Atm, necessario combattere le frodi

Anche se il fenomeno delle frodi è particolarmente diffuso in tutte le attività quotidiane, non dobbiamo per questo minimizzare l’importanza e la pericolosità delle frodi commesse attraverso gli Atm, che a volte acquistano dimensioni molto rilevanti. Anzi, è necessario mettere in campo tutte le soluzioni possibili per prevenirle.

Oggi nel mondo ci sono più di 2 milioni di Atm; fin dalla loro prima comparsa nel 1967 a Enfield – a nord di Londra – gli sportelli automatici delle banche hanno raccolto l’immediato consenso dei consumatori per la loro comodità e l’interesse delle banche per le possibilità di sviluppo che consentono; la necessità di “sicurezza” è stata, da subito, l’altra faccia della medaglia da risolvere. Attualmente, dato per scontato che l’aspetto “fisico” della sicurezza degli Atm è stato in gran parte risolto (anche se marginalmente si è sempre costretti a fare ulteriori interventi), l’aspetto “logico” della sicurezza degli Atm appare come quello più rilevante e sempre più denso di incognite e di sviluppi delittuosi. Non solo il denaro, ma i “dati finanziariamente sensibili” di clienti, banche e istituzioni varie, sono il vero bottino degli aggressori.

I punti di relativa debolezza sembrano essere (e sono) le reti di comunicazione e gli Atm stessi, visti oggi come periferiche intelligenti di un sistema in rete: perciò gli attacchi più pericolosi sono da considerare quelli portati alle infrastrutture tecnologiche di supporto ai vari servizi. Se è vero che si hanno scarse informazioni ufficiali sull’entità delle frodi e che le banche e le istituzioni, cioè gli attori maggiormente coinvolti dal fenomeno, non pubblicizzano statistiche sull’entità di queste frodi (secondo i dati dall’EAST-ATM Security Team, le banche di 22 paesi europei hanno perso nell’insieme 485 milioni di euro durante l’anno 2008 a causa delle frodi), probabilmente è perché il fenomeno ha assunto dimensioni e raffinatezze d’attacco così importanti da essere considerato a sua volta “sensibile” al punto di essere mantenuto il più possibile riservato.

La difesa da questi attacchi “logici” raffinati, che possono insinuarsi (attraverso virus, troyan, bachi vari e soprattutto software malevoli specializzati e orientati ai servizi finanziari) fino al controllo remoto dell’Atm, è diventato un problema urgente e di grande attualità. La frode così perpetrata si presenta molto più complessa di quella derivante dall’attacco fisico, e, possiamo dirlo, non sempre di facile soluzione; senza considerare che mentre dell’attacco fisico si ha consapevolezza quasi immediata che permette la pronta ricerca del criminale, di quello dovuto a malware si può tardare molto tempo prima di rendersi conto della causa criminale e di avviare le opportune iniziative volte a neutralizzarlo.

Nel campo delle carte di credito si è passati di recente all’uso di carte “intelligenti” con chip che permettono la riduzione delle possibilità di ottenere dati dalla lettura della banda e già oggi oltre il 90% degli Atm in Italia e in Europa sono compatibili con lo standard EMV (carte con chip). Però oggigiorno sembra che l’interesse criminale sia rivolto più che alla disponibilità dei dati finanziari dell’utilizzatore delle carte di credito alla possibilità di pervenire al controllo remoto dell’Atm. Sotto questo aspetto e per prevenire questi pericolosi attacchi, contro i quali gli Atm sembrano essere piuttosto vulnerabili, esistono già nel mercato alcuni prodotti di sicurezza molto efficaci specificatamente progettati per sistemi di autoservizio finanziario che consentono la gestione centralizzata delle applicazioni correnti in uso, la conoscenza delle risorse locali e remote alle quali hanno accesso, il monitoraggio degli altri sistemi con i quali comunicano e dei dispositivi ai quali possono accedere. Per fortuna questi prodotti creano nell’Atm un intorno di esecuzione e comunicazione sicuro e raggiungono i massimi livelli di qualità ed affidabilità.

Quindi, ritornando al principio, la scelta di protezione e di sicurezza logica negli Atm bancari non va più vista come un’opzione, ma come una necessità alla quale far fronte con un uso sempre più esteso dei prodotti poco sopra descritti, visto che la stessa sicurezza delle entità bancarie sta ogni giorno in gioco sempre di più. L’efficace e specialistica protezione rispetto a queste nuove e subdole minacce di frode si trasforma per gli istituti finanziari utilizzatori in uno strumento effettivo di vantaggio competitivo rispetto alla concorrenza, dando conto nel lungo periodo della loro lungimiranza.

Sapendo che le conseguenze economiche derivanti dall’apparire sulla stampa quale vittima di un attacco informatico sono sempre elevate in termini reputazionali, anche se difficili da quantificare, per di più in un momento come l’attuale in cui il sistema finanziario mondiale è sempre in prima pagina, e quello italiano lo è in particolare, per i noti attacchi speculativi, la protezione della propria immagine (e non solo) si trasforma in una necessità.

In conclusione, la credibilità della istituzione e la fiducia che essa trasmette sono, oggi più che mai, valori da non doversi mettere assolutamente in gioco.

Rafael Navajo, Business Development Director, GMV