Solo nel 2022 sono state attivate circa 2 nuove pagine di phishing al giorno nel settore finanziario, attraverso le quali i truffatori hanno tentato di ingannare le vittime convincendole a fornire informazioni personali, dati finanziari o codici di accesso
I brand maggiormente obiettivo di phishing sono Bper Banca (22% delle campagne analizzate), Intesa Sanpaolo (20%) e Poste Italiane (14%). Seguono Nexi (8%), Banco Bpm (6%) e UniCredit (5%)
Faggioli: “Se si considerano le truffe orientate al cittadino, come il phishing, conoscere quali sono i rischi digitali, stare attenti a tutto ciò che si clicca, porsi sempre delle domande e non agire in velocità, può essere la chiave”
Il settore finanziario, anche in Italia, rientra tra le maggiori vittime dei cyber-criminali. Secondo l’ultimo Rapporto Clusit 2023 sulla sicurezza informatica, solo nel 2022 sono state attivate circa 2 nuove pagine di phishing al giorno in questo ambito, attraverso le quali i truffatori hanno tentato di ingannare le vittime convincendole a fornire informazioni personali, dati finanziari o codici di accesso. Il picco delle attività è stato raggiunto nel mese di febbraio, con una media di 3,5 nuove pagine attivate al giorno. Nel mirino degli hacker, grandi brand come Bper Banca (22% delle campagne di phishing analizzate), Intesa Sanpaolo (20%) e Poste Italiane (14%). Ma quella del phishing non è l’unica tipologia di rischio cyber connesso ai servizi bancari. Ne abbiamo parlato con Gabriele Faggioli (responsabile scientifico dell’Osservatorio cybersecurity & data protection del Politecnico di Milano e presidente di Clusit, l’associazione italiana per la sicurezza informatica) per mapparne i principali e scoprire come proteggere i propri risparmi.
“Parlando del mondo bancario dobbiamo distinguere due ambiti”, spiega Faggioli. “Innanzitutto, i rischi per i correntisti, legati alle attività di phishing volte a ottenere credenziali, informazioni personali e dati finanziari. Il danno medio arrecato per singolo cittadino, in questo caso, può essere anche molto elevato. Ma se lo si analizza in valore assoluto, si tratta in genere di tanti casi dal valore abbastanza contenuto”. Diversi sono i rischi cyber in cui i clienti risultano coinvolti indirettamente, continua l’esperto. “I casi di attacchi ransomware nei confronti di una banca, in cui vengono criptati i dati e pubblicati su Internet, per esempio, sono numericamente inferiori ma la potenzialità dei danni è certamente maggiore”.
Servizi finanziari e rischi cyber: come difendersi
A seconda del perimetro all’interno del quale ci si muove, difendersi dai rischi cyber legati ai servizi finanziari può assumere una connotazione differente. “Se a essere colpito è un player del mercato, la possibilità di difesa dipende dalla capacità della banca stessa di implementare un misto di tecnologie, processi e operazioni di backup e di formazione del personale. Se si considerano invece le truffe orientate al cittadino, come il phishing, conoscere quali sono i rischi digitali, stare attenti a tutto ciò che si clicca, porsi sempre delle domande e non agire in velocità, bypassando qualunque logica di controllo su ciò che ci viene chiesto, può essere la chiave”, avverte Faggioli. “Le banche non chiedono mai password via sms o mandano e-mail all’interno delle quali richiedono di inserire codici”, spiega l’esperto. Un altro tema è quello che riguarda i rischi legati ai pagamenti online, dove i cyber-criminali tendono a sfruttare tecniche di comunicazione incentivanti dal punto di vista psicologico, promettendo possibili vincite o sconti. “Qualsiasi cosa che assomiglia a un regalo è una truffa, motivo per cui bisogna prestare attenzione e non utilizzare sistemi di pagamento senza aver prima messo in atto tutte le opportune verifiche di comprensione dei rischi sottostanti”, dichiara Faggioli.
LE OPPORTUNITÀ PER TE.
Come proteggere la propria azienda dai rischi cyber?
Qual è il ruolo del cyber security specialist?
Gli esperti selezionati da We Wealth possono aiutarti a trovare le risposte che cerchi.
RICHIEDI LA TUA CONSULENZA GRATUITA
Autenticazione a due fattori: a cosa serve
“Se invece il rischio che si vuole contenere è che vengano utilizzate le proprie credenziali in modo abusivo, tutto ciò che rappresenta un’autenticazione a due fattori è un metodo di grandissima cautela”, continua l’esperto. Basti pensare al doppio canale via Sms oppure all’utilizzo dei token, ovvero piccoli dispositivi che consentono di dimostrare la propria identità, come una chiavetta di sicurezza Usb, un dispositivo Bluetooth o un dispositivo integrato all’interno del proprio smartphone (per esempio tramite app). “Ricordiamo però che l’autenticazione a vari fattori può aiutare, ma non salvare da tutti i rischi. Qualora venisse effettuato un pagamento legittimo su un portale che non si controlla, questo sistema per esempio non funziona; e i soldi difficilmente verranno recuperati perché spesso si tratta di portali gestiti da società offshore dall’impossibile identificazione”, spiega Faggioli.
Attacchi hacker: le banche italiane più vulnerabili
Tornando ai casi di phishing, come anticipato in apertura, secondo l’ultimo rapporto Clusit i brand maggiormente attaccati dai cyber-criminali nel 2022 sono stati Bper Banca, Intesa Sanpaolo e Poste Italiane (che proprio nella giornata del 21 marzo ha inaugurato il nuovo Fraud prevention center, il centro di prevenzione frodi di Poste Italiane che vigila 24 ore su 24 sulla sicurezza delle transazioni compiute negli oltre 12.800 uffici postali di tutto il Paese e online, attraverso le carte di pagamento, sulle operazioni di eCommerce e su quelle del ramo assicurativo di Poste Vita). Seguono Banca Mps, cui vengono attribuite il 10% delle campagne di phishing analizzate, e altri brand dall’impatto minore come Nexi (8%), Banco Bpm (6%), UniCredit (5%), Crédit Agricole e Banca Bcc (3%) e infine Findomestic, Banca Mediolanum e Fineco Bank (2%). “Il mondo bancario sottostà a una numero di normative estremamente ampio che punta alla massima resilienza del sistema”, conclude Faggioli. “È in generale un settore meno colpito rispetto ad altri che non hanno fatto investimenti di questa natura. È evidente però che tanti più dati una realtà possiede, tanti più vantaggi un criminale può ottenere attaccandola, tanto più proverà ad attaccarla. Tutto dipende dal trade-off tra facilità dell’attacco e possibilità di ritorno dell’investimento”.