Le banche che difendono il loro diritto alla sicurezza non comprendono il punto riguardante la fiducia dei consumatori.
Banks defending their right to security do not understand the point about consumer trust.
Con i dati di mercato che indicano un aumento dei cyber attacchi in volume e sofisticazione, non è sorprendente che le aziende cerchino modi per proteggere meglio i propri asset. In particolare, le banche desiderano fosse più grandi in quanto hanno di più da perdere.
Tuttavia, le difese rafforzate significano inevitabilmente che gli utenti legittimi dovranno scavare più in profondità per accedere ai servizi. Il risultato è un dibattito perenne sulla ricerca del giusto equilibrio tra sicurezza e usabilità.
Inoltre: 4 modi per evitare di cliccare su link maligni che tutti online dovrebbero conoscere
E sembra che una banca a Singapore debba affrontare quel bilanciamento dopo aver introdotto una funzione di sicurezza che ha frustrato diversi clienti.
La scorsa settimana, OCBC ha lanciato una funzione che blocca l’accesso ai suoi servizi bancari digitali se vengono rilevate sul dispositivo dell’utente app mobili non scaricate da store non ufficiali, come Google Play Store e Huawei AppGallery.
- TikTok è vietato sui dispositivi di proprietà della città di NYC
- I pubblici ministeri hanno le DM e le bozze di Twitter di Trump
- LG svela la sua prima televisione wireless, con uno schermo incredi...
Citando la necessità di proteggere i clienti dai malware, la banca ha dichiarato che questo “miglioramento” consente alla sua app di identificare app errate sul dispositivo del cliente. La funzione di sicurezza controlla anche le impostazioni di autorizzazione delle app rispetto a ciò che la banca considera potenziali rischi o che sono comunemente utilizzate da app infette da malware.
Inoltre: Questa nuova funzione di sicurezza dell’app di questa banca infastidisce i clienti
Quando vengono rilevate app che non soddisfano entrambi i criteri, i clienti non possono effettuare l’accesso al proprio account tramite l’app mobile o il sito di home banking di OCBC finché non disinstallano o rimuovono le app “scorrette”.
Questo alto livello di sicurezza sembrava fantastico, fino a quando non sono iniziate a comparire le lamentele. I clienti si sono trovati bloccati, anche se le app segnalate dalla nuova funzione di sicurezza della banca erano state effettivamente scaricate da store ufficiali. Queste app includevano Microsoft Authenticator, LG ThinQ, CCleaner e Trend Micro. Anche le app che erano state approvate dalle app antivirus mobili dei clienti sono state etichettate come rischiose dalla funzione di sicurezza di OCBC.
I clienti interessati hanno affermato che la soluzione consigliata dalla banca di eliminare e reinstallare le app specifiche dagli store ufficiali non ha funzionato.
Nella maggior parte dei casi, la risposta di OCBC è stata standard: la nuova funzione di sicurezza fa parte degli sforzi per combattere le frodi e “proteggere i nostri clienti” dalle app sospette. “Ci scusiamo per ogni inconveniente causato”, ha affermato più volte ai clienti infuriati sulla sua pagina Facebook. “Chiediamo pazienza in quanto questa funzione mira a proteggere i clienti dalle truffe dei malware”.
Inoltre: I migliori servizi VPN (e consigli per scegliere quello giusto per te)
Questa situazione sembra un caso in cui la sicurezza ha prevalso sull’usabilità. Sono stato sollevato, avendo letto gli aneddoti dei clienti di OCBC che si lamentavano, di aver scelto di fare affari con un’altra azienda. Ma poi l’autorità di regolamentazione del settore, la Monetary Authority of Singapore (MAS), ha manifestato il suo sostegno alla funzione di sicurezza della banca.
“Le misure di sicurezza comportano un certo grado di disagio aggiuntivo per i clienti, ma sono necessarie per mantenere la sicurezza e la fiducia nella banca digitale”, ha dichiarato la MAS. “Insieme a un pubblico vigile e attento, misure di sicurezza robuste ci aiuteranno a rafforzare la nostra difesa contro le truffe”.
Data la posizione di supporto dell’autorità di regolamentazione, mi aspetto ora che le altre due principali banche locali, inclusa la mia, seguano l’esempio nel prossimo futuro e lancino una funzione di sicurezza simile.
Forse OCBC sta scontando una punizione per essere stata protagonista delle frodi di phishing dello scorso anno, o forse ha perso una partita di sasso, carta, forbice ed è stata scelta come prima banca a lanciare la funzione di sicurezza, e quindi ha dovuto sopportare la rabbia dei clienti?
Inoltre: Come proteggere e garantire la sicurezza del tuo gestore di password
In ogni caso, il lancio confuso di OCBC lascia molto a desiderare e solleva questioni che l’intero settore, compreso il suo regolatore, dovrà affrontare collettivamente.
Fiducia del consumatore e responsabilità condivisa
Prima di tutto, precisiamo una cosa. Questo non riguarda semplicemente la privacy, ma la fiducia dell’utente. Quando le cose non funzionano come dovrebbero, la fiducia si eroderà.
Usa solo app dai negozi ufficiali e sei a posto, è stato assicurato ai clienti di OCBC. Ma questo approccio si è rivelato problematico.
