API Economy: quali saranno gli impatti in termini di sicurezza?

Risponde

Giuseppe Galati, Head of IT Risk e Cyber Security di MEDIOBANCA e speaker a Forum Banca nella sessione Cybersecurity

 

Si parla tanto di API Economy, quali saranno gli impatti in termini di sicurezza?

L’API Economy è una conseguenza della direttiva PSD2, che apre nuove opportunità di collaborazione tra banche e operatori terzi specializzati. Fino a oggi questa collaborazione non era particolarmente incentivata per l’assenza di un regolamento chiaro in materia.

Oggi invece ci si deve confrontare con un contesto diverso, in cui da un lato la banca si apre a nuove modalità per effettuare transazioni e, dall’altro, gli operatori terzi possono fornire ai clienti servizi di Initiation Payment, quali Funding checking e Accounting information.

Si tratta per le banche di una piccola rivoluzione, perché devono diventare transaction service provider.

 

Questo cosa vuol dire?

Per le banche questo significa che dovranno mettere gli operatori terzi in condizione di utilizzare i propri sistemi transazionali senza necessariamente sottoscrivere un contratto, previa autorizzazione del cliente a poter effettuare le operazioni.

In questo contesto i rischi per la sicurezza aumentano: è necessario saper riconoscere l’operatore ed essere in grado di controllare l’autorizzazione effettiva del cliente. Tutto questo deve essere costantemente garantito: le banche dovranno assicurare che i propri sistemi siano sempre disponibili, evitando così qualsiasi attacco “Denial of Service”.

È chiaro che all’aumentare del numero di operatori con la quale la banca stringe accordi di collaborazione, questa attività diventa sempre più strategica ma anche più complicata.

Siamo quindi di fronte a uno scenario nuovo a cui tutti gli addetti del settore guarderanno con molta attenzione: non abbiamo né dati di riferimento né precedenti tecnici da confrontare, deve essere adottato un inedito paradigma di sicurezza. Starà nell’abilità delle banche superare la fase di cautela iniziale per cogliere le opportunità offerte da questo nuovo business molto apprezzato dal mercato.

Il mondo delle API è quindi sicuramente interessante per il settore finance, mentre è più complicato per quello industriale. Pensiamo solo ai produttori di oggetti IoT worldwide che potranno utilizzare l’API per richiedere informazioni. Lo stato di sicurezza si complicherà ulteriormente: le banche dovranno da un lato difendersi, ma dall’altro essere capaci di fornire il migliore servizio.

 

Quali concrete possibilità aprirà quindi la normativa PSD2 e quali ripercussioni sulla sicurezza?

Le opportunità sono tantissime: aumentano i volumi di transazioni e indirettamente anche i dati a disposizione della banca per dare servizi più personalizzati.

La PSD2, per esempio, suggerisce di passare al metodo Dynamic linking, permettendo che le transazioni vengano eseguite in un contesto sicuro con tecniche di doppia firma: una volta ordinata una transazione, posso autorizzarla firmandola in modo digitale. In seguito i sistemi di Backend controllano l’autenticità della firma e la corrispondenza con la transazione effettuata, aumentando così il livello di sicurezza.

Le banche che per prime saranno PSD2 “compliant avranno un maggiore vantaggio competitivo: potranno infatti raggiungere un numero superiore di utenti garantendo allo stesso tempo un livello di sicurezza maggiore.

Non più solo digital banking, ma banca totalmente circolare: un luogo più aperto con tanti servizi a disposizione di tutti. Ancora una volta la PSD2 diventa un’opportunità, perché indica, con norme specifiche, come poter regolare queste attività.

 

 

Sul tema Internet of Things, da qui a 5 anni quali nuovi attacchi si potranno prevedere?

Questo è un tema che mi interessa particolarmente, perché qualsiasi oggetto tecnologico “evoluto” entrerà a fare parte della categoria IoT e potrà essere governato anche da remoto.

Già ne vediamo i primi effetti: si pensi che oggetti come termostati per caldaie e condizionatori controllabili da remoto, già venduti su internet, oppure a sistemi del settore healthcare gestiti da remoto.

L’IoT non espone più soltanto le aziende, ma porta all’attenzione di tutti l’importanza del rispetto della privacy anche per famiglie e privati cittadini. Basti pensare che proprio tramite videocamere IoT domestiche è stato portato a termine il celebre attacco tramite Mirai, che sfruttava la debolezza delle password standard impostate nei sistemi di videosorveglianza domestici.

È fondamentale che ci sia una sensibilizzazione sul tema della sicurezza informatica legata all’IoT non solo all’interno di imprese di tutti i settori, ma anche a beneficio di tutti i cittadini, in modo che possano sfruttare al meglio le opportunità offerte dai dispositivi senza incorrere in rischi per la propria privacy.

 

  1. Dalla sicurezza delle transazioni alla protezioni di dati e credenziali, quali criticità operative devono essere ancora risolte per arrivare a creare davvero nuovi ecosistemi?

Il nostro compito è quello di rendere la sicurezza un processo continuo, metodico e strutturato, sulla base del Continual Service Improvement; una volta abilitati i processi per il controllo dell’identità digitiale e il controllo costante del ciclo di vita, la sicurezza non sarà un problema.

La sfida subentra nel momento in cui si vogliono industrializzare questi processi, così da renderli controllabili, con costi certi e ben rappresentabili: tecnicamente abbiamo a disposizione tutti gli strumenti per farlo. Ciò su cui possiamo lavorare molto è la mentalità legata al tema della sicurezza industriale, con un approccio sempre più proattivo piuttosto che reattivo.

E torniamo qui al concetto di Security by Design: dobbiamo anticipare i bisogni in modo da garantire sicurezza in tutte le fasi dei processi.

 

I cookie ci aiutano a fornire i nostri servizi. Utilizzando tali servizi, accetti l’utilizzo dei cookie da parte nostra .

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi