Banche di Singapore e Passkey: Sostituire gli OTP via SMS

L'Autorità Monetaria di Singapore (MAS) ha annunciato che tutte le principali banche retail del paese dovranno eliminare gradualmente gli OTP e sostituirli con "token digitali" entro i prossimi tre mesi. Questa mossa, in collaborazione con l'Associazione delle Banche di Singapore (ABS), mira a proteggere i consumatori dal phishing e da altre truffe che hanno causato perdite per oltre 14 milioni di dollari nel 2023. In questo post del blog, discuteremo di:

• Abbandono degli OTP: Perché la MAS dà priorità all'abbandono degli OTP?
• Token digitali: Cosa sono i token digitali e perché sono più sicuri?
• Passkey: Le passkey potrebbero aiutare a soddisfare i nuovi requisiti?

Iniziamo analizzando più da vicino l'annuncio dell'Autorità Monetaria di Singapore (MAS) intitolato "Banks in Singapore to Strengthen Resilience Against Phishing Scams".

Il 9 luglio 2024, l'Autorità Monetaria di Singapore (MAS) e l'Associazione delle Banche di Singapore (ABS) hanno annunciato un passo significativo per migliorare la sicurezza del banking digitale, eliminando gradualmente l'uso delle One-Time Passcode (OTP). Questa transizione avverrà progressivamente nei prossimi tre mesi e mira a proteggere meglio i consumatori dalle truffe di phishing, che sono diventate la principale minaccia nel banking digitale. Sebbene l'annuncio si riferisca solo a "One-Time Password" e OTP, si rivolge specificamente agli OTP via SMS.

I clienti che hanno attivato i loro token digitali sui propri dispositivi mobili dovranno ora utilizzare questi token per accedere ai loro conti bancari tramite browser o app di mobile banking. Il token digitale autenticherà gli accessi dei clienti senza la necessità di OTP, che i truffatori possono rubare o indurre i clienti a rivelare. Forniremo maggiori dettagli su cosa sono i token digitali nel prossimo capitolo.

I progressi tecnologici e le sofisticate tecniche di phishing hanno superato la sicurezza che gli OTP via SMS un tempo offrivano. I truffatori ora creano siti web bancari falsi che assomigliano molto a quelli autentici, attirando i clienti a inserire i loro OTP e altre credenziali. Il passaggio a fattori di autenticazione resistenti al phishing rafforza la sicurezza, rendendo significativamente più difficile per i truffatori ottenere l'accesso non autorizzato al conto di un cliente.

Le truffe di phishing rimangono una preoccupazione persistente a Singapore. Le banche continuano a collaborare strettamente con la MAS e la Polizia di Singapore per sviluppare e introdurre misure che rafforzino la resistenza collettiva contro il panorama in evoluzione delle truffe. La signora Ong-Ang Ai Boon, direttrice dell'ABS, ha sottolineato che, sebbene la nuova misura possa introdurre qualche inconveniente, è un passo necessario per prevenire le truffe e proteggere i clienti.

La signora Loo Siew Yee, vicedirettore generale (Politica, Pagamenti e Criminalità Finanziaria) presso la MAS, ha evidenziato che la MAS è impegnata a lavorare a stretto contatto con le banche per salvaguardare i consumatori dalle truffe del banking digitale. Ha osservato che quest'ultima misura integrerà le buone pratiche di igiene informatica che i clienti dovrebbero continuare a seguire, come la protezione delle proprie credenziali bancarie.

Questa misura della MAS e dell'ABS dimostra il loro impegno a migliorare la sicurezza del banking digitale imponendo l'uso di token digitali. Ciò che manca nell'annuncio è una chiara definizione dei requisiti per i token digitali in termini di autenticazione. Analizziamo questo aspetto più da vicino nella prossima sezione.

