Passkey e PSD2: MFA resistente al phishing e conforme alla PSD2

Nel digital banking, sicurezza e user experience non devono più essere in conflitto. Le passkey uniscono questi due fattori, introducendo un'autenticazione MFA resistente al phishing che si allinea ai requisiti della PSD2 e della SCA. Le passkey sono la forma di autenticazione più sicura e intuitiva che possa essere implementata nei servizi finanziari. Questo passo avanti arriva in un momento cruciale, mentre il settore bancario è alle prese con l'implementazione della Direttiva sui servizi di pagamento riveduta (PSD2), un quadro normativo progettato per migliorare la sicurezza e la competitività del settore bancario europeo.

In questo contesto, le passkey emergono non solo come una soluzione di conformità, ma anche come una grande forma di innovazione, promettendo di soddisfare i rigorosi requisiti della PSD2 senza compromettere la UX. In questo articolo, analizziamo le sfumature della PSD2 e il suo mandato per la Strong Customer Authentication (SCA): diventa chiaro che le passkey rappresentano il futuro dell'autenticazione MFA resistente al phishing nel settore bancario.

La PSD2 è una normativa introdotta dall'Unione Europea per rivoluzionare i servizi di pagamento e il panorama bancario in Europa. I suoi obiettivi principali sono aumentare la concorrenza, migliorare la protezione dei consumatori e promuovere l'innovazione nello spazio dei pagamenti digitali. Imponendo l'accesso aperto alle informazioni finanziarie dei clienti a terze parti approvate (con il consenso del cliente), la PSD2 apre la strada a un ecosistema finanziario più integrato, efficiente e intuitivo. Tuttavia, da un grande potere derivano grandi responsabilità, e la PSD2 affronta questo aspetto attraverso la sua attenzione alla sicurezza, in particolare attraverso i protocolli di autenticazione.

Al centro delle misure di sicurezza della PSD2 c'è il requisito della Strong Customer Authentication (SCA), un protocollo progettato per ridurre drasticamente le frodi e migliorare la sicurezza dei pagamenti elettronici. La SCA si basa sul principio che i pagamenti elettronici non dovrebbero essere solo fluidi ma anche abbastanza sicuri da resistere a varie minacce. Questo quadro di autenticazione è obbligatorio per i fornitori di servizi di pagamento, le banche e i gateway di pagamento elettronico che operano nell'ambito della PSD2.

L'implementazione della SCA ai sensi della PSD2 è definita da diversi requisiti critici:

L'autenticazione deve coinvolgere almeno due elementi delle seguenti categorie:

• Conoscenza: Qualcosa che solo l'utente conosce, come una password o un PIN.
• Possesso: Qualcosa che solo l'utente possiede, come un dispositivo mobile, una smart card o un token hardware.
• Inerenza: Qualcosa di inerente all'utente, inclusi identificatori biometrici come impronte digitali, riconoscimento facciale o pattern vocali.

Per ogni transazione, deve essere generato un codice di autenticazione unico che collega dinamicamente i dettagli specifici della transazione, come l'importo e il numero di conto del destinatario.

Gli utenti sono tenuti a ri-autenticarsi a intervalli, tipicamente ogni 90 giorni, per mantenere l'accesso ai servizi di online banking. Tuttavia, questo requisito è stato rivisto per ottimizzare l'equilibrio tra sicurezza e praticità.

La SCA deve essere applicata a tutte le transazioni elettroniche, garantendo che l'autenticazione sia specifica per l'importo e il beneficiario, creando una firma unica per ogni transazione.

I fornitori di servizi di pagamento dovrebbero utilizzare un approccio basato sul rischio per applicare la SCA, dove le transazioni a basso rischio possono essere esentate dalla SCA per snellire il processo di pagamento senza compromettere la sicurezza (notate già il collegamento con le passkey?).

