Il settore finanziario rappresenta uno dei principali obiettivi di attacco in ambito cybersecurity, in ragione del profilo quali-quantitativo dei dati che vengono gestiti. La crittografia si pone quale misura essenziale di prevenzione dei cyber risk al fine di garantire la riservatezza, l’integrità e l’autenticità delle informazioni e costituisce un pilastro su cui si basa la fiducia nel contesto della digitalizzazione del settore finanziario. Da sottolineare inoltre che la normativa comunitaria con il regolamento Dora alza gli standard di sicurezza per gli istituti finanziari.
Indice degli argomenti
Perché la cybersecurity è prioritaria nel settore finanziario
La gestione elevata di informazioni e dati personali da parte di banche e istituti finanziari conferma, soprattutto nell’attuale contesto di digitalizzazione dei servizi che offrono, una sempre maggiore vulnerabilità nel settore, che rappresenta uno dei principali obiettivi di cyber attacchi.
È l’ora di DORA. Da gennaio 2025 parte la sfida compliance: tutto quello che c'è da sapere!
L’aumento delle transazioni online e delle operazioni finanziarie elettroniche porta con sé molteplici vantaggi, ma anche un innalzamento del livello di rischio per gli istituti di credito e le informazioni che conservano, che in tale contesto risultano più appetibili in ragione delle maggiori opportunità per i malintenzionati di trarre profitto tramite furti o frodi attraverso conti correnti, dati sulle carte di credito o sulle transazioni.
Per questo motivo la sicurezza informatica nel settore bancario è un elemento strategico, tanto centrale quanto multiforme, che comprende procedure, piani strategici e tecnologie progettate e implementate allo scopo di proteggere gli istituti e i dati da essi conservati, non solo per prevenire le perdite finanziare ma anche per preservare la continuità operativa e la fiducia dei clienti.
La crittografia come alleato per la tutela dei dati finanziari
Tra le varie misure di sicurezza informatiche, la crittografia si presenta come una delle difese più valide al fine di garantire la sicurezza dei dati finanziari e proteggere la privacy degli utenti, che consiste nell’utilizzo di algoritmi matematici per trasformare i dati leggibili in un formato cifrato, illeggibile a chiunque non possieda la chiave di decrittazione.
Tale meccanismo, che consente di evitare l’accesso alle informazioni da parte di soggetti non autorizzati, può essere basato su diverse tecniche. Di seguito le principali:
- Crittografia simmetrica, che utilizza una medesima chiave di accesso segreta (ossia una stringa casuale di bit generata da un computer) sia per cifrare che per decifrare i dati. A fronte dell’efficienza e velocità che caratterizzano questo metodo vi è un aumento dei rischi connessi alla sicurezza, in quanto la chiave deve essere condivisa tra tutti i soggetti coinvolti. In generale, la sicurezza della crittografia è collegata alla segretezza della chiave, pertanto occorre che la sua condivisione sia sicura per consentire di mantenere riservate le informazioni.
- Crittografia asimmetrica, che al contrario si basa sull’utilizzo di una coppia di chiavi: una pubblica per la cifratura e una privata per decifrare i dati. In questo caso la sicurezza viene maggiormente garantita, pur a scapito della celerità rispetto alla tecnica precedente. Gli algoritmi creano due chiavi correlate ma distinte, in modo che il messaggio crittografato con la chiave pubblica possa essere decifrato solo con la chiave privata.
- Hashing, che consiste in un processo unico di trasformazione dei dati nel cosiddetto valore di hash (o, semplicemente, “hash”). Per ogni dato di ingresso, gli algoritmi di hashing producono un output distinto, in grado poi di individuare e recuperare rapidamente le informazioni.
Nell’ambito della creazione di una password, che viene codificata e memorizzata, quest’ultima a ogni successivo accesso dell’utente viene sottoposta a un nuovo hash e raffrontata con l’hash memorizzato. Pertanto, non essendo memorizzata la password vera e propria, viene aumentato il livello di sicurezza relativo alla sua gestione.
