Protezione dei dati nell'open banking.

Con l’espansione dell'open banking, anche il tema della protezione dei dati sta diventando sempre più importante: banche e i clienti sono spesso preoccupati dal fatto che i dati sensibili possano cadere nelle mani sbagliate. Ecco perché è importante capire come funzionano gli attuali sistemi di open banking e PSD2, e come viene garantito che i clienti delle banche rimangano nel pieno controllo dei loro dati finanziari.

  #Digital Process Factory   #Digitalization as a Service  

Riutilizzare invece che costruire da zero

Molti fornitori di servizi finanziari stanno parlando di open banking, infatti devono tenersi al passo con le ultime tecnologie. Ma è sicuro per una banca offrire servizi open banking e quindi l'accesso ai dati sensibili? In realtà è una domanda paradossale, poiché la maggior parte delle banche che stanno pensando di utilizzare una soluzione open banking dispongono già dell'infrastruttura necessaria per tale progetto. L'e-banking richiede infatti elevati standard di sicurezza informatica. Attraverso l'uso intelligente di questa infrastruttura esistente, le soluzioni usate per assicurare la sicurezza possono essere riutilizzate, il che semplifica l'implementazione di una soluzione open banking. Un aspetto importante, per esempio, è la protezione delle nuove API & PSD2 contro l'accesso non autorizzato. Per questo motivo si raccomanda di utilizzare l'infrastruttura di sicurezza già esistente, che è già stata controllata e non ha problemi di sicurezza. Noi di UMB, con la nostra piattaforma bancaria aperta ubix2b, adottiamo un approccio che utilizza e integra l'infrastruttura di sicurezza già usata e conosciuta dai nostri clienti. I firewall esistenti e gli identity provider sono integrati per garantire la separazione delle licenze tra i singoli sistemi. Le architetture risultanti seguono di conseguenza il cosiddetto approccio best-of-breed: ogni componente è specializzato in una certa funzionalità che a sua volta mette a disposizione di altri sistemi.

 

Seguire da vicino la persistenza dei dati

Vediamo un esempio: il primo punto di contatto delle richieste di terze parti (TPP) è di solito un web application firewall che controlla le richieste e che blocca quelle potenzialmente dannose. Contemporaneamente il firewall controlla i certificati TPP emessi a livello centrale. In questo modo il firewall assicura che solo i fornitori terzi registrati abbiano accesso. Inoltre, tutte le comunicazioni tra il sistema bancario e le terze parti richiedono che i dati inviati e ricevuti siano crittografati tramite TLS. Tuttavia un firewall da solo non è sufficiente: anche la persistenza dei dati dovrebbe essere esaminata attentamente. In un tale processo è fondamentale prestare attenzione a quali dati vengono memorizzati e dove questi vengono resi disponibili. Tutti i dati di identificazione personale devono essere archiviati in una zona di rete appositamente protetta, mentre i metadati sull'uso delle API, che non permettono di ricavare informazioni sui clienti coinvolti, possono essere conservati in una zona DMZ. Inoltre bisogna prestare attenzione alla registrazione delle singole applicazioni. In questo modo è possibile evitare che i dati sensibili appaiano in un file di log.

Protezione del consumatore attraverso la gestione del consenso

Tuttavia la sicurezza di una soluzione open banking non si limita solo all'infrastruttura utilizzata: fa la sua parte anche il quadro PSD2, con la sua gestione obbligatoria del consenso. La gestione del consenso gestisce l'accesso delle terze parti ai dati dei clienti. È importante capire che le TPP con accesso alle API implementate non hanno automaticamente accesso a tutti i dati dei clienti. Con la PSD2, i clienti devono acconsentire esplicitamente prima che una terza parte possa accedere ai loro dati. Per garantire ciò, le banche richiedono il consenso dei clienti attraverso un processo di autorizzazione specifico per condividere i loro dati. Questa autorizzazione avviene esclusivamente tra la banca e i suoi clienti, in modo che i fornitori terzi non possano influenzarla in alcun modo. Inoltre il consenso concesso si applica solo alla relazione tra il cliente e questa specifica TPP. Se un altro fornitore terzo desidera accedere ai dati, l'autorizzazione deve essere ripetuta per questo fornitore. In questo modo la banca si assicura che il cliente abbia tutte le informazioni necessarie sull'autorizzazione concessa. Inoltre, il login impostato e i metodi di autenticazione a due fattori proteggono il processo di autorizzazione dai tentativi di uso improprio dei dati. In questo modo, non solo vengono rispettati gli stessi standard di sicurezza di un'applicazione di e-banking, ma il sistema fa anche uso di un'infrastruttura di sicurezza già consolidata E per anticipare eventuali dubbi: no, non è troppo complicato. I requisiti di sicurezza dell’open banking non sono da prendere alla leggera. Come dice il proverbio: meglio prevenire che curare!