ary colors R0 G 39 B 118 R 146 G 212 B0 R0 G 161 B 222 R 60 G 138 B 46 R 114 G 199 B 231 R 201 G 221 B3 Mobile Security: un approccio efficace per la sicurezza delle transazioni RSA Security Summit 2014 Paolo Guaschi Roma, 13 maggio 2014 Indice Introduzione I rischi di sicurezza La normativa di riferimento L’approccio per la sicurezza delle transazioni 1 © 2014 Deloitte Touche Tohmatsu Limited Introduzione Mobile device: un fenomeno in continua evoluzione • L’evoluzione tecnologica legata ai dispositivi mobili sta sempre più contribuendo a mutare i comportamenti delle persone • L’accessibilità è diventata una commodity • Cresce l’esigenza di avere sempre a disposizione le informazioni di interesse e di poter effettuare transazioni da qualunque luogo e in qualunque momento 25 Mln possessori di smartphone in Italia 62% smartphone in Italia 3,6 Mln possessori di tablet in Italia Accesso on line tramite smartphone +28% Accesso on line tramite tablet 2 Fonte: Nielsen, Penetrazione calcolata sui possessori di telefoni cellulari – Ottobre 2013, Audiweb – Trend sulla diffusione dell’Online in Italia, Settembre 2013 +127% © 2014 Deloitte Touche Tohmatsu Limited Introduzione La risposta delle organizzazioni • Il mobile è sempre più visto come elemento chiave per la strategia di sviluppo del business • Le organizzazioni propongono soluzioni sempre più pensate ad hoc per il mondo mobile in modo da soddisfare le esigenze dei propri clienti • Le tipologie di transazioni a disposizione degli utenti sono di varia natura: - Consultare informazioni - Effettuare prenotazioni - Acquistare beni o servizi - Effettuare pagamenti - Operazioni bancarie - etc… 3 © 2014 Deloitte Touche Tohmatsu Limited Introduzione Il Mobile Payment • Il mercato del mobile payments, in particolare, sta vedendo l’affacciarsi di soluzioni particolarmente innovative spinte da diversi attori (Telco, OTT, Banche, Card Brand, Esercenti ecc…) Mobile Remote Payment • • Consentono, anche in remoto, di attivare il pagamento di un bene o servizio attraverso il telefono cellulare Utilizzano la rete cellulare Mobile Proximity Payment • • mPOS • • 4 Soluzioni HW e SW che consentono di trasformare lo smartphone in un lettore POS Supportano un ampio numero di carte di credito e di debito Pagamenti per cui è necessaria una vicinanza fisica tra l’acquirente ed il venditore Il cellulare emula un pagamento tramite carta Mobile Wallet • • Consentono di dematerializzare il portafoglio Gestione di carte di pagamento, titoli di accesso e identità, carte fedeltà © 2014 Deloitte Touche Tohmatsu Limited Introduzione Il Mobile Payment, qualche numero Stima a fine 2016: 1 Mld € • Transato complessivo nel 2013: 1.300 Mln € (+44%) • Acquisto di contenuti digitali nel 2013 : 625 Mln € (+ 17%) • Acquisto beni e servizi nel 2013: 510 Mln € (+ 257%) Stima a fine 2016: oltre 2 Mld € Valore Complessivo del transato in Italia 5 Fonte: Osservatorio Mobile Payment & Commerce, Polictecnico di Milano. Febbraio 2014 © 2014 Deloitte Touche Tohmatsu Limited I rischi di sicurezza Tecnologici e non solo App malevoli o non sicure Phishing • App malevoli scaricabili dagli app store che rimandano ad app ufficiali • App con insufficienti misure di sicurezza per la salvaguardia delle informazioni • Invio di false comunicazioni (via SMS, mail etc…) sullo smartphone fingendosi per una fonte autorizzata • Richiesta di inserimento di credenziali di accesso, carte di credito etc… • Le Malware • Presenza di antivirus molto limitata Privacy Perdita o furto del dispositivo 6 • Malware definiti ad hoc per il mondo mobile • Rilascio di patch ancora molto lento • Mancanza di trasparenza nelle modalità e nelle finalità di raccolta dei dati • Incapacità o impossibilità da parte degli interessati di esercitare o recuperare il controllo sui propri dati e sul modo in cui essi vengono comunicati a terzi • Dispositivi mobili molto più suscettibili a furto o perdita rispetto ai tradizionali PC • Rischio di perdita di numerose informazioni critiche © 