Usa il mouse, frecce o sfoglia se touch
   numero di 30/05/2018
Digital Business

Otto suggerimenti per creare un'esperienza perfetta e sicura di mobile banking
Vergara (Vasco Data Security): il canale mobile oggi è determinante

Per crescere nel canale mobile, banche e istituzioni finanziarie devono offrire servizi utilizzabili in modo rapido e semplice. È questo che vogliono i consumatori, sebbene occorra superare l'apprensione psicologica di molti nei confronti della sicurezza mobile. Per riuscirci, le banche devono affrontare problemi tecnici specifici in una strategia che consideri la mobile security come un insieme.
Ecco otto suggerimenti per una strategia mobile di successo:
1. Garantire un login veloce e sicuro.
La maggior parte degli utenti preferisce un'esperienza mobile sicura e agevole che consenta di utilizzare più servizi tramite il proprio dispositivo. Le banche cercano di fornire accessi più veloci e pratici sostituendo password complesse con semplici PIN o forme di autenticazione biometrica. Tuttavia, senza una corretta implementazione, non ci sarà sicurezza. Le banche possono risolvere il contrasto tra praticità e sicurezza sviluppando una struttura di protezione sottostante che renda affidabili gli accessi.
2. Offrire un'esperienza fluida.
Minori complessità consentono azioni rapide e una user experience positiva per gli utenti. Le app di mobile banking richiedono molteplici tecnologie di sicurezza per proteggere dispositivi e comunicazioni ed è necessario legarle senza il bisogno di azioni aggiuntive da parte dei clienti. Alcune opzioni, ad esempio, sono quelle che consentono a un dispositivo mobile di autenticarsi da solo all'avvio di una nuova sessione o quelle basate sulle più recenti tecnologie di autenticazione comportamentale.
3. Proteggere le app di mobile banking. 
La popolarità del mobile banking ha creato un ambiente competitivo tra gli sviluppatori di app. Di conseguenza, il rilascio di nuove versioni viene spesso affrettato, creando vulnerabilità. Il potenziale di malware nelle app bancarie è noto. Il malware "BankBot" per Android, ad esempio, ha colpito più di 420 banche nel mondo. Utilizzando la tecnica "overlay", il malware consente di creare finestre che si sovrappongono alle legittime applicazioni Android e di intercettare informazioni sensibili. È importante rafforzare l'app con applicazioni di schermatura e, in particolare, con la tecnologia RASP (Runtime Application Self-Protection). Ciò mantiene l'app (e i sistemi di back-end) al sicuro anche quando l'app è in esecuzione su dispositivi con protezione OS disabilitata o già infetti da malware. Se, ad esempio, la RASP rilevasse il rischio di un attacco overlay, chiuderebbe l'app aprendo un browser per notificare il pericolo.
4. Misurare il rischio su ogni dispositivo mobile.
Le basi di una sicurezza efficace sono i controlli multistrato. Se un hacker supera un primo livello, altre forme di controllo intervengono. Tra queste, ci sono tecnologie che analizzano ogni dispositivo e i comportamenti associati dell'utente mentre usa un'app di mobile banking. L'obiettivo è valutare il rischio di ciascun dispositivo per implementare specifiche policy quando le soglie critiche sono elevate. Ad esempio, versioni senza patch del sistema operativo o l'uso di una rete Wi-Fi pubblica sconosciuta comportano più rischi. Per una sicurezza elevata, l'analisi e la valutazione devono avvenire automaticamente e in tempo reale.
5. Adottare un approccio omnicanale.
Per rimanere competitivi, occorre garantire una user experience ottimale su ogni canale, compreso il mobile. La sfida, per gli utenti, è che differenti canali spesso richiedono modi diversi di autenticarsi e autorizzare le operazioni. Ciò porta a complessità. Un approccio omnicanale ottimizza la sicurezza senza influire sull'usabilità. Tale approccio richiede metodi con cui eliminare la complessità grazie a un minor numero di interazioni.
6. Combattere il social engineering e altre minacce.
Il social engineering funziona perché molte persone hanno una naturale tendenza a fidarsi che gli hacker sfruttano per rubare informazioni preziose. Molte banche hanno risposto con una maggiore sicurezza per gli utenti. Tuttavia, il phishing ha ancora successo. La ragione è che la decisione finale di completare una transazione viene presa dall'utente che si autentica nei confronti della banca, non viceverPer combattere il social engineering, una firma dovrebbe essere generata solo per richieste note alla banca. Il dispositivo mobile dovrebbe rifiutare le richieste che non provengono dalla banca. E non dovrebbe esserci modo di generare una firma senza un'interazione con la banca.
7. Essere al passo con le normative.
Il settore bancario è pesantemente regolamentato. Nell'UE, come è noto, è già in vigore la PSD2, che regolamenta la sicurezza dei pagamenti elettronici - anche quelli mobile e al dettaglio - stabilendo un livello minimo di protezione. Altre normative come il GDPR (General Data Protection Regulation) e la PCI-DSS (Payment Card Industry Data Security Standard) richiedono l'autenticazione a più fattori per proteggere i dati o gli accessi. È quindi importante usare soluzioni che soddisfino i requisiti di queste normative.

8. Semplificare la firma dei documenti.
Man mano che comprendono i benefici della digitalizzazione, le organizzazioni cercano di estenderli a ogni area. Ciò richiede una piattaforma di firma elettronica flessibile che soddisfi i requisiti di ogni processo aziendale e sia implementabile su qualsiasi canale: online, mobile, call center o filiale. Le firme elettroniche consentono al personale di gestire in modo sicuro le transazioni basate su documenti; allo stesso tempo, permettono agli utenti di firmare rapidamente e facilmente, in qualsiasi luogo e momento e attraverso ogni dispositivo.

In definitiva, il passaggio al mobile è una necessità strategica per banche e istituzioni finanziarie. L'applicazione di questi otto passaggi assicura la possibilità di estendere ai clienti un'esperienza di mobile banking continua e sicura.

David Vergara, Director of Security Product Marketing - VASCO Data Security



Digital Business


Condividi su LinkedIn numero di 30/05/2018
Torna al SOMMARIO








SEGUICI