Mondo
RSA, The Security Division of EMC, ha annunciato i risultati della quarta edizione dell’indagine annuale sulle frodi online riguardanti istituzioni finanziarie e consumatori. Condotto lo scorso dicembre, il Financial Institution Consumer Online Fraud Survey di RSA ha chiesto a 1678 adulti di 8 paesi la loro opinione sull’evoluzione di minacce online quali phishing, vishing e keylogging e sugli sforzi fatti dalle istituzioni finanziarie del loro paese per rafforzare l’autenticazione del canale usato per le operazioni di banking online.
In sintesi, l’indagine ha evidenziato che:
-
Il 91% dei titolari di conto corrente sarebbe disponibile a utilizzare un nuovo metodo di autenticazione oltre al tradizionale ‘username-password’ se la sua banca decidesse di offrire una sicurezza più robusta;
-
Il 73% ha aggiunto che desidererebbe che la propria banca adottasse l’autenticazione risk-based;
-
Il 69% dello stesso campione ritiene che le istituzioni finanziarie dovrebbero sostituire il log-in basato su username-password con un’autenticazione più robusta per le operazioni di online banking;
-
Il 58% del campione ha affermato che le banche dovrebbero utilizzare metodi di autenticazione forte per anche per le operazioni di telephone banking;
-
L’82% vorrebbe che la propria banca monitorasse le sessioni di online e telephone banking per individuare segnali di attività o comportamenti irregolari, così come già avviene per le transazioni con carta di credito;
-
Meno del 70% degli intervistati in Gran Bretagna (69%) e Australia (65%) ha mostrato familiarità con il termine “phishing”, al contrario dell’83% del campione USA.
Dall’indagine è anche emerso che la fiducia nei confronti del canale online continua a diminuire: ora è l’82% dei titolari di conto corrente intervistati a dire di aver timore a rispondere a mail provenienti da banche per paura di cadere vittima di inganni quali il phishing, mentre nelle indagini del 2005 e 2004 le percentuali erano state, rispettivamente, del 79% e 70%. Ma quel che più preoccupa è che, come conseguenza di tali timori, oltre la metà del campione ha dichiarato di essere poco propenso a utilizzare servizi di online banking. Inoltre, il 44% degli intervistati ha affermato che negli ultimi sei mesi è cresciuta la preoccupazione anche relativamente ad altri tipi di attacchi (quali Trojan e keylogger) oltre al phishing.
“Il 2006 è stato un anno molto intenso per le istituzioni finanziarie impregnate a potenziare l’infrastruttura di sicurezza a protezione del banking online. La nostra indagine indica che il mercato si sta muovendo nella giusta direzione, con il 90% dei consumatori che ora si dice pronto e disponibile a utilizzare sistemi di sicurezza più robusti. Credo che le banche dovrebbero tenere in gran conto queste indicazioni provenienti dai consumatori, anche a fini di incremento del business”, ha commentato Christopher Young, vice president e general manager della divisione Consumer Solutions di RSA. “Il 2007 vedrà un deciso progredire della sicurezza dell’online banking, seppur in un contesto dove l’evoluzione delle minacce richiederà la protezione di nuovi canali utilizzati per le transazioni da remoto, quali appunto il telephone banking.”
Interrogati sull’opinione in merito all’autenticazione per le operazioni di online banking, il 69% degli intervistati ha dichiarato di ritenere che le banche dovrebbero usare qualcosa di più robusto del semplice metodo username-password statica e oltre la metà (58%) vorrebbe che metodi di autenticazione forte fossero applicati anche al telephone banking. Inoltre, il 91% dei titolari di conto corrente ha risposto che accetterebbe senza problemi di utilizzare un nuovo metodo di autenticazione diverso da username-password se la propria banca decidesse di offrire sicurezza più robusta: più in dettaglio, il 43% si è mostrato decisamente entusiasta di questa prospettiva dichiarando che “aderirebbe subito alla proposta di un tale servizio da parte della banca” e un 48% si è detto “abbastanza convinto” e propenso a sottoscrivere il nuovo servizio a patto che fosse di semplice impiego.
