L’emergenza sanitaria dovuta al Covid-19 ha portato ad uno stravolgimento radicale nelle abitudini della popolazione mondiale: dai pranzi in famiglia alle cene al ristorante, dalla palestra alla scuola, passando per il lavoro, non c’è un aspetto della vita quotidiana che non sia mutato radicalmente, e molti di questi cambiamenti sono destinati a restare.

L’esempio più lampante ci è dato dallo shopping: lo shopping online non è certo cosa nuova, ma la pandemia e le conseguenti chiusure al pubblico hanno costretto le attività commerciali ad incrementare o, in alcuni casi, anche introdurre e rivedere l’utilizzo di nuove esperienze di acquisto, portando ad uno  sviluppo esponenziale del mercato e-commerce e, conseguentemente, del rischio di frode online ai danni di tutti gli “anelli” della catena di acquisto: consumatori, venditori e istituti bancari.

E- commerce: come è cambiato lo scenario?

Con la spinta della pandemia, in Italia le imprese dedite al commercio online (primario o secondario) sono cresciute del 50% nel 2020 (fonte: Sportello telematico per l’accesso al Registro Imprese, Infocamere, 2021)

È opportuno specificare che, contrariamente a quanto si possa pensare, tale sviluppo non si è registrato in maniera uniforme in tutti i settori ma si è differenziato per la natura degli acquisti: se da un lato aumenta l’acquisto online di prodotti (con in testa il settore del food & Grocery, +65% rispetto all’anno precedente), dall’altro si registra un inevitabile crollo nelle vendite online nei servizi, in particolare settore del Turismo (-58% rispetto al 2019) a causa delle limitazioni per la mobilità.

Se nel 2020 la crescita complessiva dell’e-commerce, “frenata” dalle restrizioni sui servizi, si è assestata sul +3,4% (per un totale 32,4 mld di €), la combinazione tra un graduale ritorno alla normalità e il mantenimento delle nuove abitudini di acquisto ha fatto registrare negli anni successivi un incremento superiore ai livelli pre-pandemia (+23% nel 2021 e +14% nel 2022), per un valore complessivo di  45,9 mld di € nel 2022. (fonte: Osservatorio eCommerce B2C – Netcomm School of Management del Politecnico di Milano).

Lo scenario appena descritto ha portato anche ad un’evoluzione nella modalità di pagamento preferita dagli italiani. Secondo YouGov, 6 italiani su 10 preferiscono il pagamento elettronico: la carta di credito è risultato essere il mezzo di pagamento più diffuso e in crescita (41%), seguita dai digital wallet (26%) e dal bonifico (15%) che perde punti. Seguono in decrescita il pagamento alla consegna (12%), il pagamento via mobile (2%) in favore delle modalità per la rateizzazione del pagamento (4%). 

Quali sono le principali modalità di frodi E-Commerce?

Una simile crescita dell’e-commerce non poteva passare certo inosservata agli occhi dei cyber criminali, che hanno sfruttato tale canale per incrementare sensibilmente frodi e attacchi ai danni delle banche e dei loro clienti, perfezionando tecniche di attacco sempre più complesse o creandone di totalmente nuove. 

Il fattore umano rimane una delle principali vulnerabilità la maggioranza dei criminali informatici riesce ad accedere ai sistemi informatici e alle infrastrutture delle organizzazioni attraverso combinazioni di malware e tecniche di social engineering attraverso cui carpiscono le credenziali degli utenti.

Di seguito troviamo le tecniche di frodi e-commerce più diffuse:

• Phishing: tale truffa si materializza tramite l’invio di e-mail, proveniente apparentemente da istituti finanziari o da siti web, che richiedono l’accesso previa registrazione, invitando i destinatari a fornire i propri dati e rimandando gli stessi su siti internet quasi identici agli originali (lo Smishing e il Vishing sono le varianti a seconda che vengano inviati SMS o vengano fatte chiamate da parte di ‘finti operatori’);
• Man in the Browser (MITB): dopo che il PC dell’utente viene infettato da un trojan, questo intercetta il traffico passante tra cliente e server così da modificare in real time i dati relativi all’importo e il beneficiario delle transazioni; 
• Pagejacking: trattasi del processo di replica fedele di interi siti internet e-commerce da parte dei criminali informatici. L’intenzione di un pagejacker è quella di indirizzare illegalmente il traffico dal sito originale a pagine Web clonate. I pagejacker si affidano ai motori di ricerca per indicizzare i contenuti fasulli del sito per consentire il posizionamento e la visualizzazione dei risultati di ricerca con il sito originale;
• Frode della Triangolazione: simile alla precedente, dove i criminali ‘costruiscono’ falsi negozi online con l’intento di vendere articoli a prezzi più vantaggiosi e successivamente utilizzare i dati personali rubati per effettuare acquisti su siti reali;
• Sim Swapping: consiste nel collegare il numero cellulare della vittima ad una nuova scheda SIM in modo da poter gestire in prima persona l’iter di autenticazione necessario per acquisti online, e nel peggiore dei casi, anche per bonifici istantanei di importi elevati.

