In Brasile, dove le carte di credito sono una delle principali forme di pagamento e i dati digitali hanno un valore paragonabile a quello del denaro contante, i rischi di frode online stanno diventando sempre più presenti, richiedendo una maggiore attenzione da parte di consumatori e aziende.
Per avere un'idea della dimensione del problema, quattro brasiliani su dieci sono già stati vittime di truffe e frodi finanziarie nel paese, il che rappresenta il 42% dei brasiliani. I dati sono del "Rapporto sull'Identità Digitale e Frodi 2024", un'indagine condotta da Serasa Experian.
Un altro studio, questa volta della Confederazione Nazionale dei Dirigenti Commerciali (CNDL) e del Servizio di Protezione del Credito (SPC Brasil), in collaborazione con il Sebrae, mostra che circa 8,4 milioni di consumatori hanno segnalato frodi presso istituzioni finanziarie negli ultimi 12 mesi. Tra le frodi, la clonazione di carte di credito e debito rappresenta il principale tipo di frode.
Sebbene circa il 70% dei brasiliani possieda tre o più carte, come indicato da Serasa, la percezione del rischio è ancora bassa. Circa il 69% dei brasiliani continua a sottovalutare il pericolo di registrare dati finanziari su siti web e applicazioni, il che lascia una vasta parte della popolazione esposta a truffe digitali e attacchi informatici.
Nel mezzo del crescente allarme sulla sicurezza digitale, buone notizie emergono: nuove iniziative e avanzamenti tecnologici stanno rendendo l'ambiente online più sicuro ogni giorno.
Recentemente, il Consiglio per gli Standard di Sicurezza PCI (PCI SSC) ha proposto nuove linee guida per lo sviluppo continuo e il miglioramento degli standard di sicurezza, applicabili alle aziende che memorizzano, elaborano o trasmettono dati di pagamento, nonché agli sviluppatori e ai produttori di software e dispositivi utilizzati nelle transazioni. La PCI è un'organizzazione globale che riunisce i principali attori dell'industria dei pagamenti per promuovere l'uso di risorse per transazioni sicure.
"Con l'evoluzione delle minacce e della tecnologia, si evolvono anche gli standard PCI DSS. Pertanto, è necessario prestare attenzione, ora, ai nuovi requisiti e apportare gli adeguamenti necessari", avverte Wagner Elias, CEO di Conviso, sviluppatore di soluzioni per la sicurezza delle applicazioni.
Tra le aggiornamenti ci sono quelli del Standard di Sicurezza dei Dati del Settore delle Carte di Pagamento (PCI DSS), creato per proteggere tutta la catena del valore dei pagamenti con carta. I tuoi requisiti di conformità coprono dalla memorizzazione dei dati dei titolari di carta alla sicurezza nell'accesso alle informazioni sensibili di pagamento.
“In sintesi, è necessario rafforzare la protezione dei dati dei clienti, implementando misure aggiuntive per prevenire accessi non autorizzati”, afferma l’esperto.
Pertanto, le aziende dovranno adattarsi e investire in nuove tecnologie. Per avere un'idea, alcune di queste soluzioni sono in grado di fornire una visione completa dei rischi associati a ciascuna applicazione. "Queste strumenti integrano diversi sistemi, centralizzando le informazioni e aiutando nella prioritizzazione delle azioni, tutto in modo continuo", spiega il CEO di Conviso, riguardo alla sua piattaforma Conviso Platform Application Security Posture Management (ASPM), lanciata nel 2010.
Tuttavia, l'esperto sottolinea che molte aziende adottano ancora un atteggiamento reattivo nei confronti della sicurezza dei loro sistemi, dando priorità al tema solo dopo aver subito un attacco. Questo comportamento, secondo lui, è preoccupante, poiché le falle di sicurezza possono causare perdite finanziarie significative e danni irreparabili alla reputazione dell'organizzazione, che potrebbero essere evitati con misure preventive.
Per lui, considerando la creazione di un nuovo software, è essenziale che l'azienda integri la sicurezza in ogni fase del ciclo di sviluppo, dalla raccolta dei requisiti (prima fase che analizza cosa farà l'app) fino al deploy (produzione e consegna finale).
“Per evitare questi rischi, la grande differenza è adottare pratiche di sicurezza delle applicazioni fin dall'inizio dello sviluppo della nuova applicazione. Ciò garantisce che le misure di protezione siano incluse in tutte le fasi del ciclo di vita del software. Oltre a essere notevolmente più conveniente rispetto alla riparazione dei danni dopo un incidente, investire nella sicurezza preventiva è molto più efficace. "Questo ci consente di prevenire gli attacchi, proteggere i dati sensibili, garantire la conformità alla legislazione e alle linee guida e garantire che l'applicazione sia sicura e affidabile per gli utenti fin dall'inizio", afferma l'esperto.
Wagner spiega che l'azienda sviluppa soluzioni che integrano la sicurezza nel DevOps, consentendo che ogni riga di codice venga sviluppata con pratiche di protezione, oltre a servizi come test di intrusione e mitigazione delle vulnerabilità. Eseguire analisi continue di sicurezza e automazione dei test consente alle aziende di rispettare le norme senza compromettere l'efficienza, sottolinea Wagner.
Oltre all'implementazione di tecnologie robuste, il CEO di Conviso sottolinea l'importanza delle consulenze specializzate, che aiutano le aziende ad adattarsi alle esigenze del PCI DSS 4.0 e di altre normative. Servizi offensivi come Penetration Testing, Red Team e valutazioni di sicurezza di terzi promuovono un approccio di sicurezza proattivo e completo, identificando e correggendo vulnerabilità prima che possano essere sfruttate.
Gli investimenti devono accelerare
Questa trasformazione nella sicurezza digitale non solo rafforza la fiducia dei consumatori in un ambiente online sicuro, ma segue anche la crescita accelerata del mercato della sicurezza delle applicazioni, che dovrebbe espandersi da 11,62 miliardi di dollari nel 2024 a 25,92 miliardi di dollari entro il 2029, secondo Mordor Intelligence. Implementare tecnologia all'avanguardia segna una svolta nella protezione digitale e rafforza la fiducia in un mercato che dipende, più che mai, dalla sicurezza per prosperare, conclude Wagner.
Scopri l'elenco dei 12 requisiti PCI DSS che il controllo di conformità 4.0 deve soddisfare:
- Installare e mantenere un firewall
- Elimina la configurazione predefinita del fornitore
- Proteggere i dati dei titolari di carta memorizzati
- Criptare la trasmissione dei dati di pagamento
- Aggiorna regolarmente il tuo software antivirus
- Distribuisci sistemi e applicazioni sicuri
- Limitare l'accesso ai dati del titolare della carta secondo necessità
- Assegna ID di accesso utente
- Limitare l'accesso fisico ai dati
- Traccia e monitora l'accesso alla rete
- Testare continuamente i processi e i sistemi per individuare le vulnerabilità
- Creare e mantenere una politica di sicurezza informatica
L'implementazione delle linee guida PCI DSS 4.0 avviene in due fasi:
- La prima fase, con 13 nuovi requisiti, aveva scadenza il 31 marzo 2024.
- La seconda fase, con 51 requisiti aggiuntivi, dovrà essere implementata entro il 31 marzo 2025.