Agli intervistati sono state illustrate diverse opzioni di autenticazione, compresi token hardware, uso di immagini personalizzate e autenticazione risk-based (ogni diverso metodo è stato oggetto di una specifica domanda). La maggioranza (74%) ha dichiarato che vedrebbe con favore che la propria banca usasse l’autenticazione risk-based. Tale forma di protezione prevede una verifica “invisibile” (ovvero non invasiva per il consumatore) dell’identità dell’utente basata su diversi fattori – origine del log-on, indirizzo IP, comportamento della transazione, ecc. – che può eventualmente essere integrata con telefonate di verifica o richiesta di risposta a domande segrete nel caso in cui la transazione in corso venga identificata come “ad alto rischio”. L’autenticazione risk-based è pensata per fornire sicurezza robusta con il minimo di fastidi per l’utente: un concetto a quanto pare vincente, a giudicare dal favore con cui è stato accolto dagli intervistati.
In media il 40% ha dichiarato che utilizzerebbe volentieri un token hardware, tecnologia che sembra riscuotere il maggior favore in Spagna, Germania, Singapore e India, dove la percentuale si è collocata tra il 46% e il 50%.
Circa la metà del campione totale (48%) ha dichiarato che, nel caso la loro banca decidesse di usare i token per l’autenticazione online, apprezzerebbe se potesse usare un unico token per il log-in anche ad altri siti oltre che a quello per l’online banking.
Il 56% del campione ha dichiarato che sarebbe felice di poter utilizzare un’immagine personalizzata per l’autenticazione del sito di online banking; il 53% ha spiegato che tale tecnica è in grado di infondere un maggior senso di sicurezza, in quanto l’immagine personalizzata viene scelta dallo stesso utente e da lui poi utilizzata per capire se si trova o meno sul sito legittimo della propria banca.
La maggior parte dei consumatori non ha idea di quale livello di sicurezza adotti la propria banca
Nonostante i consumatori richiedano maggiore sicurezza e si dicano disposti a usarla, solo il 39% degli intervistati ha dichiarato di essere informato in merito ad eventuali livelli di sicurezza aggiuntivi implementati dalla propria banca (immagini personalizzate, autenticazione risk-based, dispositivi one-time-password).
Continua Young: “In passato si tendeva a guardare alla sicurezza come a qualcosa da gestire senza far troppo rumore, con i clienti fiduciosi nelle capacità della propria banca di proteggere i loro beni e le loro informazioni riservate. Tuttavia, al crescere della consapevolezza relativamente a furti di identità e frodi online, le persone hanno cominciato a chiedere rassicurazioni sul fatto di essere effettivamente protetti. La nostra esperienza non fa che confermare i risultati dell’indagine: informare i correntisti sulle misure di sicurezza adottate dalla banca anche nel caso in cui queste siano invisibili all’utente è sempre consigliabile e verrà sempre apprezzato dai clienti. Se, infatti, la maggior parte dei consumatori non vuole essere annoiata dalla problematica della sicurezza, tuttavia tutti vogliono essere sicuri di essere protetti. Per raggiungere questa serenità, come abbiamo visto dall’indagine, saranno ben felici di usare nuove tecnologie”.
Secondo i risultati dell’indagine, l’82% degli intervistati vorrebbe che la sua banca monitorasse le sessioni di online e telephone banking per scoprire segnali di eventuali attività o comportamenti irregolari, in modo simile a quanto normalmente avviene per le transazioni con carte di credito. Il 51% ritiene poi che la banca dovrebbe contattarli nel caso in cui venga identificata un’attività online sospetta che lo riguardi; il 48% ritiene che lo stesso dovrebbe avvenire anche per il telephone banking. Particolarmente convinti di ciò gli inglesi, che hanno risposto così nel 93% dei casi.
Le istituzioni finanziarie sono impegnate ad aggiungere sempre nuovi utenti ai loro servizi online, che vengono continuamente arricchiti e perfezionati. Ma l’indagine ha dimostrato che un fattore fondamentale da non trascurare per mantenere la fiducia dei clienti è la sicurezza. Quattro su cinque hanno dichiarato che, come conseguenza diretta della paura di truffe quali il phishing, sono poco propensi a rispondere a una email (apparentemente o realmente) proveniente dalla loro banca. Inoltre, per la stessa ragione, più della metà degli intervistati (52%) si è dichiarato poco propenso a usare i servizi di online banking.