View presentation

ary colors
R0
G 39
B 118
R 146
G 212
B0
R0
G 161
B 222
R 60
G 138
B 46
R 114
G 199
B 231
R 201
G 221
B3
Mobile Security: un approccio efficace
per la sicurezza delle transazioni
RSA Security Summit 2014
Paolo Guaschi
Roma, 13 maggio 2014
Indice
Introduzione
I rischi di sicurezza
La normativa di riferimento
L’approccio per la sicurezza delle transazioni
1
© 2014 Deloitte Touche Tohmatsu Limited
Introduzione
Mobile device: un fenomeno in continua evoluzione
•  L’evoluzione tecnologica legata ai dispositivi mobili sta sempre più contribuendo
a mutare i comportamenti delle persone
•  L’accessibilità è diventata una commodity
•  Cresce l’esigenza di avere sempre a disposizione le informazioni di interesse e
di poter effettuare transazioni da qualunque luogo e in qualunque momento
25 Mln possessori di smartphone in Italia
62% smartphone in Italia
3,6 Mln possessori di tablet in Italia
Accesso on line tramite smartphone
+28%
Accesso on line tramite tablet
2
Fonte: Nielsen, Penetrazione calcolata sui possessori di telefoni cellulari – Ottobre 2013, Audiweb – Trend sulla diffusione dell’Online in Italia, Settembre 2013
+127%
© 2014 Deloitte Touche Tohmatsu Limited
Introduzione
La risposta delle organizzazioni
•  Il mobile è sempre più visto come elemento chiave per la strategia di sviluppo
del business
•  Le organizzazioni propongono soluzioni sempre più pensate ad hoc per il mondo
mobile in modo da soddisfare le esigenze dei propri clienti
•  Le tipologie di transazioni a disposizione degli utenti sono di varia natura:
-  Consultare informazioni
-  Effettuare prenotazioni
-  Acquistare beni o servizi
-  Effettuare pagamenti
-  Operazioni bancarie
-  etc…
3
© 2014 Deloitte Touche Tohmatsu Limited
Introduzione
Il Mobile Payment
•  Il mercato del mobile payments, in particolare, sta vedendo l’affacciarsi di
soluzioni particolarmente innovative spinte da diversi attori (Telco, OTT, Banche,
Card Brand, Esercenti ecc…)
Mobile Remote Payment
• 
• 
Consentono, anche in
remoto, di attivare il
pagamento di un bene o
servizio attraverso il
telefono cellulare
Utilizzano la rete cellulare
Mobile Proximity Payment
• 
• 
mPOS
• 
• 
4
Soluzioni HW e SW che
consentono di trasformare
lo smartphone in un lettore
POS
Supportano un ampio
numero di carte di credito
e di debito
Pagamenti per cui è
necessaria una vicinanza
fisica tra l’acquirente ed il
venditore
Il cellulare emula un
pagamento tramite carta
Mobile Wallet
• 
• 
Consentono di
dematerializzare il
portafoglio
Gestione di carte di
pagamento, titoli di
accesso e identità, carte
fedeltà
© 2014 Deloitte Touche Tohmatsu Limited
Introduzione
Il Mobile Payment, qualche numero
Stima a fine 2016: 1 Mld €
•  Transato complessivo nel 2013: 1.300 Mln € (+44%)
•  Acquisto di contenuti digitali nel 2013 : 625 Mln € (+ 17%)
•  Acquisto beni e servizi nel 2013: 510 Mln € (+ 257%)
Stima a fine 2016:
oltre 2 Mld €
Valore Complessivo del transato in Italia
5
Fonte: Osservatorio Mobile Payment & Commerce, Polictecnico di Milano. Febbraio 2014
© 2014 Deloitte Touche Tohmatsu Limited
I rischi di sicurezza
Tecnologici e non solo
App
malevoli o
non sicure
Phishing
•  App malevoli scaricabili dagli app store che rimandano ad app ufficiali
•  App con insufficienti misure di sicurezza per la salvaguardia delle informazioni
•  Invio di false comunicazioni (via SMS, mail etc…) sullo smartphone fingendosi
per una fonte autorizzata
•  Richiesta di inserimento di credenziali di accesso, carte di credito etc…
• Le
Malware
•  Presenza di antivirus molto limitata
Privacy
Perdita o furto
del dispositivo
6
•  Malware definiti ad hoc per il mondo mobile
•  Rilascio di patch ancora molto lento
•  Mancanza di trasparenza nelle modalità e nelle finalità di raccolta dei dati
•  Incapacità o impossibilità da parte degli interessati di esercitare o recuperare il
controllo sui propri dati e sul modo in cui essi vengono comunicati a terzi
•  Dispositivi mobili molto più suscettibili a furto o perdita rispetto ai tradizionali PC
•  Rischio di perdita di numerose informazioni critiche
© 2014 Deloitte Touche Tohmatsu Limited
La normativa di riferimento
I requisiti della Banca Centrale Europea (BCE)
Le raccomandazioni sono state definite seguendo
quattro principi guida:
1.  i PSP dovrebbero effettuare specifiche valutazioni del
rischio connesso con i pagamenti via Internet;
2. 
