Article published on Exprivia Threat Intelligence Report 3Q2020

Published: Nov 5, 2020
Tags:toolsarticles

Valutazione automatica dei rischi di sicurezza delle procedure di autenticazione bancarie

Negli ultimi anni abbiamo assistito ad una considerevole diffusione di servizi online, i cui innumerevoli vantaggi impattano in modo estremamente positivo sulla vita quotidiana: si pensi ad esempio alla comodità di poter compiere operazioni a distanza direttamente dalla propria abitazione. Questa tendenza ha recentemente subito una spinta a causa della situazione sanitaria globale, considerate anche le limitazioni sulla possibilità (e volontà) di spostarsi fisicamente per recarsi all’interno di filiali o negozi. […]

Anche l’ambito bancario è stato protagonista di un notevole processo di digitalizzazione della sua offerta grazie a procedure di identificazione che forniscono elevati livelli di garanzia. Se però da una parte il vantaggio legato allo sviluppo di queste nuove tecnologie è indiscutibile, dall’altra preoccupano i significativi rischi connessi con la sicurezza di tali piattaforme; in particolar modo, le procedure di autenticazione in contesto bancario sono attualmente oggetto di numerosi attacchi che hanno recentemente occupato le pagine di cronaca. […]

Per cercare di ridurre questo andamento, l’Unione Europea ha recentemente emanato la seconda versione della Payment Services Directive (PSD2), una direttiva che – tra le altre cose – mira a fornire dei requisiti cui tutti i servizi bancari devono attenersi per migliorare la propria sicurezza intrinseca, in particolare riguardo all’autenticazione degli utenti.

Nel seguito, dettaglieremo i principali requisiti dettati dalla PSD2 sulle soluzioni di autenticazione riguardanti una vasta classe di servizi finanziari, analizzandone inoltre gli effetti su uno scenario reale tramite l’utilizzo di uno strumento automatico di valutazione dei rischi di sicurezza chiamato MuFASA (acronimo di Multi-Factor Authentication Security Analysis), sviluppato dalla Fondazione Bruno Kessler di Trento, nell’ambito di un dottorato congiunto con l’Università degli Studi di Genova.

Articolo completo disponibile su Exprivia Threat Intelligence Report 3Q2020.

Related Publications

  • Federico Sinigaglia, Roberto Carbone, Gabriele Costa, Silvio Ranise
    MuFASA: A Tool for High-level Specification and Analysis of Multi-factor Authentication Protocols
    In: Emerging Technologies for Authorization and Authentication (ETAA 2019) (DOI, complementary material, news)

Involved People

Carbone Roberto

Roberto Carbone

Website

Pernpruner Marco

Marco Pernpruner

Website

Sciarretta Giada

Giada Sciarretta

Website

Ranise Silvio

Silvio Ranise

Website