Transazioni di pagamento sicure per le PMI
Il Trojan Emotet per l'e-banking è stato il malware più diffuso sui computer aziendali svizzeri nel 2019. L'obiettivo dei criminali informatici non sono più solo le grandi aziende, ma sempre più anche le piccole e medie imprese. Affinché le PMI possano proteggere adeguatamente la propria infrastruttura, è necessario osservare alcuni punti fondamentali.
Le operazioni di pagamento elettronico, ovvero l'online banking, sono diventate indispensabili in ogni azienda. È troppo comodo e confortevole avere accesso diretto alle finanze dell'azienda in qualsiasi momento.
A causa del suo potenziale di arricchimento diretto, tuttavia, l'online banking rappresenta anche un obiettivo appetibile per gli aggressori. Dagli attacchi di phishing a quelli di social engineering, fino alle minacce informatiche per l'online banking specificamente programmate, i vettori di attacco sono diversi.
Gli stessi istituti finanziari proteggono in modo completo i dati e le finanze dei clienti con sistemi di sicurezza moderni e nuovi.
Archiviazione sicura dei dati
Le istituzioni finanziarie svizzere hanno uno standard di sicurezza molto elevato rispetto agli standard internazionali. Centri dati e sistemi di sicurezza protetti assicurano la sicurezza dei dati e delle finanze dei clienti. Gli organismi di controllo esterni e le norme ISO garantiscono la standardizzazione.
Accesso protetto ai dati
Gli istituti finanziari garantiscono il massimo livello di sicurezza possibile non appena il cliente accede all'e-banking. Di norma, si utilizza un sistema a più livelli. Gli aggressori devono essere in grado di superare con successo ogni singolo ostacolo di sicurezza per poter accedere ai dati e alle finanze del cliente. In dettaglio, le procedure di accesso differiscono l'una dall'altra, il che rappresenta un vantaggio in termini di sicurezza: I tentativi di attacco non possono essere trasferiti uno a uno da un sistema di e-banking all'altro.
Gli istituti finanziari di solito offrono ai clienti la possibilità di scegliere tra diverse procedure di iscrizione, spesso a causa della storia o delle diverse esigenze dei clienti.
Trasmissione sicura dei dati
I dati tra il server di e-banking e il dispositivo del cliente sono crittografati in entrambe le direzioni con una chiave di almeno 128 bit. Questa tecnologia moderna e diffusa garantisce un elevato standard di sicurezza, che protegge i dati registrati e trasmessi dalla manipolazione.
Monitoraggio delle transazioni
Se un istituto finanziario dispone di un sistema di monitoraggio delle transazioni, i pagamenti inviati dal cliente passano attraverso una serie speciale di routine di controllo prima di essere eseguiti. I trasferimenti insoliti, ad esempio i pagamenti all'estero, sono sottoposti a un controllo particolare prima di essere eseguiti.
Inoltre, è molto importante che anche i clienti delle banche proteggano adeguatamente i loro computer e le loro infrastrutture e osservino le regole di comportamento di base.
Per un funzionamento sicuro dell'online banking, oltre a un'infrastruttura sicura, è necessario osservare i seguenti punti importanti al momento del login, durante l'online banking e anche al momento del logout:
Quando si effettua l'accesso:
- Navigazione sicura verso l'istituto finanziario: l'indirizzo dell'online banking dell'istituto finanziario deve sempre essere inserito manualmente nella riga dell'indirizzo del browser. Non si deve mai utilizzare un link, sicuramente non se è stato recapitato via e-mail, ad esempio! Inoltre, l'online banking deve essere utilizzato solo da un computer conosciuto e sicuro (ad esempio, non negli Internet café, nei computer pubblici degli alberghi, ecc.)
- Verifica della connessione sicura: è necessario assicurarsi che l'accesso all'online banking avvenga esclusivamente tramite una connessione TLS "sicura" e che il certificato sia autentico e valido. (cfr. sezione "Verifica del certificato").
- Attenzione in caso di interruzione del sistema o di messaggi di errore insoliti: Se si verifica un'interruzione del sistema durante l'accesso all'e-banking (ad esempio, un'improvvisa schermata bianca) o se compaiono messaggi di errore insoliti (ad esempio, "Il sistema è attualmente sovraccarico. Si prega di essere pazienti e di riprovare più tardi"), la connessione deve essere interrotta immediatamente e l'istituto finanziario deve essere informato.
Durante l'online banking:
Rimanete concentrati sul compito da svolgere: Durante la sessione attiva di e-banking, fate attenzione a eventi insoliti come inserimenti automatici, transazioni inspiegabilmente modificate, messaggi di conferma non richiesti o simili. Inoltre, le sessioni di e-banking aperte non dovrebbero mai essere lasciate incustodite per non dare a terzi non autorizzati l'opportunità di farne un uso improprio.
Quando si effettua il logout:
- Terminare correttamente la sessione di online banking: la sessione di online banking deve sempre essere terminata correttamente utilizzando l'apposita funzione (solitamente contrassegnata da "Log out", "Log out" o "Exit").
- Cancellazione della cache del browser: dopo ogni logout della sessione di online banking, la cache del browser deve essere cancellata. A https://www.ebas.ch è possibile trovare ulteriori informazioni pratiche e aggiornate sulle misure necessarie e sulle regole di condotta per un utilizzo sicuro delle applicazioni di online banking.