Inoltre: 8 abitudini dei lavoratori remoti altamente sicuri
“Oh, allora le impostazioni di permessi dell’app sono il problema”, è stato detto ai clienti. Tuttavia, la banca è rimasta evasiva riguardo ai dettagli di quali siano queste impostazioni di permessi, presumibilmente affinché i malintenzionati non vengano avvisati su come aggirare questi limiti.
In generale, la mancanza di informazioni e trasparenza fa sì che gli utenti si chiedano cosa ci sia di così sbagliato nelle app, app che avevano scaricato dai negozi ufficiali e che erano state sviluppate da aziende legittime. Significa che aziende come Microsoft, LG e Trend Micro stanno rilasciando app che comportano rischi per la sicurezza, come ritenuto da OCBC?
E se non fosse così, significa che le app vengono identificate erroneamente da una ‘miglioramento’ di sicurezza di una grande banca? Un miglioramento di sicurezza che avrebbe dovuto essere rigorosamente controllato e testato prima di essere rilasciato al pubblico?
Quanto fiducia dovrebbero quindi riporre i consumatori in una funzionalità di sicurezza che non è in grado di distinguere correttamente tra app legittime e quelle che comportano rischi effettivi?
Inoltre: Questi esperti si stanno affrettando a proteggere l’IA dagli hacker
Per di più, agli utenti viene detto che le loro decisioni su come vogliono gestire i loro dispositivi non sono valide. In altre parole, questo miglioramento di sicurezza implica “rimuovi le tue app sconvenienti o non potrai usare le nostre”.
Quindi, quando le imprese sovrascrivono la decisione di un cliente su come vogliono proteggere i loro dispositivi, li rende pienamente responsabili quando si verifica una violazione? Io credo che potrebbe essere così, dato che il cliente ha poca voce in capitolo sulle app, compresi gli strumenti antivirus, che può avere sul proprio telefono se desidera continuare ad accedere al proprio conto bancario.
Recentemente ho avuto una conversazione simile con alcuni esperti del settore, durante la quale ho menzionato un fastidio personale riguardo ai permessi delle app e all’incapacità o alla mancanza di volontà delle organizzazioni di spiegare perché hanno bisogno di accedere a funzioni che non sono necessarie per facilitare i loro servizi.
Mi è stato suggerito che la mancanza di trasparenza potrebbe essere bilanciata dall’assicurazione che queste aziende, per loro interesse, non vorrebbero sviluppare un’app che metta a rischio i loro clienti, danneggiando così la loro reputazione di marca.
Io sostengo che questa posizione non dovrebbe scagionare i clienti dalla responsabilità della propria postura di sicurezza.
Infatti, il governo di Singapore, forse a gioia delle imprese, ha più volte sottolineato la necessità che i consumatori assumano una responsabilità condivisa nella salvaguardia della propria igiene informatica.
“La lotta continua contro le truffe richiede un approccio di ecosistema, con tutti gli attori che svolgono il loro ruolo nel rimanere vigili e proteggersi dalle truffe”, ha detto la MAS. Il regolatore sta lavorando a un quadro di responsabilità che chiarirà i ruoli e le responsabilità delle istituzioni finanziarie, delle aziende di telecomunicazioni e dei clienti nella vigilanza contro le truffe online.
Inoltre: 5 semplici passaggi per mantenere il tuo smartphone al sicuro dagli hacker
Se ai consumatori viene imposta la responsabilità e la responsabilità della loro igiene online, non dovrebbero allora avere il diritto di prendere le proprie decisioni su come proteggersi al meglio?
E non dovrebbe esserci maggiore trasparenza e accesso alle informazioni su come le organizzazioni con cui i consumatori effettuano transazioni stanno proteggendo i loro servizi?
Per il bene dei loro clienti (e della mia sanità mentale), spero che le altre banche che seguono le orme di OCBC abbiano preso appunti e stiano lavorando per evitare un rollout altrettanto caotico.
Ad esempio, OCBC avrebbe potuto attenuare alcuni dei problemi offrendo ai clienti una “lista bianca” personale a cui possono aggiungere le app inizialmente segnalate dalla funzione di sicurezza della banca. Queste app potrebbero essere controllate e valutate in base alle politiche di sicurezza e aggiunte alla lista bianca solo dopo che è stato accertato che sono sicure.
Le banche potrebbero limitare la lista bianca a, diciamo, tre app, in modo che i clienti siano incentivati a dare priorità alle app strettamente necessarie e le banche possano gestire le risorse necessarie per facilitare questo approccio. Potrebbero anche utilizzare strumenti di intelligenza artificiale per automatizzare alcuni processi e ottimizzare il ciclo di valutazione delle app, oltre a mantenere un repository di app approvate, riducendo ulteriormente lo sforzo necessario per mantenere la lista bianca.
E se non lo stanno già facendo, le banche dovrebbero mettersi in contatto con i principali sviluppatori di app, inclusi i fornitori di software antivirus, per capire se le impostazioni di permessi rispettano o meno la loro checklist di sicurezza. A meno che non scelgano anche loro di non divulgare i dettagli dietro i permessi delle app che considerano rischiosi.
Inoltre: Smetti di usare il codice di accesso a 4 cifre del tuo iPhone in pubblico. Fai invece così
Innanzitutto, la domanda chiave che tutte le banche vorranno porsi è se sono pronte ad assumersi la piena responsabilità in caso di violazione della sicurezza, qualora decidessero di sovrascrivere le scelte di sicurezza dei loro clienti.