I token digitali rappresentano un progresso nella sicurezza online, fornendo un'alternativa più forte alle tradizionali One-Time Passcode (OTP) via SMS. A differenza degli OTP via SMS, che vengono trasmessi tramite SMS (o email) e possono essere intercettati o sottratti tramite phishing, i token digitali sono legati a un dispositivo specifico, tipicamente un telefono cellulare, garantendo che solo il proprietario del dispositivo possa generare i codici di autenticazione necessari.

I token digitali possono funzionare in modi diversi:

• Token digitale basato sul tempo (meno sicuro): Questi token sono codici dinamici basati sul tempo utilizzati per autenticare l'identità di un utente. Sono prodotti da un'app nativa sul dispositivo mobile dell'utente, come un'app proprietaria di una banca – nella maggior parte delle implementazioni, il codice effettivo non viene più mostrato, ma solo una notifica push che chiede il consenso dell'utente con i dettagli della transazione e viene poi trasmessa al server della banca.
• Token digitale crittografico (più sicuro): Un token digitale crittografico rappresenta un metodo di autenticazione ancora più sicuro rispetto ai token basati sul tempo. Utilizza una coppia di chiavi pubblica-privata memorizzata all'interno dell'app o nell'enclave sicura del telefono cellulare. Durante il processo di autenticazione, il server della banca invia una "sfida" (challenge) al dispositivo dell'utente. Il dispositivo utilizza quindi la sua chiave privata per firmare questa sfida e la risposta firmata viene inviata al server. Il server verifica la firma utilizzando la chiave pubblica corrispondente. Questo metodo garantisce che anche se un aggressore intercetta la comunicazione, non può replicare il processo di autenticazione senza accesso alla chiave privata dell'utente, che rimane memorizzata in modo sicuro sul dispositivo.

La sicurezza dei token digitali è rafforzata da diverse caratteristiche chiave:

1. Binding del dispositivo: Il token è legato a un dispositivo specifico, il che significa che i codici di autenticazione possono essere generati solo da quel dispositivo. Questo legame con il dispositivo rende estremamente difficile per gli aggressori replicare o trasferire il token su un altro dispositivo.
2. Configurazione multi-fattore: La configurazione iniziale del token digitale spesso comporta l'uso di OTP inviati via SMS ed email per verificare l'identità dell'utente, oltre al PIN bancario (alcune banche ritirano anche i token fisici con questo approccio. In tal caso, si può usare il token OTP fisico). Una volta attivato il token, diventa il metodo principale di autenticazione, eliminando la necessità di futuri OTP e le loro vulnerabilità associate. Ad esempio, DBS Bank utilizza una combinazione di OTP via SMS ed email durante la configurazione iniziale del token digitale, dopodiché l'autenticazione continua si basa esclusivamente sul token.
3. Protezione basata sul tempo o crittografica: I token digitali impiegano robusti algoritmi crittografici o algoritmi basati sul tempo (TOTP) per generare i codici di autenticazione, garantendo che anche se la comunicazione tra il dispositivo e il server di autenticazione viene intercettata, i codici non possano essere facilmente decifrati o falsificati.

DBS Bank, una delle principali istituzioni finanziarie di Singapore, ha implementato con successo i token digitali per migliorare la sicurezza dei suoi clienti. La banca richiede:

• Qualcosa che l'utente sa: PIN
• Qualcosa che l'utente ha: OTP via SMS (accesso al telefono associato al numero di telefono)
• Qualcosa che l'utente ha: OTP via email (accesso all'email associata all'account)

per configurare il token digitale sul dispositivo mobile di un cliente. Una volta configurato, il token digitale diventa l'unico metodo per autenticare accessi e transazioni, mitigando efficacemente il rischio di attacchi di phishing che prendono di mira gli OTP.

Nel caso in cui l'indirizzo email collegato non sia aggiornato e non sia disponibile un token fisico, l'utente può configurare il token digitale con opzioni di fallback:

Le opzioni di fallback includono l'identità digitale con Singpass, l'utilizzo di un Video Teller Machine (VTM) presso una filiale vicina al cliente o la richiesta di un codice di registrazione da inviare fisicamente per posta entro 3-5 giorni.