Gli attacchi di Phishing che mirano al furto di credenziali rappresentano un pericolo concreto ed in crescita. A differenza degli attacchi massivi, o tradizionali, che agendo su larga scala risultano essere poco sofisticati e quindi meno efficaci grazie all’evoluzione dei sistemi per la protezione della posta elettronica, nel caso del Phishing, invece, si tende a mirare alla componente umana e quindi alla ‘collaborazione’ della vittima.

L’edizione 2022 del Rapporto Clusit sulla sicurezza ICT in Italia ha riportato alcuni dati in merito ad una campagna di Phishing simulato con l’invio di una mail di auguri natalizi inviata ai dipendenti di un’azienda italiana. Su 4.233 e-mail inviate, circa un quarto dei destinatari (981) ha fornito le proprie credenziali all’attaccante. Un’azione che potrebbe rivelarsi fatale per una qualunque organizzazione.

Cosa possono fare gli Istituti Finanziari?

E‘ quindi evidente come sia elevato il rischio per i consumatori, per ingenuità o disattenzione, di esporre inconsapevolmente i propri dati e credenziali alla mercé dei frodatori. Per salvaguardare la propria clientela (e loro stessi) da queste tipologie di attacchi, gli istituti finanziari devono mettere in campo azioni di contrasto alle frodi su diversi fronti. Vediamo le principali:

Monitoraggio delle transazioni

Il monitoraggio delle transazioni sospette o fraudolente su tutti i canali di pagamento resta l’attività principale di contrasto alle frodi e-commerce. Gli istituti finanziari devono essere in grado, in tempo reale, di controllare e analizzare le transazioni dei propri clienti, alla ricerca di attività che possano risultare sospette sulla base delle informazioni e dello storico dell’account del cliente.

L’introduzione di una soluzione integrata per la Fraud Governance può supportare efficacemente le operazioni di monitoraggio e contrasto delle transazioni sospette: centralizzare e orchestrare in un’unica piattaforma i dati e i flussi di lavoro che insistono su diversi sistemi, piattaforme e strumenti antifrode consente di mettere in relazione informazioni relative alle transazioni sui diversi canali per ciascun cliente, e di creare profili di rischio individuali utili a ridurre i falsi positivi e a concentrarsi sui clienti potenzialmente più a rischio. 

In un approccio moderno al monitoraggio delle transazioni, i sistemi di monitoraggio si integrano anche con tecniche di Artificial Intelligence e Machine Learning, per identificare automaticamente le frodi e applicare le contromisure appropriate.

Autenticazione forte

Al fine di garantire servizi di pagamento elettronici basati su tecnologie in grado di salvaguardare l’autenticazione sicura dell’utente e ridurre il rischio di frode, la Direttiva europea PSD2 ha introdotto la tematica dell’autenticazione forte del cliente (Strong Customer Authentication, o SCA).

La SCA impone che tutte le operazioni di pagamento elettronico, e anche altre operazioni a distanza che comportino un rischio frode, vengano confermate e autorizzate combinando due o più fattori di autenticazione, scelti tra qualcosa che solo chi effettua l’operazione conosce (ad esempio un PIN o una password), qualcosa che solo chi effettua l’operazione possiede (un’app su un dispositivo mobile o una chiave che genera codici OTP), oppure un elemento di inerenza, cioè qualcosa che contraddistingue univocamente l’utente (l’impronta digitale, la geometria del volto, o un’altra caratteristica biometrica).

Un altro esempio di autenticazione forte, sempre introdotto dalla PSD2, è il 3D Secure Code: successivamente al momento dell’acquisto, per verificare l’identità del cliente, sul numero di cellulare associato precedentemente viene inviato un SMS con un codice casuale numerico di 6 cifre (OTP) da inserire nell’apposita maschera che compare in fase di acquisto online.

Comunicazione e Awareness

Le implementazioni in termini di tecnologie e processi devono essere supportate da una strategia di comunicazione, lato Banca, sia nei confronti della clientela che del proprio personale.

A tal proposito, i canali di informazione verso i propri clienti, per condividere aggiornamenti e raccomandazioni su un corretto uso dei device e su buone pratiche di comportamento nella gestione di credenziali e strumenti di pagamento, risultano essere svariati sia per il mercato retail che corporate. Dai dati forniti da CERTFin nella Survey annuale, l’informativa sul portale di internet banking resta la più utilizzata seguita dall’informativa presso le filiali, quella contrattualistica, via mail, quella sui social network e quella tramite Mobile App.

Per quanto riguarda la formazione interna, invece, si sta promuovendo il training verso il personale specialistico (team di sicurezza) seguito dalla formazione verso il Contact Center, il Top Management, il personale di Back Office, quello di filiale e l’Help Desk.