L'intero processo di autenticazione deve essere tracciabile e verificabile, con registrazioni conservate per dimostrare l'aderenza ai requisiti della SCA.

Introducendo la SCA, la PSD2 ha innalzato significativamente lo standard per la sicurezza delle transazioni nel settore bancario. Di seguito, ci concentreremo sui diversi fattori coinvolti nella Multi-Factor Authentication (MFA). Questi fattori hanno anche un impatto sul requisito di autenticazione specifica per la transazione (maggiori dettagli di seguito).

Di seguito, presenteremo le diverse fasi evolutive dell'autenticazione nel settore bancario.

Il percorso dell'autenticazione nel settore bancario è iniziato con l'uso di Numeri di Identificazione Personale (PIN) e Numeri di Autenticazione della Transazione (TAN). I clienti ricevevano una lista di TAN, ognuno da utilizzare una sola volta per la verifica della transazione. Questo metodo, sebbene rivoluzionario all'epoca, aveva i suoi svantaggi, incluso il rischio che le liste di TAN venissero rubate o utilizzate in modo improprio.

Con l'avanzare della tecnologia, le banche hanno introdotto i TAN elettronici (eTAN) e i TAN mobili (mTAN), in cui i TAN venivano generati e inviati al dispositivo mobile del cliente tramite SMS. Questo metodo ha migliorato la sicurezza collegando il TAN al dispositivo, ma ha anche introdotto nuove vulnerabilità, come il rischio di intercettazione degli SMS e la scomodità di dover attendere e gestire questi messaggi. Fino all'introduzione delle passkey, gli SMS OTP sono ancora considerati l'opzione di 2FA più comoda disponibile per il settore bancario dal punto di vista della UX.

Per migliorare ulteriormente la sicurezza, le banche hanno adottato smart card e dispositivi token che generavano codici unici per l'autenticazione. Queste soluzioni basate su hardware offrivano un livello di sicurezza più elevato, ma aggiungevano anche complessità e scomodità per i clienti, che ora dovevano portare con sé un dispositivo aggiuntivo.

L'ultima evoluzione nell'autenticazione bancaria include la biometria (impronta digitale o riconoscimento facciale) e le app di mobile banking con funzionalità di sicurezza integrate. Questi metodi miravano a bilanciare sicurezza e praticità sfruttando i tratti biologici unici dell'utente e l'onnipresenza degli smartphone. Tuttavia, richiedono anche che i clienti eseguano il processo di download e configurazione di un'app per ogni singola banca che utilizzano.

Nonostante questi progressi, i clienti affrontano ancora notevoli disagi e frustrazioni con gli attuali metodi di autenticazione bancaria e sono a rischio di essere presi di mira dai truffatori:

• Complessità e scomodità: La stratificazione di più passaggi di autenticazione, sebbene aumenti la sicurezza, si traduce spesso in un processo macchinoso per gli utenti. Questa complessità non è solo un piccolo inconveniente; può scoraggiare i clienti dall'utilizzare i servizi di digital banking, minando lo scopo stesso della trasformazione digitale.
• Dipendenza da dispositivi e piattaforme: Il passaggio all'autenticazione mobile e biometrica lega strettamente gli utenti ai loro dispositivi. Questa dipendenza crea un anello debole in caso di furto. Inoltre, i guasti tecnici possono rendere inaccessibili i servizi bancari, lasciando i clienti bloccati.
• Vulnerabilità al phishing: Nonostante i progressi, la suscettibilità dei fattori di autenticazione al phishing rimane una vulnerabilità non affrontata dalla SCA. Fattori tradizionali come PIN, password, SMS OTP ed email OTP possono essere compromessi attraverso sofisticati schemi di phishing, mettendo a rischio i dati e le finanze dei clienti.

Ancora oggi, le banche, specialmente quelle tradizionali, continuano ad avvertire i clienti del significativo rischio di phishing.

Nella sezione seguente, spiegheremo come funziona questo meccanismo utilizzando un esempio reale.

