Come la 2FA può evitare frodi per la tua azienda e i tuoi clienti

La 2FA fornisce un aiuto concreto nel mantenere gli account al sicuro, aggiungendo un ulteriore strato di sicurezza utile ad evitare le frodi online.
Come la 2FA può salvare la vostra azienda e i vostri clienti dalle frodi online

L'online banking ha reso i pagamenti e la gestione del denaro più immediati, tuttavia, con esso si ha anche una maggiore esposizione al crimine informatico e alle frodi online. Per le banche e gli istituti finanziari, oltre al costo della frode stessa, ci sono numerosi costi correlati aggiuntivi. Per ogni euro di frode gli istituti finanziari perdono quasi tre euro. A parte i costi elevati, non mancano le preoccupazioni da parte dei clienti, visto che gli attacchi informatici sono spesso legati al furto d'identità e all'Account Takeover.

Dal momento che un istituto finanziario non è in grado di determinare correttamente se un tentativo di login è stato effettuato da un cliente o da un truffatore, com’è possibile garantire ai clienti che loro sono gli unici a poter accedere ai loro conti? Per questo motivo, la sicurezza assume un ruolo estremamente importante, e la prima barriera contro tali attacchi è l'autenticazione a due fattori (2FA).

Cos'è l'autenticazione a due fattori (2FA)?

L'autenticazione a due fattori (2FA) è un meccanismo di sicurezza che protegge l'accesso ai conti online, aggiungendo un ulteriore livello di sicurezza oltre alla password. Con la 2FA abilitata, non è sufficiente inserire la password per accedere al proprio account. C’è bisogno infatti di un ulteriore passaggio, che dipende dal tipo di 2FA utilizzato. Di seguito sono riportati i metodi 2FA più comuni, in aggiunta alla verifica della password:

  • Ricevere un codice usa e getta via SMS sul proprio numero di telefono, che dovrà essere digitato nel browser o nell'app durante l’accesso.
  • Ottenere il codice da un'app installata sullo smartphone che genera nuovi codici a intervalli regolari.
  • Ricevere una notifica push sullo smartphone che mostrerà una schermata contenente i dettagli di accesso, richiedendo di cliccare un pulsante per approvare l'operazione.

Per un conto online senza protezione 2FA, la password è tutto ciò di cui il malintenzionato ha bisogno per effettuare l'accesso e abusare dei dati personali online. Al contrario, una volta abilitata la 2FA sul proprio conto, se un hacker ruba la password non sarà in grado di accedervi, a meno che non abbia accesso diretto allo smartphone della vittima. Ci sono alcune eccezioni al riguardo, ma comunque l’utilizzo di questo livello di sicurezza aggiuntivo aumenta significativamente la sicurezza contro l'aggressore.

Le password non sono più uno standard accettabile per la sicurezza

Quando si tratta di sicurezza online, le password sono sempre più criticate per le loro numerose debolezze nel mondo digitale in cui viviamo. Normalmente, le persone  scelgono password facili da indovinare, e come se non bastasse, le riutilizzano in diversi siti web: una combinazione fatale.

Anche quando si aggiungono numeri o simboli a una password, che in teoria dovrebbero rendere gli attacchi più difficili, in pratica non sono sufficienti a proteggere gli utenti: le tecniche moderne usate dai malintenzionati impiegano solo un po' più tempo per rendere la password inefficace. Per esempio, sempre più spesso le persone prediligono l’utilizzo dello zero (0) al posto della 'o', e dell’uno (1) o del punto esclamativo (!) al posto della 'i'.

Tuttavia, i software moderni utilizzati per trovare le password sono in grado di bypassare questi sistemi, per esempio usando la forza bruta tramite i cosiddetti attacchi a dizionario.

Per questo motivo, molti istituti in tutto il mondo hanno riconosciuto l'importanza della 2FA e di altre misure di autenticazione in aggiunta alla (o al posto della) password.

Gli istituti finanziari in Italia beneficiano della 2FA

Nel 2020, l'Italia è stata uno dei primi sei Paesi ad essere colpita dal malware bancario, e il quarto Paese più attaccato dal malware dei sistemi di mobile banking, subendo così un peggioramento della situazione rispetto al 2019. Un dato particolarmente preoccupante per gli istituti finanziari, è che il 57% delle persone che hanno subìto una truffa a causa di un malware non hanno cambiato le loro modalità di gestione delle password. Tale comportamento evidenzia che le vecchie abitudini sono difficili da cambiare, indipendentemente da quanto siano dannose.

Anche le persone che si trovano a dover far fronte a un attacco informatico o a un furto di credenziali continuano a riutilizzare le stesse password su siti diversi, salvandole su un foglio excel o scrivendole su un Post-it.

Allo stesso tempo, i trojan del mobile banking continuano ad espandersi a livello globale (ad esempio, Ginp, Anubis, Ghimob, Basbanke, FluBot, e altri), rendendo le password altamente vulnerabili agli attacchi. Senza un secondo livello di sicurezza i clienti sono esposti alle frodi, e conseguentemente gli istituti finanziari si trovano a dover sostenere costi elevati.

Le aziende sono preoccupate per la complessità dell'implementazione e il potenziale attrito che si potrebbe creare ai clienti

Uno dei motivi principali per cui le aziende non aggiornano i loro processi di autenticazione è dovuto alla paura per la complessità inerente alla 2FA, e all’impatto negativo sull’esperienza utente. I sondaggi mostrano che le imprese si preoccupano della mancanza di consapevolezza dei clienti sul tema della 2FA e sull’adozione di quest’ultima. Eppure, tale preoccupazione non è fondata se si guardano le statistiche sull'adozione della 2FA.

La generazione più giovane, infatti è già esperta nell'uso della 2FA, con il 76% degli utenti della Generazione Z che adopera il processo 2FA, più di qualsiasi altro gruppo demografico. Seguono il 74% dei Millennials e il 62% dei Baby Boomers. Aggiungendo 2FA come misura di sicurezza, non solo proteggete i vostri clienti, ma rafforzate anche la vostra reputazione.

La prevenzione è il miglior tipo di protezione. Attivare la 2FA per i vostri clienti è la migliore strategia preventiva da adottare, evitando così di rendervi un bersaglio facile per gli attacchi che avverranno - visto che è solo una questione di tempo.

Quindi, l’idea che l’adozione della 2FA debba per forza tradursi in un’esperienza utente peggiore, è un mito da sfatare. Non deve nemmeno essere costruita in-house, prosciugando le risorse ingegneristiche e accumulando costi elevati di manutenzione e supporto. In generale, è possibile integrare le soluzioni 2FA in maniera semplice tramite un'API o in alternativa un WebWidget che permette ai vostri sviluppatori di integrare la piattaforma di autenticazione nel vostro flusso di lavoro in meno di un'ora, senza richiedere alcun tipo di manutenzione.

Futurae  avatar
Futurae

Build trust, not inconvenience with Futurae’s future-proof customer authentication. Futurae develops and manages an authentication platform extremely easy to deploy and use. Futurae empowers any web-based and app-based customer interaction to be authenticated easily and securely.