I principali rischi per i dati finanziari
Tra le minacce principali ai danni dei dati finanziari e delle operazioni che li vedono coinvolti troviamo senz’altro quella del furto o dell’accesso da parte di soggetti non autorizzati. Come già rilevato, dati collegati a conti correnti, numeri di carte di credito e dettagli delle transazioni rappresentano un patrimonio di informazioni molto ambito dai criminali informatici. In questa categoria dobbiamo considerare, oltre alle ipotesi di furto diretto, anche le tecniche di phishing o l’uso di malware, rispetto ai quali la crittografia è volta a garantire l’illeggibilità e l’inutilizzabilità dei dati.
Un altro tema è quello relativo all’integrità delle informazioni, ovvero alle garanzie offerte dalla crittografia affinché i dati non vengano alterati o modificati. Un aspetto che risulta fondamentale nell’ambito finanziario – tanto più per le operazioni compiute online – dato che l’integrità delle informazioni è condizione essenziale per evitare frodi e assicurare l’affidabilità delle transazioni. Un esempio è costituito dall’utilizzo dei protocolli HTTPS (HyperText Transfer Protocol Secure) nei siti web, che consentono una comunicazione sicura tra il browser dell’utente e il sito: pertanto, ogni volta che un utente effettua un pagamento online o accede alla propria area personale nell’home banking, i dati vengono criptati, evitando che possano essere letti da terze parti.
La crittografia come misura per la compliance normativa
Il ricorso alla crittografia spesso è altresì condizione necessaria per garantire la conformità a normative o standard che impongono obblighi sulla gestione e protezione dei dati.
È il caso degli standard di sicurezza previsti dal Payment Card Industry Security Standards Council (PCI SSC) che, attraverso il Payment Card Industry Data Security Standard (PCI DSS), ha stabilito regole specifiche sull’uso della crittografia per proteggere le informazioni delle carte di pagamento.
Anche la Direttiva PSD2 (Payment Services Directive 2) impone alle banche di adottare misure di sicurezza robuste, tra cui il ricorso a sistemi crittografici col fine di proteggere le transazioni di pagamento elettronico. La normativa comunitaria si arricchisce con la direttiva PSD3.
Sotto diverso profilo, posto come parte delle informazioni in ambito finanziario sono costituite da “dati personali”[1] – alla luce della definizione offerta dall’art. 4 del GDPR, il Regolamento europeo in materia di protezione dei dati personali – discendono specifici obblighi da tale normativa, anche in materia di sicurezza. I titolari del trattamento secondo il GDPR sono chiamati – nel rispetto del principio di accountability ex art. 24 – a garantire e dimostrare l’adozione di misure di sicurezza che, ai sensi dell’art. 32, dovranno risultare “adeguate” ad assicurare un livello di sicurezza proporzionato al rischio. Pertanto, per quanto la crittografia non sia esplicitamente prescritta dal legislatore europeo, in ragione del contesto e per le ragioni esposte in premessa, appare assolutamente da considerare misura non solo adeguata, ma della quale auspicare la presenza in ambito finanziario.
Crittografia dati e sicurezza finanziaria, cosa fare
In un mondo finanziario sempre più digitalizzato, la crittografia rappresenta una misura di sicurezza essenziale per la protezione delle informazioni e dei dati personali trattati, in grado di garantire la riservatezza, l’integrità e l’autenticità delle informazioni per prevenire furti, frodi e violazioni della sicurezza.
Tuttavia, l’implementazione della crittografia deve anche fare i conti con un contesto – qual è quello della cybersicurezza – in continua evoluzione, al fine di contrastare minacce informatiche sempre più avanzate e sofisticate. Appare fondamentale, pertanto, sia prevedere un costante processo di aggiornamento in merito alle vulnerabilità (al fine di stabilire, di riflesso, le contromisure adeguate a proteggere i sistemi), sia coinvolgere tutte le figure professionali e le risorse atte a perseguire tale scopo.
Note
[1] Viene definito “dato personale” “qualsiasi informazione riguardante una persona fisica identificata o identificabile”.
