PSD2 e security: quali saranno le conseguenze per i correntisti?

Dal 14 settembre anche le banche italiane hanno recepito la Direttiva europea PSD2 che prevede l'obbligo, per gli istituti di credito, di autorizzare "parti terze" ad accedere ai dati dei propri correnti. Le "terze parti" sono le cosiddette FinTech, o più semplicemente servizi ed applicativi che previa autenticazione, per conto del correntista accedono ai suoi dati bancari e, ad esempio, gli forniscono un report sulle spese, sugli investimenti, se non anche analisi più evolute, quali previsioni, raccomandazioni di utilizzo del proprio denaro. Ma quali saranno le conseguenze per la sicurezza dei correntisti?

Secondo Francesco Faenzi, Direttore della Business Unit Digital Trust di Soft Strategy, "possiamo dire in sintesi che l'insieme delle misure di sicurezza organizzative, procedurali e tecnologiche previste dalla Direttiva è robusto. Inoltre assumiamo che l'implementazione delle nostre banche sia allo stato dell'arte oggi possibili, se non anche innovativa e migliorativa. È disponibile sulle maggiori testate nazionali, sia generaliste che finanziarie una presentazione sintetica, chiara e autorevole dei dettagli di questo articolato meccanismo. Quindi invito i correntisti ad approfittare di queste informazioni, ben fatte, complete e tutto sommato semplici.
In sostanza, non sono particolarmente preoccupato e comunque non mi voglio soffermare sulle vulnerabilità tecniche, sulla sicurezza tecnica e l'attacco tradizionale tramite abuso di tecniche di hacking.

Mi voglio invece focalizzare su una prospettiva diversa e che mi sembra sia poco trattata. La PSD2 è in generale una enorme novità nelle modalità di interazione tra correntisti, banche e ?terze parti', una ?news' che investe una enorme fetta della popolazione. Mi voglio quindi concentrare sui fattori di insicurezza relativi all'aspetto umano: qualsiasi cambiamento crea confusione e in particolare questo genererà un fiume di mail, lettere, notifiche sul cambio di meccanismi di interazione tra le parti coinvolte.
Nella confusione non ho dubbi che i cyber criminali organizzeranno campagne massive per indurre quote rilevanti della popolazione coinvolta a rivelare informazioni finanziarie, che non dovrebbero, per telefono o per mail. Per intenderci, un'esplosione di casi di phishing studiati ad hoc e abusando del momento di confusione generato dalla novità PSD2. Il tutto prima che questa vada a regime e se ne vedano gli effetti positivi di sicurezza.

Faccio notare che proprio recentemente Niall Bodkin, Chairman of the eCommerce Association of Ireland, ha segnalato il rischio di momento di grande confusione. Cosa fare?
Come sempre nel phishing, anche in questo caso occorre che i correntisti aumentino la propria soglia di attenzione su comunicazioni e ?news' ricevute, abbassino la soglia di ?fiducia' nei possibili mittenti e approfondiscano meglio la reale identità degli stessi.
Un altro problema è che la PSD2, con le sue aperture crea nuove ?porte' sul proprio conto: i dati sulle finanze dei correntisti sono alla fin fine anche nelle mani di terze parti. Non sto dicendo che queste saranno dei frodatori: le misure di sicurezza previste dalla Direttiva prevedono garanzie di controllo preventivo e continuativo. Sono altrettanto confidente di un'ottimale implementazione di queste misure da parte degli attori coinvolti. Tuttavia, è ?legge' che quanti più sono gli interlocutori che hanno i miei dati, tanto più è alto il rischio che uno di essi sia attaccato e subisca un ?data breach', con ad esempio, conseguente diffusione su canali criminali di compravendita di tali dati.

Cosa fare? In primis, non esagerare nel concedere accesso a troppe terze parti (per carità, singolarmente fidatissime). E magari gestire tali accessi ?a tempo': per esempio se devo ottenere una raccomandazione di investimento oggi da una FinTech, una volta avuta non vedo la necessità di tenere quell'accesso aperto e - se fosse per me - una volta ottenuto il servizio chiederei la cancellazione dei dati.
È ovvio che questo scenario non è sempre applicabile, per esempio se devo dare accesso ad una FinTech che mi supporta nelle decisioni trading.
Tuttavia vale il principio: prevedere un po' di sana igiene nei comportanti online e pensare a quello che si fa ed alle possibili conseguenze", conclude Faenzi.