Per quanto riguarda i pagamenti online e l'elaborazione delle carte di credito, ai dettaglianti dell'UE è stata concessa una sospensione. La direttiva sui servizi di pagamento dell'Unione europea rivista, nota come PSD2, ha esteso il periodo di conformità fino a marzo 2021, lasciando i rivenditori e le banche al sicuro mentre la legislazione rimane nel limbo. Eppure una proroga della scadenza non significa che le aziende possano riposare sugli allori. Consumatori, governi e sviluppatori si aspettano che banche e altri servizi siano pronti a conformarsi, idealmente prima della scadenza di marzo 2021.
Informazioni sull'autore Subho Halder è il co-fondatore e CTO di Appknox. Ancora più importante, gli hacker sono consapevoli di questa lacuna di vulnerabilità. I regolamenti PSD2 mirano ad aumentare la concorrenza e fornire una scelta più ampia ai consumatori, ma forniscono anche una sicurezza aggiuntiva per i dettagli bancari vitali. Lasciare queste informazioni insicure è un'incursione rischiosa per i criminali. Vediamo a che punto siamo oggi con questi standard e come le aziende coinvolte nell'e-commerce possono implementare le best practice SecDevOps nella loro conformità alla PSD2.
1: stato API
A marzo 2019, il 41% delle banche dell'UE non è ancora conforme ai futuri standard PSD2. Anche se è meno della metà e le percentuali esatte variano in base al paese, il motivo principale per cui le banche stanno trascinando i piedi rimane lo stesso: il test API. La necessità per le banche di creare API per i dati di pagamento transazionali è principalmente nell'elenco di controllo della conformità PSD2. Queste API devono fornire accesso in tempo reale, monitoraggio delle frodi, autenticazione utente a più fattori e analisi del comportamento degli utenti, tra gli altri. Con tutte queste caratteristiche, non è difficile capire perché alcune istituzioni siano state lente a conformarsi. Tuttavia, queste API diventeranno la base delle transazioni finanziarie digitali per tutto il 2020 e oltre. Le aziende e i fornitori di servizi finanziari utilizzeranno le API bancarie per fornire i propri sistemi di pagamento, possibilmente creando le proprie API per utilizzare appieno i dati sui pagamenti e sul comportamento. Infatti, anche le banche stesse potrebbero diventare Third Party Provider (TPP), sia creando che utilizzando API di altri soggetti. L'effetto atteso di questa maggiore concorrenza è quello di fornire una scelta più ampia ai consumatori e quindi prezzi più bassi, un obiettivo nobile per qualsiasi ente governativo orientato ai cittadini. In superficie, gli standard PDS2 possono effettivamente migliorare la fiducia e la sicurezza nelle transazioni finanziarie digitali. Solleva la questione di come le banche creano le loro API e chi finisce per usarle. E come.
2. Sicurezza contro le frodi: ciò che i consumatori e le istituzioni devono sapere
Al centro di PDS2 ci sono le API che le banche creeranno per fornire servizi ai TPP. La sicurezza è fondamentale quando le banche creano API: hanno un accesso immenso ai nostri dati finanziari più vitali. Tutti i dettagli che finiscono nelle mani di personaggi inaffidabili sono soggetti a disastri. Come abbiamo notato, gran parte della discussione finora si è concentrata su queste API bancarie. Meno attenzione è stata prestata a ciò che i PPT e altre istituzioni potrebbero finire per fare con le proprie API. In altre parole, quali regole di sicurezza ci sono per i PPT? La verità è che molto poco. TPP ha un grande vantaggio e un grande difetto rispetto a PDS2, che è la stessa cosa. Per prima cosa, i TPP non sono soggetti alle stesse rigide normative delle banche. Questo è uno dei driver principali per PDS2: consentire a questi TPP di offrire opzioni di pagamento significa maggiore flessibilità per i consumatori. Inoltre, non sono legate alla stessa infrastruttura IT legacy di molte banche. Tuttavia, questa maggiore mobilità ha un costo. Se un TPP non richiede tanta rigidità per avviare l'elaborazione delle transazioni, significa che anche la sua sicurezza è meno rigida? Come fanno i consumatori a sapere se il loro nuovo fornitore di servizi di pagamento gestisce la sicurezza dei loro dati?
3: definizione delle migliori pratiche in PDS2
In primo luogo, i PPP devono essere consapevoli dei rischi che corrono. Gli attacchi fraudolenti, in cui utenti malintenzionati creano anelli di account falsi per sfruttare vari vantaggi, sono aumentati del 26% lo scorso anno, anche se sempre più banche stanno implementando 2FA e altre soluzioni per combattere questi crimini. In una certa misura, i PPT possono migliorare la sicurezza dei dati dei clienti. Possono condividere informazioni tra loro o con le banche di cui utilizzano le API. I TPP con protocolli di sicurezza più forti hanno un punto vendita migliore per i nuovi clienti: si ritiene che il tipo esatto di concorrenza che PDS2 provochi. Allo stesso tempo, è necessario affrontare nuove sfide prima che si verifichi una violazione. Da un lato, il monitoraggio delle API utilizzate è essenziale. L'API di ogni banca sarà costantemente verificata poiché molti TPP si affideranno ad essa per fornire servizi ai propri clienti. Le API create da questi fornitori di terze parti saranno testate in modo meno rigoroso. In quanto tale, SecDevOps diventa il custode tra la sicurezza finanziaria e l'abuso degli hacker. Ci sono una serie di passaggi che ciascuna parte può intraprendere ora per proteggere la PSD2 in un secondo momento. Prima di tutto, è fondamentale fare un inventario delle API che sono già in uso. Le API fantasma, ovvero le API a cui gli sviluppatori hanno concesso l'accesso e poi se ne sono dimenticati, facilitano l'hacking dei punti di ingresso. La loro rimozione prima dell'implementazione della PSD2 apre la strada a una migliore sicurezza complessiva. Per ora, rivenditori, banche e futuri PPT hanno più di un anno per conformarsi alla PSD2. Raggiungere questo obiettivo non significa solo rispettare la legge. Qualsiasi istituzione che cerchi di fornire la migliore qualità di servizio in un nuovo ambiente digitale deve fare della sicurezza una preoccupazione primaria. Fortunatamente per loro, ha senso per gli affari. I consumatori gravitano naturalmente verso l'azienda che è più importante per loro. Quando si tratta di sicurezza dei dati finanziari, il meglio avrà sempre la meglio.