Gli attacchi di phishing rappresentano da tempo una minaccia significativa per la sicurezza del settore bancario, sfruttando la psicologia umana (ingegneria sociale) e le vulnerabilità tecnologiche per ottenere accessi non autorizzati a informazioni finanziarie sensibili. Man mano che le banche hanno evoluto la loro autenticazione, i truffatori si sono adattati, ideando schemi sofisticati per aggirare le misure di sicurezza. Comprendere come funziona il phishing, specialmente nel contesto di questi metodi di autenticazione comunemente usati, è cruciale per riconoscere l'urgenza di soluzioni di autenticazione non suscettibili al phishing come le passkey.

Fondamentalmente, il phishing consiste nell'ingannare le persone per indurle a rivelare informazioni sensibili, come credenziali di accesso o dati finanziari, sotto le spoglie di una comunicazione legittima della loro banca. Questo avviene tipicamente attraverso i seguenti passaggi:

1. L'inizio: I truffatori inviano messaggi (spesso via email o SMS) che imitano le comunicazioni ufficiali della banca, completi di loghi e linguaggio che appaiono affidabili. Questi messaggi di solito creano un senso di urgenza, sostenendo che è necessaria un'azione immediata per risolvere un problema o prevenire la chiusura dell'account.
2. L'inganno: Il messaggio contiene un link a un sito web fraudolento che assomiglia molto al portale di online banking ufficiale della banca. Ignara dell'inganno, la vittima è indotta a credere di stare accedendo al sito legittimo della propria banca.
3. La cattura: Una volta sul sito di phishing, alla vittima viene richiesto di inserire i propri dati di autenticazione, come il PIN, o di confermare una transazione con un OTP inviato via SMS. Credendo di interagire con la propria banca, la vittima obbedisce, consegnando involontariamente le proprie credenziali agli aggressori.
4. Lo sfruttamento: Armati di questi dettagli, i truffatori possono quindi accedere al conto bancario della vittima, eseguire transazioni non autorizzate o commettere furti di identità.

Consideriamo uno scenario in cui un cliente di Deutsche Bank riceve un SMS che lo avvisa che il suo account sarà disattivato. Il messaggio include un link a un sito web per verificare l'identità del cliente, con "deutschebank" come parte dell'URL e un certificato SSL corrispondente. Questo sito, una replica precisa della pagina di login di Deutsche Bank (come si può vedere negli screenshot qui sotto), richiede al cliente il suo PIN di online banking e successivamente un SMS OTP in tempo reale (non visibile negli screenshot per motivi di sicurezza). All'insaputa del cliente, inserire queste informazioni sul sito di phishing consente agli aggressori di ottenere pieno accesso al suo account Deutsche Bank e potenzialmente trasferire ingenti somme di denaro su altri conti.

Questo è l'SMS di phishing con la richiesta di riottenere l'accesso al conto bancario (disponibili solo screenshot in tedesco):

Questo è il sito web di phishing degli aggressori (https://deutschebank-hilfe.info):

Questo è il sito web originale per riferimento (https://meine.deutsche-bank.de) che gli aggressori hanno copiato quasi perfettamente (hanno solo omesso l'avviso di phishing in basso):

I clienti abituati ad accedere tramite questa UI identica e a utilizzare l'SMS OTP come fattore di autenticazione possono facilmente cadere vittime di tali attacchi. Esiste un sostanziale ecosistema di suite open-source progettate per concentrarsi su attacchi di phishing mirati a sistemi OAuth o bancari (ad es., https://github.com/gophish/gophish) a scopo di ricerca sulla sicurezza. Tuttavia, questi sistemi possono essere facilmente adattati per scopi malevoli.