Il passaggio dagli OTP ai token digitali affronta diverse vulnerabilità associate ai metodi di autenticazione tradizionali:

• Resistenza parziale al phishing: Poiché i token digitali sono generati e utilizzati direttamente sul dispositivo dell'utente, non c'è rischio di intercettazione tramite phishing. Anche se un truffatore induce un utente a fornire i dati di accesso, non può generare il codice di autenticazione necessario senza l'accesso fisico al dispositivo.
• Superficie di attacco ridotta: Eliminando la necessità di SMS ed email come canali di trasmissione per i codici di autenticazione, i token digitali riducono la superficie di attacco che i truffatori possono sfruttare.
• Comodità per l'utente: Sebbene la configurazione iniziale possa richiedere passaggi aggiuntivi, l'uso continuativo dei token digitali è fluido e comodo per gli utenti. Non devono più attendere l'arrivo di un OTP via SMS o email, che a volte può subire ritardi o essere bloccato.

Sebbene il problema del phishing sia parzialmente migliorato, il nuovo rischio è che i clienti cadano vittime di attacchi di MFA fatigue essendo continuamente abituati a richieste di autenticazione con token digitale. Un aggressore potrebbe approfittare di questa abitudine e inviare una tale richiesta da una pagina di phishing.

Questo è il motivo per cui le grandi aziende tecnologiche (ad es. Google e Microsoft) che hanno subito molte violazioni hanno iniziato a introdurre delle "sfide" (challenge) in queste notifiche push, ad esempio chiedendo di scegliere il numero corretto per proteggere i clienti.

I token digitali offrono un metodo di autenticazione più sicuro nel panorama del banking digitale, ma non eliminano completamente il rischio di phishing. Un aggressore potrebbe ancora indurre la vittima ad autenticare il suo accesso convincendola a confermare le richieste del token digitale. Ciò che l'implementazione di DBS Bank ha dimostrato è che è possibile iscrivere facilmente i clienti a un'altra forma di autenticazione utilizzando una combinazione di fattori esistenti. La domanda a questo punto è: perché la MAS e DBS Bank non introducono le passkey? Vediamolo.

Come abbiamo visto, i token digitali rappresentano un passo avanti nella protezione delle transazioni di banking digitale rispetto ai tradizionali OTP via SMS. Tuttavia, sebbene i token digitali offrano funzionalità di sicurezza avanzate, non sono completamente resistenti al phishing. Un aggressore potrebbe ancora indurre una vittima ad autenticare una richiesta fraudolenta convincendola a confermare le richieste del token digitale. Questa vulnerabilità persistente suggerisce che i token digitali, pur essendo un miglioramento, non costituiscono una mossa abbastanza audace verso la messa in sicurezza del banking online.

Le passkey offrono un metodo di autenticazione veramente resistente al phishing. A differenza dei token digitali, le passkey sono intrinsecamente resistenti agli attacchi di phishing perché possono essere utilizzate solo sul sito web o sull'applicazione corretta. Ciò garantisce che gli utenti non possano essere ingannati a inserire le loro credenziali su un sito fraudolento. Le passkey si basano sulla crittografia a chiave pubblica-privata, dove la chiave privata è memorizzata in modo sicuro sul dispositivo dell'utente e crittografata in modo sicuro nel cloud del sistema operativo collegato. La chiave pubblica è condivisa con il servizio di autenticazione.

Ecco come le passkey migliorano la sicurezza:

