Di Luca Sandrolini, Regional Sales Manager – VASCO Data Security
In Italia, secondo il rapporto annuale realizzato da ABI Lab in collaborazione con la School of Management del Politecnico di Milano, nel 2015 gli utenti attivi di mobile banking sono stati 5,5 milioni, un dato che segna una crescita del 15% sull’anno precedente e che sancisce il sorpasso sulle connessioni effettuate da PC.
Non c’è dubbio, quindi, che il canale mobile sia in forte espansione. Il mobile banking, d’altronde, ha molto senso: i clienti possono operare sempre e dovunque. Non hanno necessità di accedere al sito web della banca o di usare il proprio computer portatile. Per questa ragione c’è stato un forte spostamento delle operazioni di banca sulle applicazioni mobile.
Il risvolto negativo è che, nonostante la crescente popolarità, le applicazioni di mobile banking non sempre e non spesso riescono a soddisfare il duplice obiettivo di usabilità e sicurezza. Spesso, le banche preferiscono l’una o l’altra nella progettazione delle loro app: di solito quanto più è facile usare un’applicazione, tanto meno questa è sicura. Una delle ragioni è che gli sviluppatori di applicazioni mobile hanno risorse limitate e spesso rischiano di sacrificare la sicurezza preferendo rendere le loro applicazioni più user-friendly, semplificando il lavoro al sempre maggior numero di criminali che prendono di mira le applicazioni di mobile banking per le numerose opportunità di frode che offrono.
Questo grave problema richiede azioni mirate ed immediate. Le applicazioni mobile possono essere usabili e sicure allo stesso tempo: quello che serve, in fase di realizzazione, è considerare entrambi gli aspetti e capire che non si escludono a vicenda, ma che possono essere integrati entrambi a beneficio sia dei clienti che dei fornitori di servizi bancari.
Passi verso una soluzione
Servire due padroni – sicurezza e usabilità – è ovviamente più difficile e richiede la comprensione di alcuni elementi chiave.
In primo luogo, bisogna considerare l’implementazione del codice applicativo. Un modo per risolvere i problemi di sicurezza è quello di considerare ed utilizzare soluzioni di sicurezza modulare con funzionalità di autenticazione forte, firma delle transazioni, biometria, RBA (risk based authentication) e di Runtime Application Self-Protection (RASP) (per proteggere l’APP da possibili attacchi durante le fasi di runtime) tutte incorporate nell’ambiente di sviluppo stesso e, quindi, trasparenti per l’utente.
In secondo luogo, deve essere prestata una maggiore attenzione alla sicurezza dell’ambiente operativo del dispositivo. Questo deve tradursi in frequenti aggiornamenti del sistema operativo mobile per rimanere al passo con le nuove minacce. Sono disponibili diversi strumenti di gestione di dispositivi e di endpoint mobile dotati di queste funzioni di sicurezza.
In terzo luogo, le banche devono costruire applicazioni mobile migliori e più fruibili. Parte del problema è che l’asticella si sta alzando moltissimo.
Per raggiungere tale obiettivo, è necessario considerare funzionalità biometriche, oltre a comprendere come possano funzionare nel processo di autenticazione. In passato, la biometria è stata trattata come se fosse solo un altro insieme di fattori di autenticazione, come le one-time password. Ma questa tecnologia rappresenta molto di più. Oggi esistono tecnologie di biometria che coinvolgono più osservazioni del comportamento umano e sono in grado di riconoscere un utente verificando la voce, il viso, le impronte digitali oppure il modo in cui digita i tasti o muove il proprio dispositivo mobile. Per essere utile ed efficace, la biometria richiede uno sforzo maggiore per ottenere ampi campioni di dati di un utente ed essere in grado di passarli al setaccio in modo significativo.
La parola chiave qui è appunto significativo: spesso il processo di campionamento può essere viziato. Ad esempio, un’impronta vocale registrata in una stanza rumorosa è meno utile di una acquisita in isolamento da altri suoni. Oppure, chi parla in un determinato idioma, ma senza essere madrelingua, potrebbe usare accenti che impediscono una corrispondenza attendibile.
Il vero segreto nell’incorporare la biometria è la possibilità di percepire il comportamento dell’utente finale, non giudicare soltanto se la sua voce, i suoi bulbi oculari o le sue impronte digitali corrispondano a un particolare modello o schema registrato. Questo è un campo relativamente nuovo, ma ci sono prodotti che possono sfruttare la vasta collezione di sensori di cui è dotato uno smartphone medio – come giroscopi, acceleratori, touch ID e geo-localizzazione – e il modo in cui le persone passano le loro dita sullo schermo. Ciò può essere tanto unico quanto un’impronta digitale, quindi non conta ciò che si digita, ma come lo si digita.
Il modo migliore e più efficace è che la biometria venga integrata nel processo di sviluppo dell’autenticazione e dell’app, in modo che gli utenti non subiscano interruzioni nella gestione delle loro attività bancarie.
Consideriamo cosa succede una volta che la biometria comportamentale e altre tecnologie di autenticazione siano state applicate ad un’azione richiesta da un cliente bancario. Il primo passo è quello di considerare il contesto della specifica operazione e raccogliere dati in tempo reale dal dispositivo mobile, tra cui quelli biometrici relativi all’utente, quelli sulle condizione del dispositivo o, ancora, quelli sull’esistenza di attività dannose sul dispositivo stesso. Le informazioni vengono poi analizzate in tempo reale per determinare il rischio relativo. Ciò significa che ogni azione da parte di un utente non ha lo stesso impatto in termini di bilanciamento tra sicurezza e rischi. Una richiesta per conoscere il proprio saldo, per esempio, non comporta lo stesso rischio della creazione di un nuovo beneficiario del conto o dell’esecuzione di un pagamento, oppure della firma di un contratto (ad esempio per un prestito personale). Ne consegue che qualsiasi decisione di accesso al conto si basa su una serie dinamica di circostanze che possono portare a molteplici fattori di autenticazione da soddisfare. Piuttosto che su misure di sicurezza individuali, la soluzione si basa su una sicurezza a strati che varia in modo dinamico in funzione dei diversi scenari, a seconda del tipo di rischio coinvolto. Ogni transazione, di fatto, passa attraverso una serie di “ostacoli”, con quelle più rischiose che richiedono misure di sicurezza incrementate per bilanciare il rischio (ad esempio tramite step-up di autenticazione con fattori biometrici aggiuntivi, come il riconoscimento facciale o dell’impronta digitale). Al contrario, le attività a basso rischio vengono fatte avanzare rapidamente, sulla base di sofisticate regole di analisi del rischio eseguite in tempo reale, con gli utenti che continuano ad operare con fluidità restando completamente ignari del livello di controllo in atto, a loro completamente invisibile.