Controllo del certificato
Quando si stabilisce una connessione criptata (TLS), ogni browser verifica le proprietà del certificato "Affidabilità dell'emittente del certificato", "Validità del certificato" e "Indirizzo del server web". Se questi tre controlli sono stati eseguiti con successo, il browser non visualizza alcun messaggio di errore quando stabilisce la connessione TLS.
Una connessione TLS correttamente stabilita al sito web corretto, basata su un certificato autentico e valido, può essere riconosciuta dalle seguenti tre caratteristiche uniche del browser:
- Simbolo di blocco nella barra degli indirizzi: La connessione è stata crittografata con un certificato SSL valido.
- Nome corretto dell'istituto finanziario (visualizzato accanto al lucchetto o dopo aver fatto clic sul lucchetto alla voce "Rilasciato a:"): L'identità del proprietario del certificato (banca) è stata confermata.
- Nome di dominio corretto nell'indirizzo: Siete davvero dalla parte dell'istituto finanziario.
L'autenticità del certificato su cui si basa la connessione può essere verificata anche manualmente. A tal fine, viene verificata l'impronta digitale del certificato. L'impronta digitale è una stringa di caratteri composta dalle lettere da A a F (senza distinzione tra maiuscole e minuscole) e dalle cifre da 0 a 9. L'impronta digitale viene verificata confrontando questa stringa di caratteri con una stringa di riferimento che l'utente ha ricevuto dall'istituto finanziario. Se la stringa letta dal certificato corrisponde a quella ricevuta dall'istituto finanziario, il certificato è autentico.
Procedura di login / mezzi di autenticazione
Per accedere all'online banking vengono utilizzate diverse procedure e tecnologie di login. Lo standard è l'autenticazione a due fattori, in cui una chiave di accesso univoca è solitamente fornita su un secondo dispositivo (token) o smart card (secondo fattore "avere") oltre al numero di contratto e alla password (primo fattore "conoscere").
Conferma della transazione / firma della transazione
La cosiddetta conferma della transazione (chiamata anche conferma del pagamento o firma della transazione) è spesso utilizzata per proteggere dai pagamenti non intenzionali. In questo caso, alcuni pagamenti in uscita devono essere ulteriormente controllati dall'utente prima del trasferimento e rilasciati esplicitamente per l'esecuzione. L'assegno può includere elementi quali la valuta, l'importo e parti del numero di conto del beneficiario.
Software di pagamento offline
Con il software di pagamento offline, i pagamenti possono essere registrati senza una connessione a Internet e poi trasmessi collettivamente all'istituto finanziario nel formato standardizzato ISO 20022. Inoltre, questi programmi offrono spesso anche interfacce con vari programmi di contabilità e istituzioni finanziarie, il che rende il lavoro in questo senso molto più semplice e meno soggetto a errori.
Implementazione e controllo
L'infrastruttura utilizzata per l'online banking deve essere adeguatamente protetta. (cfr. capitolo 5.5 "Uso dei client sul posto di lavoro", Manuale di sicurezza informatica, ISBN: 978-3-033-07646-4).
La cerchia degli utenti dell'online banking deve essere ristretta il più possibile e le responsabilità devono essere chiaramente regolamentate e documentate. Inoltre, gli utenti dell'online banking devono essere formati per una gestione sicura. Occorre prestare particolare attenzione al processo di login e alla gestione dei mezzi di autenticazione associati. Se possibile, è necessario creare un accesso all'online banking separato per ogni utente, evitando account di gruppo o accessi condivisi.
Si esamina l'introduzione e l'utilizzo di software di pagamento offline.
Il controllo si presenta come segue:
- Per l'online banking viene utilizzata un'infrastruttura adeguatamente protetta?
- Il gruppo di utenti dell'online banking è limitato il più possibile e le responsabilità sono chiaramente regolamentate e documentate?
- Viene utilizzata la procedura di accesso più sicura (mezzi di autenticazione) in base ai requisiti?
- Gli utenti dell'online banking sono stati addestrati e le regole di comportamento per l'accesso e l'uscita dall'online banking sono applicate in modo coerente?
- I mezzi di autenticazione richiesti (token, smart card, ecc.) sono utilizzati e conservati in modo sicuro?
- Se offerto dall'istituto finanziario: La conferma della transazione è attivata?
- È stata esaminata l'introduzione/utilizzo di software di pagamento offline?
Informazioni sul www
- Università di Scienze Applicate e Arti di Lucerna, piattaforma "eBanking - ma sicuro! https://www.ebas.ch
- Autorità di vigilanza sui mercati finanziari: https://www.finma.ch
- Payment-Standards.ch: https://www.paymentstandards.ch
- ISO 20022: https://www.iso20022.org
Le aziende fanno bene a proteggersi adeguatamente. Le indicazioni su come farlo sono contenute nel Manuale di sicurezza delle informazioni per la pratica (ordine online): www.sihb.ch). È stata recentemente pubblicata l'edizione completamente rivista e aggiornata. L'articolo sopra riportato è tratto dal capitolo "Transazioni di pagamento sicure (online banking)".
Autore
Oliver Hirschi, docente e responsabile di "eBanking - ma sicuro!", Università di Scienze Applicate e Arti di Lucerna. Ha contribuito alla creazione di questo servizio HSLU e gestisce la piattaforma da oltre dieci anni. È anche proprietario e amministratore delegato a tempo parziale di SecAware GmbH. È inoltre coautore della nona edizione del "Information Security Handbook for Practice".