Il recente attacco hacker che ha preso di mira Unicredit ha messo nuovamente sotto la lente d’ingrandimento le possibili falle nella sicurezza che permettono ai cybercriminali di impossessarsi dei nostri dati finanziari. Tra questi, i più sensibili sono sicuramente quelli relativi alle carte di credito: quanto sono al sicuro e qual è il rischio che, effettivamente, dei criminali informatici ne entrino in possesso? Come ha pubblicato La Stampa e Adico (ass.difesa consumatori di Mestre) a queste domande prova a rispondere il security payment Report di Verizon, che analizza l’aderenza delle aziende che utilizzano le carte di credito ai requisiti di sicurezza necessari per proteggere i clienti dai furti. In linguaggio tecnico, questi criteri si chiamano PCI DSS (payment card industry data security standard); introdotti per avere dei parametri oggettivi con i quali valutare il grado di sicurezza degli istituti finanziari, ma anche di negozi, ristoranti, hotel, società tecnologiche e tutte le altre attività che fanno ampio uso dei pagamenti elettronici. Tra i 12 criteri, troviamo la necessità di proteggere la trasmissione dei dati attraverso la crittografia, di mantenere un firewall e un antivirus sempre aggiornati, di monitorare tutti gli accessi ai dati delle carte di credito e altro ancora. Potrebbero sembrare banalità, ma i risultati del report dimostrano come le cose non stiano così: nel 2016, solo il 55,4% delle organizzazioni, prese in considerazione a livello globale, ha rispettato tutti i requisiti richiesti (comunque in crescita rispetto al 48,4% dell’anno precedente). A dimostrare l’importanza, per le aziende, di attenersi agli standard di sicurezza è il fatto che tutti i casi di violazione di carte di credito su cui il report di Verizon si è soffermato sono stati compiuti ai danni di società che non hanno rispettato perfettamente ben 10 dei 12 criteri: «La capacità di un’organizzazione di difendersi dagli attacchi informatici è chiaramente legata all’attenzione nei confronti dei criteri di sicurezza», spiega Rodolphe SImonetti, managing director for security counseling di Verizon. «Tra le aziende che hanno superato le nostre analisi, inoltre, quasi la metà potrebbe non essere più conforme nel giro di un anno o anche meno». Tra i settori che pongono maggiore attenzione alla sicurezza troviamo le aziende che operano nel settore IT (information technology), tra le quali la percentuale di aderenza agli standard di sicurezza arriva al 61,3%. Seguono, di poco, i servizi finanziari (comprese le assicurazioni) con il 59,1%. Peggiori invece le percentuali ottenute dai commercianti (50%) e da hotel e ristoranti (42,9%). «La questione non è più se i dati debbano essere protetti, ma come proteggerli in maniera davvero sostenibile», prosegue Simonetti. «Molte organizzazioni concepiscono i criteri di sicurezza come se fossero fini a se stessi, senza capire come siano invece interconnessi l’uno con l’altro. Questo, spesso, è il risultato della mancanza di personale interno specializzato». Non è un caso, allora, che tra le linee guida sottolineate nel report si trovi la necessità di investire nelle risorse umane e nel know how; oltre all’importanza di automatizzare il flusso di lavoro (lasciando all’uomo il compito della supervisione) e di semplificare la gestione della sicurezza.