2014 Deloitte Touche Tohmatsu Limited La normativa di riferimento I requisiti della Banca Centrale Europea (BCE) Le raccomandazioni sono state definite seguendo quattro principi guida: 1. i PSP dovrebbero effettuare specifiche valutazioni del rischio connesso con i pagamenti via Internet; 2. i servizi di pagamento offerti dai PSP dovrebbero essere inizializzati con un processo di autenticazione "forte" del cliente; 3. i PSP dovrebbero implementare efficaci processi per l'autorizzazione e il monitoraggio delle transazioni; 4. i PSP dovrebbero svolgere programmi volti ad accrescere la consapevolezza e l'educazione della clientela sui temi della sicurezza dei servizi di pagamento via Internet. 14 raccomandazioni, riconducibili a 3 categorie: 1. sistemi di controllo e ambiente di sicurezza della piattaforma attraverso la quale sono erogati i servizi; 2. requisiti di sicurezza nelle diverse fasi del processo di pagamento; 3. iniziative di comunicazione e formazione dei clienti sulle modalità di utilizzo dei servizi. 7 © 2014 Deloitte Touche Tohmatsu Limited La normativa di riferimento Le indicazioni del Garante Privacy "Smartphone e tablet: scenari attuali e prospettive future" "Schema di provvedimento generale in materia di trattamento di dati personali nell'ambito dei servizi di mobile remote payment" 8 • L’obiettivo del documento è analizzare le nuove tecnologie mobili e identificare i potenziali rischi e le minacce per la salvaguardia della privacy. • Fornisce proposte di carattere operativo tese a favorire sia l’utilizzo consapevole, da parte dell’utente, degli strumenti e dei dispositivi mobile, sia un più efficace esercizio dei propri diritti in merito alla gestione dei dati personali. • L’obiettivo del provvedimento è quello di garantire nel caso dei mobile remote payment, un trattamento sicuro delle informazioni che riguardano gli utenti e prevenire i rischi di un loro uso improprio. • Rivolto a operatori TLC, aggregatori IT e merchant. • Gli adempimenti riguardano, per ciascun attore coinvolto, l’informativa agli utenti, il consenso per il trattamento, le misure di sicurezza e la conservazione dei dati. © 2014 Deloitte Touche Tohmatsu Limited L’approccio per la sicurezza delle transazioni I pilastri principali • Conoscenza, tecnologie e processi di sicurezza sono i principali pilastri su cui basare la definizione dell’approccio per la sicurezza delle transazioni Autenticazione tramite approccio «Risk-based» Sicurezza trasparente agli utenti Sviluppo sicuro di App Mobile Monitoraggio anti frode Conoscenza delle nuove minacce Awareness verso gli utenti finali SICUREZZA DELLE TRANSAZIONI 9 © 2014 Deloitte Touche Tohmatsu Limited L’approccio per la sicurezza delle transazioni Focus: autenticazione risk based • Approccio basato sull’analisi del rischio della singola transazione mediante una serie di informazioni del cliente, del device e della tipologia di transazione • Strong authentication necessaria solo qualora il profilo di rischio sia elevato • Contribuisce a rilevare potenziali frodi e al tempo stesso facilita la User Utilizzo di informazioni quali versione SO, Experience SW utilizzato, dati geolocalizzazione, profilazione cliente etc…. 10 eg. hardware token, software token, rilevazione biometrica etc… © 2014 Deloitte Touche Tohmatsu Limited Summary • Le nostre abitudini saranno sempre più riviste dalla nuove potenzialità messe a disposizione dai dispositivi mobili • In un simile contesto la sicurezza gioca un ruolo fondamentale • Devono essere adottati approcci completi, efficaci e in ottica risk based che da un lato garantiscano il rispetto dei requisiti normativi e dall’altro assicurino una adeguata protezione dalle nuove minacce 11 © 2014 Deloitte Touche Tohmatsu Limited Contatti Paolo Guaschi Senior Manager Mobile: +39 346 6804992 Direct Fax: +39 (02) 83348244 [email protected] Deloitte ERS Enterprise Risk Services S.r.l. Via Tortona 25, 20144 Milano, Italia 12 © 2014 Deloitte Touche Tohmatsu Limited
© Copyright 2024 Paperzz