A metà settembre 2019, la maggior parte delle banche europee ha apportato modifiche relativamente ampie ai propri sistemi bancari online. La protezione dell’accesso all’account, in particolare l’accesso all’online o mobile banking, nonché l’avvio del pagamento, è stata convertita in procedure che soddisfano i requisiti di autenticazione forte del cliente (SCA) della PSD2. I cambiamenti più grandi sono stati durante l’accesso all’online banking. Ciò è ora consentito solo se l’utente si autentica fortemente, il che equivale all’autenticazione a due fattori (2FA). In tutte le implementazioni considerate, il primo fattore è una password, nota anche come PIN in molte banche. Come (e quando) il secondo fattore è verificato differisce:
1) Molte banche possono ora richiedere l’inserimento aggiuntivo di un numero di transazione (TAN) da una procedura TAN;
2) Alcune banche possono anche fare affidamento sul collegamento di dispositivi a SCA nell’online banking;
Per la 2FA nel mobile banking, le banche spesso utilizzano già processi biometrici iOS e Android in connessione con il collegamento dei dispositivi. Si possono identificare i seguenti problemi di implementazione:
• Password: il primo fattore di autenticazione nell’online banking è ancora una password, un fattore basato sulla conoscenza. I “segreti condivisi” hanno lo svantaggio di non proteggere dagli attacchi su vasta scala;
• Procedure proprietarie 2FA: le banche dispongono di processi proprietari appositamente progettati per garantire l’accesso al conto bancario online;
• App multiple: la maggior parte degli utenti non riesce a capire il senso di un’app TAN aggiuntiva da installare insieme all’app bancaria.
Come può aiutare FIDO?
In che modo gli standard FIDO possono essere utilizzati nell’online e nel mobile banking per migliorare la situazione? I 2 obiettivi principali di FIDO sono:
1) Potenziamento della sicurezza online attraverso un’infrastruttura standardizzata per la crittografia asimmetrica in connessione con i sensori biometrici dei dispositivi, disponibile direttamente su tutte le piattaforme;
2) Miglioramento dell’esperienza utente sostituendo le password e l’integrazione nativa con il conseguente uso spesso familiare e facilmente comprensibile della tecnologia.
FIDO non si concentra principalmente sull’area business-to-employee (B2E), ma anche esplicitamente sull’area business-to-consumer (B2C), il che lo rende chiaramente superiore alle procedure basate su certificati, ad esempio.
La registrazione bancaria online può essere notevolmente migliorata con FIDO, più precisamente attraverso il supporto API W3C WebAuthentication (WebAuthn) per un numero crescente di utenti. Invece di una password e un TAN, le interfacce biometriche possono essere utilizzate per un accesso completamente senza password e conforme a PSD2.
Registro mobile banking e protezione delle transazioni con FIDO UAF
Lo standard FIDO UAF (Universal Authentication Framework) è stato sviluppato per l’implementazione di device linking, biometria e sicurezza delle transazioni nell’ambito del mobile banking. I vantaggi sono evidenti:
• Minore sforzo di implementazione dovuto alla documentazione completa esistente o all’uso di kit di sviluppo software (SDK) certificati FIDO esistenti;
• Ridotto sforzo di documentazione per le dichiarazioni di conformità e la gestione interna delle informazioni;
• Infrastruttura IT semplificata tramite server FIDO centrale che può servire insieme UAF e FIDO2/WebAuthn. Ciò elimina la necessità aggiuntiva di implementare e gestire un’applicazione proprietaria per la gestione delle chiavi e la verifica della firma sui server delle banche.
La decisione di utilizzare FIDO va vista come parte della strategia informatica delle banche. Si consiglia una graduale integrazione nell’infrastruttura bancaria online e mobile esistente. Per l’introduzione del FIDO devono essere soddisfatti i seguenti requisiti:
• Concetto di interfaccia utente: FIDO sta cambiando il modo in cui gli utenti accedono. Se l’utente ha abilitato FIDO, non è richiesta alcuna password e quindi nessun campo di immissione della password;
• Supporto WebAuthn nell’online banking: in base al concetto dell’interfaccia utente, l’online banking deve essere adattato e, se viene utilizzato FIDO2/WebAuthn, deve essere supportata l’API WebAuthn del browser.
Riflettendo…
In vista della PSD2, molte banche si sarebbero concentrate su una rapida implementazione per soddisfare i requisiti normativi SCA, facendo più o meno le proprie cose. Le formulazioni sfocate in PSD2 hanno certamente contribuito alla situazione attuale. In retrospettiva, ci si potrebbe chiedere perché tutti i casi d’uso dal punto di vista del cliente prima e dopo la PSD2 non sono stati eseguiti insieme e in un tempo tempestivo e uniforme, sono state redatte specifiche concrete o almeno raccomandazioni di attuazione sulla base degli standard esistenti. Gli standard FIDO hanno ormai raggiunto un livello di maturità e distribuzione che ne rende possibile un uso produttivo, soprattutto nell’ambiente bancario regolamentato. Con il processo moderno, è possibile ottenere un aumento significativo dell’usabilità e della sicurezza con mezzi relativamente semplici senza nuove dipendenze proprietarie.
A cura di Lenildo Morais
Chi è l’autore: Lenildo Morais
Master in Informatica presso il Computer Center dell’Università Federale del Pernambuco – (Brasile).
Project Manager presso Porto Digital de Pernambuco – (Brasile).
Ricercatore presso ASSERT – Advanced Laboratory of Research Technologies in Systems and Software Engineering