i servizi di pagamento offerti dai PSP dovrebbero
essere inizializzati con un processo di autenticazione
"forte" del cliente;
3.  i PSP dovrebbero implementare efficaci processi per
l'autorizzazione e il monitoraggio delle transazioni;
4.  i PSP dovrebbero svolgere programmi volti ad
accrescere la consapevolezza e l'educazione della
clientela sui temi della sicurezza dei servizi di
pagamento via Internet.
14 raccomandazioni, riconducibili a 3 categorie:
1.  sistemi di controllo e ambiente di sicurezza della
piattaforma attraverso la quale sono erogati i servizi;
2.  requisiti di sicurezza nelle diverse fasi del processo di
pagamento;
3.  iniziative di comunicazione e formazione dei clienti sulle
modalità di utilizzo dei servizi.
7
© 2014 Deloitte Touche Tohmatsu Limited
La normativa di riferimento
Le indicazioni del Garante Privacy
"Smartphone
e tablet:
scenari attuali
e prospettive
future"
"Schema di provvedimento
generale in materia di trattamento
di dati personali
nell'ambito dei servizi di mobile
remote payment"
8
• 
L’obiettivo del documento è analizzare le nuove
tecnologie mobili e identificare i potenziali rischi e
le minacce per la salvaguardia della privacy.
• 
Fornisce proposte di carattere operativo tese a
favorire sia l’utilizzo consapevole, da parte
dell’utente, degli strumenti e dei dispositivi mobile,
sia un più efficace esercizio dei propri diritti in
merito alla gestione dei dati personali.
• 
L’obiettivo del provvedimento è quello di garantire
nel caso dei mobile remote payment, un
trattamento sicuro delle informazioni che
riguardano gli utenti e prevenire i rischi di un loro
uso improprio.
• 
Rivolto a operatori TLC, aggregatori IT e
merchant.
• 
Gli adempimenti riguardano, per ciascun attore
coinvolto, l’informativa agli utenti, il consenso per
il trattamento, le misure di sicurezza e la
conservazione dei dati.
© 2014 Deloitte Touche Tohmatsu Limited
L’approccio per la sicurezza delle transazioni
I pilastri principali
•  Conoscenza, tecnologie e processi di sicurezza sono i principali pilastri su cui
basare la definizione dell’approccio per la sicurezza delle transazioni
Autenticazione
tramite approccio
«Risk-based»
Sicurezza
trasparente agli
utenti
Sviluppo sicuro di
App Mobile
Monitoraggio
anti frode
Conoscenza delle
nuove minacce
Awareness verso
gli utenti finali
SICUREZZA DELLE TRANSAZIONI
9
© 2014 Deloitte Touche Tohmatsu Limited
L’approccio per la sicurezza delle transazioni
Focus: autenticazione risk based
•  Approccio basato sull’analisi del rischio della singola transazione mediante una
serie di informazioni del cliente, del device e della tipologia di transazione
•  Strong authentication necessaria solo qualora il profilo di rischio sia elevato
•  Contribuisce a rilevare potenziali frodi e al tempo stesso facilita la User
Utilizzo di informazioni quali versione SO,
Experience
SW utilizzato, dati geolocalizzazione,
profilazione cliente etc….
10
eg. hardware token, software token,
rilevazione biometrica etc…
© 2014 Deloitte Touche Tohmatsu Limited
Summary
•  Le nostre abitudini saranno sempre più riviste dalla nuove potenzialità messe a
disposizione dai dispositivi mobili
•  In un simile contesto la sicurezza gioca un ruolo fondamentale
•  Devono essere adottati approcci completi, efficaci e in ottica risk based che da
un lato garantiscano il rispetto dei requisiti normativi e dall’altro assicurino una
adeguata protezione dalle nuove minacce
11
© 2014 Deloitte Touche Tohmatsu Limited
Contatti
Paolo Guaschi
Senior Manager
Mobile: +39 346 6804992
Direct Fax: +39 (02) 83348244
[email protected]
Deloitte ERS Enterprise Risk Services S.r.l.
Via Tortona 25, 20144 Milano, Italia
12
© 2014 Deloitte Touche Tohmatsu Limited