1. Resistenza al phishing: Le passkey eliminano il rischio di inserire i dettagli di autenticazione su siti web falsi. Poiché il processo di autenticazione può procedere solo sul sito legittimo che ha emesso la sfida, i tentativi di phishing sono resi inefficaci. È tecnicamente impossibile utilizzare una passkey sulla pagina sbagliata ed è anche impossibile per un consumatore medio esportare una passkey a una parte terza.
2. Supporto multi-dispositivo: A differenza dei token digitali, che sono spesso legati a un singolo dispositivo, le passkey possono essere sincronizzate in modo sicuro tra dispositivi autenticati all'interno dello stesso cloud o gestore di password. Ciò offre flessibilità e comodità agli utenti che accedono ai loro servizi bancari da vari dispositivi.
3. Forte sicurezza del dispositivo: Le passkey richiedono che la 2FA sia attivata all'interno degli ecosistemi dei telefoni cellulari (come iOS o Android). Questo ulteriore livello di sicurezza garantisce che anche se un dispositivo viene compromesso, l'aggressore dovrebbe bypassare la 2FA del dispositivo per accedere alle passkey. Abbiamo già elaborato i dettagli spiegando i requisiti SCA/PSD2 per le passkey e spiegato perché le passkey sincronizzate possono essere utilizzate per il settore bancario.

L'Australia ha riconosciuto l'importanza dell'autenticazione resistente al phishing nel suo standard Essential Eight, che delinea le migliori pratiche per la cybersecurity. Lo standard menziona specificamente la necessità di requisiti tecnici che mitigano i rischi di phishing, posizionando l'Australia come leader nella cybersecurity nella regione Asia-Pacifico. Singapore, con la sua avanzata infrastruttura digitale, dovrebbe seguire l'esempio dell'Australia integrando le passkey nei suoi standard e raccomandazioni per le imprese. Ciò non solo rafforzerebbe la sicurezza, ma allineerebbe anche Singapore alle migliori pratiche globali in materia di sicurezza digitale.

Il settore bancario è in attesa di una chiara guida normativa che consenta esplicitamente l'uso di passkey sincronizzate nel settore bancario. Una tale mossa darebbe alle banche la fiducia necessaria per adottare questa tecnologia avanzata e offrire ai loro clienti un metodo di autenticazione veramente sicuro e conveniente. L'Autorità Monetaria di Singapore (MAS) ha l'opportunità di stabilire un nuovo standard nella sicurezza del banking digitale approvando l'uso delle passkey. In questo modo, la MAS segnalerebbe il suo impegno a promuovere misure di sicurezza all'avanguardia, garantendo che Singapore rimanga in prima linea nell'innovazione del banking digitale.

Convertire gli utenti a token digitali più sicuri è un passo significativo verso il miglioramento della sicurezza del banking online a Singapore. Tuttavia, guardando al futuro, è essenziale che le banche inizino ad adottare le passkey, che diventeranno lo standard de facto per l'autenticazione web. Ecco alcune raccomandazioni chiave per le banche di Singapore per rendere a prova di futuro la loro infrastruttura di sicurezza:

