Banche, crack privacy

Una ricerca svolta da ImmuniWeb. A rischio il 97% degli istituti
Non superano il test Gdpr 85 app su 100
di Antonio Ciccia Messina

Banche online e app bancarie non in regola con la privacy europea (e cioè con il Regolamento Ue 2016/679 o Gdpr).
Nel dettaglio il 97% delle più grandi banche sono a rischio di furto di dati online, e il 20% delle app di mobile banking contiene almeno una vulnerabilità di sicurezza ad alto rischio. Inoltre di 100 banche esaminate, 85 app di web banking non superano il test di conformità al Gdpr, 25 non sono protette da firewall, e 7 contengono vulnerabilità note e sfruttabili dagli hacker.
È quanto emerge da una ricerca svolta da ImmuniWeb (https://www.immuniweb.com/blog/SP-100-banks-application-security.html), di cui ha dato notizia l’associazione Federprivacy.
Delle 100 imprese bancarie analizzate ben 39 sono europee e 16 del Nord America.
Il grado di adeguamento privacy è stato vagliato in relazione ai principi del trattamento e responsabilizzazione (articolo 5 Gdpr), consenso e altre condizioni di liceità (articoli 6 e 7), privacy by design (articolo 25), misure di sicurezza (articolo 32) e valutazione di impatto privacy (articolo 35).
Altri numeri evidenziano altri aspetti preoccupanti. Il 100% delle banche presenta vulnerabilità di sicurezza o problemi relativi a sottodomini dimenticati.
Nell’esaminare i sottodomini dei siti web la ricerca di Immuniweb evidenzia che l’81% dei sottodomini contiene software esterno stampabile tramite dito ha componenti obsoleti e il 2% contiene vulnerabilità divulgate pubblicamente e sfruttabili di rischio medio o alto.
Analoghe criticità sono emerse, sempre da una ricerca Immuniweb, relativa ad altro settore, quello della tecnofinanza (fintech).
Da questa seconda ricerca (https://www.immuniweb.com/blog/fintech-application-security.html) è emerso che il 100% delle aziende ha problemi di sicurezza, privacy e conformità relativi ad applicazioni web, Api e sottodomini abbandonati o dimenticati.
Nel dettaglio 8 siti web principali e 64 sottodomini delle società hanno almeno una vulnerabilità di sicurezza divulgata pubblicamente e sfruttabile a medio o alto rischio.
Il 100% delle applicazioni mobili contiene almeno una vulnerabilità di sicurezza a rischio medio, il 97% presenta almeno due vulnerabilità a rischio medio o alto.
Il 56% dei back-end di app mobili presenta gravi configurazioni errate o problemi di privacy relativi alla insufficiente protezione della sicurezza del server web.
Allo stesso modo, il 64% delle aziende fintech ha fallito il test di conformità al Gdpr per il proprio sito web principale.
Quello che stupisce è che il Gdpr è entrato in vigore il 24 maggio 2016, è diventato operativo il 25 maggio 2018 e, per l’Italia, il decreto di armonizzazione italiano (dlgs n. 101/2018) è anch’esso in vigore dal 19 settembre 2018.
Ci si aspetterebbe che il test di adeguatezza al Regolamento Ue non presentasse un quadro deficitario così marcato.
I risultati delle ricerche di Immuniweb evidenziano, invece, inadempimenti, tutti da sanzionare con la sanzione amministrativa pecuniaria prevista dall’articolo 83 del Regolamento Ue e quindi fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato globale annuo delle imprese; le cifre raddoppiano per la violazione di principi del trattamento e dei diritti dell’interessato (fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato globale annuo delle imprese).
Peraltro emerge una considerazione che attiene alla necessità di provvedere alla adozione di norme di semplificazione per il settore delle piccole e medie imprese. La considerazione della difficoltà di adeguamento per operatori economici che hanno più risorse economiche da investire in sicurezza informatica.
Sui risultati della ricerca relativa al settore bancario, il presidente di Federprivacy, Nicola Bernardi ha dichiarato «Oggi le persone possono svolgere comodamente dal proprio pc e anche dallo smartphone molte di quelle operazioni che in passato richiedevano spesso lunghe file presso sportelli e uffici. D’altra parte, gli utenti hanno bisogno di capire di quali siti web possono veramente fidarsi, specialmente se devono fornire i loro dati per effettuare pagamenti online».
© Riproduzione riservata

Fonte: