ry colors 0 39 118 146 212 0 0 161 222 60 138 46 114 199 231 201 221 3 Mobile Security: un approccio efficace per la sicurezza delle transazioni RSA Security Summit 2014 Paolo Guaschi Roma, 13 maggio 2014
Indice Introduzione I rischi di sicurezza La normativa di riferimento L approccio per la sicurezza delle transazioni 1
Introduzione Mobile device: un fenomeno in continua evoluzione L evoluzione tecnologica legata ai dispositivi mobili sta sempre più contribuendo a mutare i comportamenti delle persone L accessibilità è diventata una commodity Cresce l esigenza di avere sempre a disposizione le informazioni di interesse e di poter effettuare transazioni da qualunque luogo e in qualunque momento 25 Mln possessori di smartphone in Italia 62% smartphone in Italia 3,6 Mln possessori di tablet in Italia Accesso on line tramite smartphone +28% Accesso on line tramite tablet +127% 2 Fonte: Nielsen, Penetrazione calcolata sui possessori di telefoni cellulari Ottobre 2013, Audiweb Trend sulla diffusione dell Online in Italia, Settembre 2013
Introduzione La risposta delle organizzazioni Il mobile è sempre più visto come elemento chiave per la strategia di sviluppo del business Le organizzazioni propongono soluzioni sempre più pensate ad hoc per il mondo mobile in modo da soddisfare le esigenze dei propri clienti Le tipologie di transazioni a disposizione degli utenti sono di varia natura: - Consultare informazioni - Effettuare prenotazioni - Acquistare beni o servizi - Effettuare pagamenti - Operazioni bancarie - etc 3
Introduzione Il Mobile Payment Il mercato del mobile payments, in particolare, sta vedendo l affacciarsi di soluzioni particolarmente innovative spinte da diversi attori (Telco, OTT, Banche, Card Brand, Esercenti ecc ) Mobile Remote Payment Consentono, anche in remoto, di attivare il pagamento di un bene o servizio attraverso il telefono cellulare Utilizzano la rete cellulare Mobile Proximity Payment Pagamenti per cui è necessaria una vicinanza fisica tra l acquirente ed il venditore Il cellulare emula un pagamento tramite carta 4 mpos Soluzioni HW e SW che consentono di trasformare lo smartphone in un lettore POS Supportano un ampio numero di carte di credito e di debito Consentono di dematerializzare il portafoglio Mobile Wallet Gestione di carte di pagamento, titoli di accesso e identità, carte fedeltà
Introduzione Il Mobile Payment, qualche numero Transato complessivo nel 2013: 1.300 Mln (+44%) Stima a fine 2016: 1 Mld Acquisto di contenuti digitali nel 2013 : 625 Mln (+ 17%) Acquisto beni e servizi nel 2013: 510 Mln (+ 257%) Valore Complessivo del transato in Italia Stima a fine 2016: oltre 2 Mld 5 Fonte: Osservatorio Mobile Payment & Commerce, Polictecnico di Milano. Febbraio 2014
I rischi di sicurezza Tecnologici e non solo App malevoli o non sicure App malevoli scaricabili dagli app store che rimandano ad app ufficiali App con insufficienti misure di sicurezza per la salvaguardia delle informazioni Phishing Invio di false comunicazioni (via SMS, mail etc ) sullo smartphone fingendosi per una fonte autorizzata Richiesta di inserimento di credenziali di accesso, carte di credito etc Le Malware Malware definiti ad hoc per il mondo mobile Rilascio di patch ancora molto lento Presenza di antivirus molto limitata Privacy Mancanza di trasparenza nelle modalità e nelle finalità di raccolta dei dati Incapacità o impossibilità da parte degli interessati di esercitare o recuperare il controllo sui propri dati e sul modo in cui essi vengono comunicati a terzi Perdita o furto del dispositivo Dispositivi mobili molto più suscettibili a furto o perdita rispetto ai tradizionali PC Rischio di perdita di numerose informazioni critiche 6
