Meltdown e Spectre, le due vulnerabilità insite alle CPU di Intel, AMD e ARM, stanno scuotendo l’intera industria informatica. È soprattutto la seconda (Spectre) a far paura. E non tanto per la semplicità di un eventuale exploit (tutt’altro, la strada è in realtà molto complessa), ma per le potenzialità devastanti di questa storia. Numeri alla mano, la portata di questa vulnerabilità interessa più del 90% dei dispositivi informatici di tutto il mondo (per ora, a quanto pare, rimangono fuori i device dell’IoT come videocamere e termostati intelligenti). E allora è importante chiedersi quali siano i settori più a rischio.
L’e-commerce
Quando ci sono di mezzo vulnerabilità informatiche, le transazioni finanziarie sono quelle più soggette ad eventuali attacchi. I dati personali e quelli delle carte di credito sono bocconi ghiotti per i cybercriminali. La portata di Spectre, però, impone un discorso più a monte. Una vulnerabilità come quella scovata, infatti, riguarda anche e soprattutto i vari server cloud delle big company, comprese quelle di e-commerce. I maggiori siti al mondo di e-commerce conservano miliardi di dati sensibili (mail, numeri di telefono, indirizzi e numeri di carte di credito) sulle loro piattaforme cloud. Server con CPU che, alla luce dei fatti, sono potenzialmente vulnerabili. Inutile dire che le conseguenze di un attacco simile sarebbero devastanti. Un’autenticazione in due fattori per ogni account che abbiamo in rete rimane un buon deterrente. Come è utile il classico SMS per ogni utilizzo della carta di credito. In caso di frode, in questi casi, ricevere un rimborso non è una procedura troppo difficile, con le società creditizie coperte da assicurazioni ad hoc.
L’Internet Banking
Con Pc e smartphone vulnerabili, uno dei primi pensieri corre all’Internet Banking. Applicazioni bancarie e siti delle banche sono ormai i nostri intermediari finanziari più frequenti. La vulnerabilità “Spectre”, almeno in teoria, mette a rischio anche questo settore. I servizi bancari online si basano spesso su piattaforme cloud, e vale il discorso fatto per i siti di e-commerce. In questo caso, però, le tutele sono maggiori. Solitamente le disposizioni bancarie in rete necessitano di doppie autorizzazioni, con password temporanee che arrivano via SMS o attraverso dispositivi fisici non connessi. Lato utente, dunque, il sistema sembra comunque solido. Più complessa la faccenda nelle transazioni fra banche.
Chi è responsabile del mio conto corrente?
Ma in caso di furto o frode in fase di pagamento online, chi è il responsabile? Per trovare una risposta concreta, in un territorio molto spinoso, abbiamo chiesto aiuto all’avvocato Maria Cristina Daga, esperta in materia di protezione dei dati personali nei sistemi informatici in ambito bancario. «Nei metodi di pagamento on line (e non solo), in caso di furto o frode, il responsabile è colui che ha agito negligentemente agli obblighi imposti dalla legge e dai contratti. Nel quadro giuridico delle responsabilità, l’onere probatorio ricade in capo all’intermediario bancario o finanziario. In altre parole questo vuole dire che, in caso di furto della carta bancomat, l’intermediario dovrà saper dimostrare che l’operazione è correttamente autorizzata e autenticata, che non vi sono dei malfunzionamenti, ovvero la frode del cliente o la colpa grave dello stesso. In caso di mancato raggiungimento dell’onere probatorio, l’intermediario risponde della perdita del cliente ed è tenuto a rimborsare l’importo dell’operazione contestata o disconosciuta, fatto salva l’applicazione della franchigia in capo al cliente di 150 euro (con la PSD2 50).
Con la PSD2 e i nuovi metodi di pagamento, il tema delle responsabilità potrebbe essere più complesso. Ciò in quanto potrebbe essere condizionato dalla presenza delle parti che partecipano attivamente alle operazioni di pagamento». Le tutele a disposizione del cliente, secondo l’avvocato Daga, sono: «il reclamo immediato (al momento in cui si viene a conoscenza del fatto); gli organismi di mediazione (Arbitro bancario e finanziario, che opera secondo principi di diritto e non di equità); la giurisdizione ordinaria; le contestazioni alla Banca d’Italia».
L’impatto su Bitcoin e Blockchain
Un capitolo a parte merita la discussione sull’impatto che questa faccenda potrà avere in ambito Bitcoin e Blockchain, due mondi che hanno bisogno di una importante mole di potenza di calcolo. Le prime soluzioni alle due vulnerabilità portano ad un depotenziamento dei processori da parte dei produttori. Per neutralizzare Spectre, infatti, potrebbe essere necessario ridurre la potenza di calcolo delle CPU. Un brutto colpo per chi fa mining di Bitcoin. Ma questa, per ora, è un’altra storia.
Fonte: IlSole24Ore