Il phishing nel settore bancario diventa sempre più preciso con ogni fuga di dati sul dark web. Tipicamente, anche le informazioni di pagamento come gli IBAN fanno parte di queste fughe. Sebbene queste informazioni non possano essere utilizzate per rubare direttamente denaro, possono essere impiegate in approcci di spear-phishing in cui l'aggressore sa che il bersaglio è effettivamente un cliente della banca.

La falla critica nello scenario sopra descritto risiede nella suscettibilità al phishing dei fattori di autenticazione: sia il PIN che l'SMS OTP possono essere facilmente sollecitati al cliente con falsi pretesti. Questa vulnerabilità sottolinea la necessità di metodi di autenticazione che non possano essere compromessi tramite ingegneria sociale o attacchi di phishing.

I fattori di autenticazione non suscettibili al phishing, come quelli abilitati dalle passkey, offrono una difesa robusta contro tali schemi. Poiché le passkey non si basano su segreti condivisi che possono essere divulgati, estorti a un utente o intercettati, cambiano fondamentalmente il panorama della sicurezza. Con le passkey, il processo di autenticazione implica una prova crittografica di identità che non può essere replicata dai truffatori, eliminando il vettore di attacco più comune nel phishing.

Per contrastare efficacemente le minacce di phishing, il settore bancario deve adottare un approccio multifattoriale che includa:

1. Educare i clienti: Le banche dovrebbero informare continuamente i loro clienti sui rischi del phishing e su come riconoscere le comunicazioni fraudolente.
2. Implementare un'autenticazione non suscettibile al phishing: Passare a metodi di autenticazione che non si basano su informazioni che possono essere sollecitate o intercettate, chiudendo così la porta a molti tentativi di phishing.
3. Migliorare i sistemi di rilevamento delle frodi: Utilizzare analisi avanzate e machine learning per rilevare e prevenire transazioni non autorizzate, anche se i phisher ottengono una qualche forma di dati di autenticazione.

Sebbene il phishing rimanga una minaccia significativa per il settore bancario, l'adozione di metodi di autenticazione non suscettibili al phishing come le passkey rappresenta un passo avanti fondamentale per proteggere l'online banking dai truffatori. Rimuovendo l'anello più debole – la suscettibilità al phishing dei fattori di autenticazione – le banche possono migliorare significativamente la sicurezza dei beni e delle informazioni personali dei loro clienti.

Fino ad oggi, la Banca Centrale Europea e le autorità di vigilanza bancaria locali (ad es., la BaFin) non hanno preso una posizione sul fatto che le passkey, nel loro complesso, sarebbero classificate come 2FA o su come le banche dovrebbero utilizzarle.

Nella prossima sezione, cercheremo di spiegare perché crediamo che le passkey siano conformi alla PSD2.

Nelle discussioni con gli stakeholder dei settori dei pagamenti, fintech e bancario, emerge una domanda ricorrente: le passkey sono conformi alla PSD2 e possono fungere da unica forma di autenticazione negli scenari bancari? La relazione tra le passkey e la Direttiva sui servizi di pagamento riveduta (PSD2) nell'Unione Europea è sfumata e richiede un'analisi dettagliata. Per chiarire, le passkey sono solitamente classificate in due tipi: Passkey sincronizzate (Multi-Device) e Passkey non sincronizzate (Single-Device), ognuna con caratteristiche distinte per quanto riguarda la conformità alla PSD2:

L'aderenza alla conformità è molto importante per le entità regolamentate come banche e compagnie di assicurazione. Tuttavia, le politiche sulla conformità possono richiedere molto tempo per cambiare. Nel caso delle passkey, il principale vantaggio in termini di sicurezza è la loro non suscettibilità al phishing, poiché i clienti non possono divulgare involontariamente queste informazioni agli aggressori.

Sebbene le passkey migliorino notevolmente la sicurezza essendo non suscettibili al phishing, spostano parte del rischio sull'account cloud del cliente, come il Portachiavi iCloud di Apple. Questo rende l'account cloud un bersaglio più attraente per gli aggressori. Tuttavia, servizi come Apple iCloud dispongono di solide misure di sicurezza, in particolare per le funzionalità che supportano le passkey.