La normativa di riferimento I requisiti della Banca Centrale Europea (BCE) Le raccomandazioni sono state definite seguendo quattro principi guida: 1. i PSP dovrebbero effettuare specifiche valutazioni del rischio connesso con i pagamenti via Internet; 2. i servizi di pagamento offerti dai PSP dovrebbero essere inizializzati con un processo di autenticazione "forte" del cliente; 3. i PSP dovrebbero implementare efficaci processi per l'autorizzazione e il monitoraggio delle transazioni; 4. i PSP dovrebbero svolgere programmi volti ad accrescere la consapevolezza e l'educazione della clientela sui temi della sicurezza dei servizi di pagamento via Internet. 14 raccomandazioni, riconducibili a 3 categorie: 1. sistemi di controllo e ambiente di sicurezza della piattaforma attraverso la quale sono erogati i servizi; 2. requisiti di sicurezza nelle diverse fasi del processo di pagamento; 3. iniziative di comunicazione e formazione dei clienti sulle modalità di utilizzo dei servizi. 7
La normativa di riferimento Le indicazioni del Garante Privacy "Smartphone e tablet: scenari attuali e prospettive future" L obiettivo del documento è analizzare le nuove tecnologie mobili e identificare i potenziali rischi e le minacce per la salvaguardia della privacy. Fornisce proposte di carattere operativo tese a favorire sia l utilizzo consapevole, da parte dell utente, degli strumenti e dei dispositivi mobile, sia un più efficace esercizio dei propri diritti in merito alla gestione dei dati personali. 8 "Schema di provvedimento generale in materia di trattamento di dati personali nell'ambito dei servizi di mobile remote payment" L obiettivo del provvedimento è quello di garantire nel caso dei mobile remote payment, un trattamento sicuro delle informazioni che riguardano gli utenti e prevenire i rischi di un loro uso improprio. Rivolto a operatori TLC, aggregatori IT e merchant. Gli adempimenti riguardano, per ciascun attore coinvolto, l informativa agli utenti, il consenso per il trattamento, le misure di sicurezza e la conservazione dei dati.
L approccio per la sicurezza delle transazioni I pilastri principali Conoscenza, tecnologie e processi di sicurezza sono i principali pilastri su cui basare la definizione dell approccio per la sicurezza delle transazioni Autenticazione tramite approccio «Risk-based» Sviluppo sicuro di App Mobile Sicurezza trasparente agli utenti Monitoraggio anti frode Conoscenza delle nuove minacce Awareness verso gli utenti finali SICUREZZA DELLE TRANSAZIONI 9
L approccio per la sicurezza delle transazioni Focus: autenticazione risk based Approccio basato sull analisi del rischio della singola transazione mediante una serie di informazioni del cliente, del device e della tipologia di transazione Strong authentication necessaria solo qualora il profilo di rischio sia elevato Contribuisce a rilevare potenziali frodi e al tempo stesso facilita la User Experience Utilizzo di informazioni quali versione SO, SW utilizzato, dati geolocalizzazione, profilazione cliente etc. 10 eg. hardware token, software token, rilevazione biometrica etc
Summary Le nostre abitudini saranno sempre più riviste dalla nuove potenzialità messe a disposizione dai dispositivi mobili In un simile contesto la sicurezza gioca un ruolo fondamentale Devono essere adottati approcci completi, efficaci e in ottica risk based che da un lato garantiscano il rispetto dei requisiti normativi e dall altro assicurino una adeguata protezione dalle nuove minacce 11
Contatti Paolo Guaschi Senior Manager Mobile: +39 346 6804992 Direct Fax: +39 (02) 83348244 pguaschi@deloitte.it Deloitte ERS Enterprise Risk Services S.r.l. Via Tortona 25, 20144 Milano, Italia 12