L’anello debole della sicurezza informatica dei sistemi di pagamento resta il consumatore. Ed è quindi a lui che il cybercrime, ormai sempre più una vera e propria industria, dirige i propri attacchi.
E se le carte di pagamento, in tutte le loro declinazioni, sono protette da sistemi di monitoraggio delle frodi in tempo reale, lo stesso non può ancora dirsi di strumenti di pagamento più recenti e nel mirino dei criminali, come gli instant payment.
Ne abbiamo parlato in questa intervista, in esclusiva per AziendaBanca, con Natalie Kelly, Chief Risk Officer di Visa in Europa.
AG. Come stanno evolvendo le strategie di attacco della criminalità informatica verso i consumatori?
NK. Rispetto al periodo pre-Covid, stiamo effettivamente assistendo a un cambiamento dello scenario.
Fino a pochi anni fa, ogni gruppo criminale agiva per conto suo, in base alla propria specializzazione: chi conduceva campagne di phishing, chi vendeva carte clonate, altri ancora reclutavano i money mule.
Durante la pandemia, invece, nel dark web si sono creati degli spazi di incontro e di collaborazione tra gruppi criminali, che oggi lavorano insieme e in modo coordinato.
Ci sono centinaia, se non migliaia, di mercati virtuali che funzionano letteralmente come i siti in cui noi facciamo shopping online. Solo che si possono acquistare pacchetti di malware, oppure servizi criminali, addirittura applicando filtri di ricerca per tipologie di attacco, oppure paese di attività.
Si paga tutto in bitcoin e si possono persino lasciare recensioni.
Il lato positivo è che anche noi ci coordiniamo con le altre aziende del settore, le forze di polizia e gli enti governativi per sorvegliare ciò che accade nel dark web e contrastare queste azioni.
AG. La cronaca recente ha raccontato di clamorosi casi di frode condotti utilizzando deep fake realizzati con l’intelligenza artificiale. È la AI la nuova arma del cybercrime?
NK. La sicurezza è un aspetto critico nel panorama dei pagamenti digitali, in particolare nel contesto dell’AI.
Essendo stati i primi a utilizzare l’intelligenza artificiale nel settore dei pagamenti, comprendiamo bene il valore di questa tecnologia nell’identificazione di modelli insoliti e nella prevenzione delle frodi, che ci ha permesso solo nell’ultimo anno di bloccare transazioni fraudolente per un controvalore di 41 miliardi di dollari.
L’intelligenza artificiale può però anche essere utilizzata dai criminali, aiutandoli a moltiplicare le capacità e le modalità di attacco.
Così come noi abbiamo Chat GPT, anche loro hanno i propri GPT (l’acronimo significa Generative Pre-trained Transformer Artificial Intelligence, dove AI viene poi dato per sottinteso, NdR) per realizzare testi, audio e video estremamente sofisticati.
Vediamo già un salto di qualità nei tentativi di frode. Un esempio interessante è il phishing in lingua giapponese: prima un messaggio fraudolento era facile da individuare a causa degli errori grossolani che conteneva.
Oggi, un GPT padroneggia anche questa lingua così complessa e il phishing è molto ben realizzato.
Credo che in futuro vedremo attacchi molto pericolosi, basati anche su audio e video fraudolenti, realizzati grazie all’intelligenza artificiale.
Per questo è fondamentale continuare a investire nello sviluppo di questa tecnologia, in modo da stare sempre un passo avanti rispetto ai cybercriminali.
AG. La minaccia si sposta online e sui canali di contatto digitali, quindi? Le transazioni card present non sono più una fonte di preoccupazione?
NK. L’industria delle carte di pagamento ha sempre cercato di tenersi un passo avanti rispetto ai criminali.
Le carte hanno molti livelli di protezione e da quando siamo passati al chip and PIN vediamo ben poche carte clonate. Sì, direi che le transazioni in presenza sono ormai molto sicure.
Per l’online penso che la soluzione sia la tokenizzazione, che è una tecnologia crittografica eccezionale. È come se potessimo proteggere i dati della carta con un lucchetto, apribile solo con una combinazione di migliaia di cifre. E questa combinazione cambia a ogni transazione. Abbiamo una funzionalità, Click to pay, che memorizza in modo sicuro i dati della carta e permette di pagare rapidamente nel web, sfruttando proprio la tokenizzazione.
AG. L’anello debole, quindi, resta il cardholder, cioè il cliente finale anche delle banche?
NK. C’è sempre bisogno di iniziative per educare il consumatore alla sicurezza. Negli ultimi 5 anni, Visa ha investito 10 miliardi di dollari in sicurezza informatica e nella creazione di un ecosistema più solido e sicuro.
Per questo la criminalità informatica si rivolge al consumatore finale. E in questo momento credo che i pagamenti account-to-account, che avvengono in tempo reale, non siano ancora protetti da quelle misure di sicurezza che le carte invece possono offrire sia al cardholder sia al merchant.
La rischiosità di ogni transazione Visa, ad esempio, viene valutata attraverso soluzioni di intelligenza artificiale in base a 500 parametri diversi in meno di 7 millisecondi.
E oggi stiamo lavorando per includere anche una valutazione incrociata dei dati di uso sia della carta sia del conto corrente, per avere una visione olistica del cliente.
AG. Negli scorsi anni, il brand Visa è comparso su alcune carte che permettono di spendere anche Bitcoin e crypto-asset. Come vi siete relazionati col mondo crypto?
NK. Non ci occupiamo di investimenti in asset digitali, a differenza delle banche, ma siamo specializzati nelle transazioni, nel trasferire denaro. E se il denaro va in una direzione, Visa ci vuole essere.
Nel caso delle carte che permettono di spendere le criptovalute, al momento della transazione avviene una conversione in valuta fiat: ed è quest’ultima di cui si occupa Visa.
Il nostro ruolo è garantire la sicurezza di quella transazione e della parte del processo che possiamo vedere e controllare. Penso comunque che chi detiene Bitcoin legato ad attività criminali non li sposterà di certo usando una carta Visa.
AG. Il settore finanziario europeo, fornitori compresi, si sta confrontando anche per motivi regolamentari con il tema della resilienza, che è al centro dell’attenzione anche per motivi geopolitici. Come si posiziona Visa su questo tema?
NK. Abbiamo investito moltissimo in resilienza operativa. Ci piace definire la qualità della nostra capacità di elaborazione delle transazioni con l’espressione “i cinque nove del processing”: il 99,999% delle transazioni, infatti, va a buon fine.
I nostri sistemi bloccano ogni giorno 2 milioni di incidenti cyber: è davvero una quantità enorme.
La nostra infrastruttura è molto resiliente, grazie a diversi data center e 16 milioni di chilometri di linee dati riservate.
Abbiamo persino la possibilità di usare la tecnologia satellitare, se i nostri data center non funzionassero.
Svolgiamo simulazioni continue su ogni possibile scenario e siamo decisamente orgogliosi di quanto abbiamo già fatto sulla resilienza.
Questo articolo è stato pubblicato sul numero di marzo 2024 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