In primo luogo, le passkey di iCloud dipendono dall'autenticazione a due fattori (2FA) abilitata sull'account, aggiungendo un ulteriore livello di sicurezza. Ciò significa che anche se un aggressore conoscesse la password iCloud del cliente, avrebbe comunque bisogno dell'accesso a un dispositivo fidato o a un numero di telefono per ricevere il codice 2FA.

Apple, e analogamente Google per i loro account, investono risorse considerevoli per proteggere questi servizi cloud. I protocolli di sicurezza per gli account che supportano le passkey nel cloud sono rigorosi, rendendo quasi impossibile per gli utenti non autorizzati accedervi. Questo elevato standard di sicurezza è mantenuto attraverso aggiornamenti costanti e patch di sicurezza (e hanno anche introdotto le passkey per i loro account, vedi questo articolo del blog).

Inoltre, il furto di dispositivi o di account cloud, sebbene sia un rischio potenziale, non è il vettore di attacco più comune per le applicazioni bancarie. In caso di esigenze di sicurezza elevate, come per transazioni sospette, le banche potrebbero continuare a utilizzare gli SMS OTP come fattore aggiuntivo. Sostituendo il PIN/password con le passkey, il primo fattore di autenticazione diventa non suscettibile al phishing, riducendo significativamente il rischio di attacchi di phishing riusciti. Un terzo fattore potrebbe essere introdotto per le transazioni segnalate come sospette, garantendo una solida postura di sicurezza.

Contrariamente alle visioni tradizionali (avverse al rischio) sulla conformità alla PSD2, Finom e Revolut hanno deciso che proteggere i dati dei clienti è più importante e stanno quindi utilizzando le passkey, nonostante la mancanza di una decisione pubblica europea su come la vigilanza bancaria dovrebbe trattare le passkey rispetto alla conformità PSD2. Le neo-banche e le fintech come Finom e Revolut stanno sfidando lo status quo e, così facendo, stanno influenzando il panorama normativo per quanto riguarda le misure di autenticazione prescritte dalla PSD2.

Dando priorità alla sicurezza e all'integrità dei dati dei clienti, questi pionieri del fintech stanno adottando le passkey anche in assenza di una guida normativa esplicita da parte delle autorità europee. Questa posizione proattiva pone l'onere sui regolatori di rivalutare i loro quadri di conformità alla luce dei progressi tecnologici che offrono soluzioni di sicurezza superiori.

La mossa audace di Finom e Revolut di implementare le passkey evidenzia un aspetto critico della conformità normativa: non dovrebbe trattarsi di aderire rigidamente agli standard, ma piuttosto di raggiungere gli obiettivi sottostanti di tali standard, che, in questo caso, è la massima sicurezza dei dati e delle transazioni dei clienti. Scegliendo di dare priorità alla protezione dei dati rispetto a una stretta aderenza ai modelli di conformità tradizionali, queste neo-banche stanno stabilendo nuovi punti di riferimento per il settore.

Dal punto di vista normativo, c'è un'urgente necessità di chiarezza e adattamento per accogliere progressi come le passkey nel quadro della conformità PSD2. Esortiamo l'UE a prendere una posizione definitiva sulle passkey, riconoscendole come una forma superiore di autenticazione a più fattori (MFA) che si allinea con gli obiettivi principali della PSD2 di rafforzare la sicurezza e ridurre le frodi nell'ecosistema dei pagamenti digitali.

Le passkey, per loro natura, offrono un fattore di autenticazione robusto e resistente al phishing che supera le capacità di sicurezza della maggior parte dei metodi MFA tradizionali. Questo non solo migliora la sicurezza, ma semplifica anche l'esperienza utente, affrontando due aspetti critici della conformità PSD2.

