Le tre leggi sulle frodi informatiche

16/05/2015

Mutuando i tre assunti sulla sicurezza informatica elencati anni fa dal matematico israeliano, Adi Shamir, secondo cui non esistono sistemi assolutamente sicuri, che per dimezzare la vulnerabilità è necessario raddoppiare la spesa e che la crittografia viene tipicamente bypassata, non penetrata, Frederick Mennes, manager Security Competence Center – Vasco Data Security, ha definito altrettante leggi in materia di frodi.

La prima, ovviamente, è che ci saranno sempre frodi informatiche.
Come spiega Mennes, tendiamo a lavorare con sistemi che sono abbastanza sicuri e cerchiamo di mantenere sotto controllo le frodi. Ridurre le frodi a zero richiederebbe risorse che farebbero aumentare notevolmente il costo stesso delle frodi.
Da qui il suggerimento a cercare di controllare le frodi, non di rimuoverle.

La seconda legge formulata dal manager di Vasco è che la frode informatica non scompare, ma si trasforma.
Applicando alle frodi la legge di conservazione dell’energia in fisica, che stabilisce che la quantità totale di energia in un sistema chiuso è costante, che può essere trasformata, ma non aumentata e nemmeno distrutta, Mennes afferma che i controlli di sicurezza che vengono introdotti per proteggere le applicazioni online non fanno scomparire le frodi.

Piuttosto inducono i criminali a concentrarsi sui modi per bypassarli o su altre applicazioni trasformando, di fatto, la frode.
L’esempio portato all’attenzione riguarda l’evoluzione delle perdite per frode su carte di credito dopo la migrazione allo standard Emv in Canada. Prima della sua introduzione frutto dell’alleanza tra Europay, MasterCard e Visa, le frodi erano principalmente il risultato di clonazioni di carte o di contraffazioni.

Questo tipo di frodi sono diminuite in Canada man mano che le carte di pagamento migravano verso lo standard Emv. Allo stesso tempo sono, però, aumentate le frodi su carte Cnp (Card-Not-Present) tanto che, oggi, la quantità totale di frodi su carte di credito in Canada risulta maggiore rispetto a prima dell’introduzione dello standard Emv, principalmente per l’aumento delle frodi Cnp.
Da questo punto di vista, conferma Mennes, la frode è molto simile a un palloncino: premendolo in un qualsiasi punto saprà espandersi in un altro.

In terza e ultima battuta, le frodi informatiche seguono il percorso di minor resistenza.
Simile alla terza legge di Shamir, quella espressa dal manager di Vasco sentenzia che, in genere, gli hacker sfruttano le vulnerabilità nelle implementazioni di sistemi di crittografia e di sistemi di gestione delle chiavi, piuttosto che eseguire la crittoanalisi degli algoritmi stessi.

La migrazione allo standard Emv in Canada illustra anche questa legge, visto che a causa della tecnologia per l’utilizzo di smart card, terminali Pos e sportelli Atm per l’’autenticazione di transazioni con carte di credito e di debito, la clonazione di carte è diventata molto più difficile e certamente molto più difficile delle frodi Cnp, che consistono nel fare acquisti utilizzando numeri di carte di credito rubate. Per Mennes, ciò si traduce in perdite maggiori a causa di frodi Cnp. (Fonte: http://www.01net.it/)