuovi territori, dal periodo in cui sono emersi Zeus e Citadel a minacce quali Tinba, i trojan nascosti non rendono le procedure di autenticazione semplici quanto le banche vorrebbero.  Gli istituti finanziari devono fungere da gatekeeper, invitandoci a riflettere sul vecchio braccio di ferro tra comodità e sicurezza.  All’insaputa della vittima, i trojan del tipo Man-in-the-Browser (MITB) attaccano di nascosto gli utenti finali che tentano di completare una semplice operazione di pagamento, manipolando i dati della transazione (in background) e reindirizzando i fondi a un account corriere.

Per ridurre i rischi posti da tali trojan utilizzati per il furto di denaro e gli attacchi del tipo MITB, alcune banche hanno adottato un approccio per la protezione delle transazioni su più livelli.   Mentre alcuni istituti finanziari mirano semplice ad aumentare il proprio livello di Security Maturity tramite una maggiore consapevolezza, altri cercano di soddisfare normative, quali la Direttiva PSD2, che richiedono controlli più rigorosi.  Essenzialmente, un livello dei controlli adeguato soddisferebbe sia le normative che la capacità della banca di comprendere le aspettative dell’utente finale, aspettative che tipicamente prevedono un’esperienza di transazione rapida, controlli di sicurezza per garantire la protezione dei fondi e un livello di comodità associato a un processo progettato in modo intuitivo per l’utente.  Indipendentemente dalla sicurezza, un’esperienza utente e transazioni semplificate aiutano a garantire la soddisfazione del cliente quando utilizza un servizio.

Stampa
 

Grazie all’ascesa della tecnologia mobile per gli smartphone associata alla biometrica, soddisfare le aspettative degli utenti è ancora più semplice. Come affermato da Goode Intelligence, “la biometrica sta offrendo una soluzione attendibile al duplice problema di sostituire password deboli con meccanismi di autenticazione e risolvere il dilemma dell’autenticazione mobile: come implementare soluzioni di autenticazione avanzata comode sui dispositivi smart”.  I Software Development Kit (SDK) mobili consentono agli istituti finanziari di offrire app di online banking che garantiscano un’autenticazione basata sul rischio trasparente e a più fattori e l’integrità delle transazioni, grazie alla convalida dei dettagli della transazione combinata alla firma crittografica.  La tecnologia biometrica integrata negli SDK mobili, come ad esempio l’acquisizione dell’impronta digitale e dell’EyePrint ID tramite un selfie, consente agli utenti di autenticarsi rapidamente.  Sfruttando l’SDK mobile, la firma delle transazioni garantisce integrità, firma crittografica e autenticità delle transazioni di pagamento per prevenire le frodi causate dagli attacchi di malware finanziari avanzati.

Una banca che implementa questo tipo di sicurezza all’interno della sua app mobile garantisce la protezione dell’utente finale. Infatti, quando l’utente effettua una transazione di pagamento, riceve sul proprio cellulare una notifica push che richiede di validare i dettagli relativi al beneficiario e al pagamento stesso. Approvando la richiesta con un semplice tocco, la transazione viene firmata tramite crittografia.  A seconda del livello di rischio, l’utente può scattare un selfie o utilizzare la propria impronta digitale per autenticarsi e completare la transazione di pagamento in modo sicuro.

Il braccio di ferro tra convenienza e sicurezza non avrà mai fine, ma il consumatore può e merita di avere entrambe. Quando gli istituti finanziari combinano un processo di convalida della transazione mediante firma crittografica e l’immediata autenticazione biometrica in un unico e semplice workflow su un dispositivo ottimizzato per il mobile, gli utenti finali possono liberarsi di scomodi hardware per firmare le transazioni. E le banche possono a loro volta ridurre le frodi e garantire la sicurezza dei propri clienti.

No Comments