1. Iniziare a raccogliere le passkey in anticipo: Durante la transizione ai token digitali, le banche dovrebbero anche avviare il processo di raccolta delle passkey dagli utenti. Questo approccio proattivo preparerà le banche a una transizione senza soluzione di continuità una volta che le passkey saranno ampiamente accettate e adottate. Integrando la raccolta di passkey negli attuali processi di onboarding e autenticazione, le banche possono gradualmente costruire un database sicuro di passkey.
2. Sostituire i PIN con le passkey: Un passo pratico e immediato verso l'adozione delle passkey è sostituire i tradizionali PIN con le passkey. Le passkey offrono un'alternativa più sicura e conveniente ai PIN, sfruttando la crittografia a chiave pubblica-privata. Implementando le passkey come metodo principale di autenticazione, le banche possono migliorare la sicurezza fornendo al contempo un'esperienza utente più fluida.
3. Utilizzare le passkey come primo fattore o misura di rischio aggiuntiva: Le passkey possono essere utilizzate come primo fattore di autenticazione o come misura di rischio aggiuntiva nelle configurazioni di autenticazione a più fattori (MFA). Incorporare le passkey nel processo di autenticazione fornirà un ulteriore livello di sicurezza, rendendo significativamente più difficile per gli aggressori compromettere gli account degli utenti. Le banche possono iniziare offrendo le passkey come funzionalità di sicurezza opzionale e renderle gradualmente una parte standard del processo di autenticazione.
4. Educare i clienti sulle passkey: L'implementazione di successo delle passkey richiede la consapevolezza e l'accettazione da parte dei clienti. Le banche dovrebbero investire in campagne educative per informare i clienti sui vantaggi e sulle caratteristiche di sicurezza delle passkey. Una comunicazione chiara su come funzionano le passkey e sul loro ruolo nella protezione dagli attacchi di phishing incoraggerà più clienti ad adottare questa tecnologia.
5. Collaborare con le autorità di regolamentazione e i colleghi del settore: Le banche dovrebbero collaborare attivamente con organismi di regolamentazione come l'Autorità Monetaria di Singapore (MAS) e i colleghi del settore per stabilire linee guida standardizzate per l'implementazione delle passkey. Gli sforzi congiunti garantiranno un approccio coerente e sicuro in tutto il settore bancario, migliorando la sicurezza complessiva del banking digitale a Singapore.
6. Investire in infrastrutture e sistemi di supporto: L'implementazione delle passkey richiede infrastrutture e sistemi di supporto robusti. Le banche dovrebbero investire nella tecnologia e nelle risorse necessarie per supportare l'autenticazione con passkey, compresi sistemi di gestione delle chiavi sicuri e l'integrazione con i framework di autenticazione esistenti. Garantire un'esperienza utente fluida e sicura sarà cruciale per un'adozione diffusa.
7. Monitorare e adattarsi alle minacce emergenti: Monitorare regolarmente il panorama delle minacce e aggiornare di conseguenza le misure di sicurezza aiuterà le banche a rimanere un passo avanti rispetto ai rischi potenziali. Le passkey, combinate con continui miglioramenti della sicurezza, forniranno una difesa resiliente contro le tattiche emergenti di phishing e frode.

Seguendo queste raccomandazioni, la sicurezza dell'autenticazione nel settore bancario di Singapore può aumentare ulteriormente e trovare integrazione anche in framework e standard di conformità come il Safe App Standard, che attualmente non menziona le passkey come tecnologia di autenticazione.

In sintesi, l'annuncio dell'Autorità Monetaria di Singapore (MAS) di eliminare gradualmente gli OTP via SMS e passare ai token digitali segna un passo cruciale nel rafforzamento della sicurezza del banking digitale. Questa mossa affronta la crescente minaccia delle truffe di phishing, che hanno avuto un impatto significativo sui consumatori e sul settore bancario.

• Perché abbandonare gli OTP: La MAS dà priorità all'abbandono degli OTP a causa della loro suscettibilità al phishing e all'intercettazione. I truffatori hanno sfruttato le vulnerabilità degli OTP via SMS, spingendo alla necessità di metodi di autenticazione più sicuri.
• Cosa sono i token digitali: I token digitali offrono una sicurezza avanzata essendo legati al dispositivo e utilizzando robusti algoritmi crittografici. Questo li rende più resilienti agli attacchi di phishing rispetto agli OTP tradizionali. Offrono anche comodità e riducono la superficie di attacco eliminando la necessità di codici di autenticazione basati su SMS o email.
• Le passkey possono aiutare il settore bancario di Singapore: Le passkey emergono come un'alternativa superiore, offrendo un'autenticazione robusta e resistente al phishing. Utilizzando la crittografia a chiave pubblica-privata, le passkey garantiscono che l'autenticazione possa avvenire solo su siti legittimi, mitigando significativamente i rischi di phishing. Il loro supporto multi-dispositivo e la forte sicurezza del dispositivo ne aumentano ulteriormente l'attrattiva.

Mentre abbiamo esplorato i vantaggi dei token digitali, abbiamo notato i loro limiti nell'eliminare completamente i rischi di phishing. Le passkey, d'altra parte, forniscono una soluzione completa, in linea con le migliori pratiche internazionali in materia di sicurezza digitale. Sebbene la transizione ai token digitali sia un passo avanti, l'obiettivo finale dovrebbe essere quello di adottare le passkey come standard futuro per l'autenticazione nel banking digitale.