La posizione dell'UE dovrebbe evolversi per riflettere i progressi tecnologici che ridefiniscono ciò che costituisce un'autenticazione efficace e sicura. Abbracciando innovazioni come le passkey e incorporandole nel tessuto normativo, l'UE può dimostrare il suo impegno sia nella protezione dei consumatori sia nella promozione di un ambiente finanziario digitale lungimirante.

Mentre il settore finanziario continua a innovare, spetta ai regolatori fornire una guida chiara e progressista che non solo tenga il passo con il cambiamento tecnologico, ma anticipi anche gli sviluppi futuri. Le neo-banche stanno attualmente guidando la carica, ma è in definitiva responsabilità degli organismi di regolamentazione garantire che il settore finanziario nel suo complesso possa avanzare in modo sicuro e fiducioso verso il futuro del digital banking.

L'adozione delle passkey nel settore bancario e fintech si distingue come un ottimo esempio di innovazione che migliora significativamente sia la sicurezza che l'esperienza utente. In tutto il nostro articolo, abbiamo stabilito il potenziale delle passkey come soluzione di autenticazione lungimirante che si allinea alle rigorose esigenze di sicurezza della PSD2, mitigando al contempo minacce prevalenti come il phishing. Neo-banche/fintech come Finom e Revolut hanno creato un precedente integrando le passkey nei loro quadri di sicurezza, dimostrando la loro efficacia e il loro approccio incentrato sul cliente.

Un piano d'azione in tre fasi per le banche tradizionali potrebbe essere il seguente:

1. Dialogo con i regolatori locali: Le banche tradizionali dovrebbero impegnarsi proattivamente con i loro organismi di regolamentazione locali e le autorità di vigilanza bancaria per discutere l'implementazione delle passkey. Questo dialogo dovrebbe mirare a chiarire le posizioni normative e aprire la strada all'integrazione delle passkey nella struttura di conformità esistente. Prendendo l'iniziativa, le banche possono contribuire a plasmare un ambiente normativo che supporti metodi di autenticazione innovativi.
2. Imparare dalle best practice delle neo-banche: È imperativo per le banche tradizionali osservare e imparare dalle neo-banche che hanno implementato con successo le passkey. Studiare queste best practice fornirà preziose informazioni sugli aspetti operativi, tecnici e di servizio al cliente dell'implementazione delle passkey. Questo trasferimento di conoscenze può aiutare le banche tradizionali a elaborare le proprie strategie per l'adozione delle passkey.
3. Transizione strategica alle passkey: Con chiarezza normativa e una comprensione delle best practice, le banche tradizionali possono sviluppare un piano completo per la transizione dei clienti all'autenticazione basata su passkey. Questo piano dovrebbe includere campagne di educazione dei clienti per spiegare i vantaggi e l'uso delle passkey, implementazioni graduali per garantire una transizione fluida e una valutazione continua per affrontare tempestivamente eventuali sfide.

Il futuro dell'autenticazione bancaria risiede in tecnologie che privilegiano sia la sicurezza che l'usabilità. Le passkey rappresentano un passo in questa direzione, fornendo un metodo di autenticazione non suscettibile al phishing e di facile utilizzo che soddisfa gli standard stabiliti dalla PSD2 e da altri quadri normativi.

Per le banche tradizionali, è giunto il momento di abbracciare il cambiamento e iniziare il passaggio alle passkey. Questa transizione, tuttavia, non dovrebbe essere brusca, ma piuttosto una mossa ben ponderata, che tenga conto delle esigenze uniche della propria base di clienti, del contesto normativo specifico e della prontezza tecnologica dell'istituzione.

L'obiettivo finale è garantire che ogni cliente benefici di una maggiore sicurezza senza sacrificare la praticità. Adottando le passkey, le banche non solo proteggeranno i loro clienti con una tecnologia all'avanguardia, ma segnaleranno anche un impegno per l'innovazione e la centralità del cliente in un'era di finanza digitale.