Nonostante le carte di credito e i sistemi di pagamento siano sempre più nel mirino dei cybercriminali, interessati a carpire informazioni sensibili o a sottrarre direttamente denaro, la piena compliance degli operatori del settore è ancora un’utopia. L’allarme arriva dal Payment Security Report 2020 (PSR 2020) di Verizon Business, secondo cui in media solo il 27,9% delle organizzazioni globali ha mantenuto la piena conformità al PCI DSS, lo standard sviluppato per aiutare le aziende che offrono servizi di pagamento con carta a proteggere i propri sistemi da violazioni e furti dei dati dei clienti. In particolare, sono soprattutto gli operatori bancari delle Americhe ad aver manifestato una forte diminuzione dell’osservanza delle prescrizioni in materia di compliance. Contribuendo così, per il terzo anno consecutivo, a un decremento percentuale complessivo su scala globale: dal 2016, anno in cui è stato registrato il dato più alto relativamente al rispetto dei criteri di sicurezza (55,9% così come ha attestato il PSR 2017), il calo è infatti pari al 27,5 punti percentuali.
Il security testing come punto debole
In particolare, le imprese appaiono deficitarie soprattutto nella delicata fase del security testing: solo poco più della metà delle organizzazioni (51,9%) testa con successo i propri sistemi e processi di security, nonché l’accesso non monitorato al sistema. Inoltre, circa i due terzi delle organizzazioni traccia e monitora l’accesso ai sistemi critici aziendali in modo adeguato. Infine, solo 7 istituzioni finanziarie su 10 (70,6%) mantengono controlli di sicurezza perimetrali essenziali. A livello di macro settori considerati, il mondo degli IT services è quello che riesce a raggiungere la migliore percentuale di compliance completa relativamente al PCI DSS, ovvero il 39.3%. In maniera preoccupante, invece, soltanto il 16,7% delle imprese retail riesce a raggiungere questo risultato. Più trasversalmente, le PMI sembrano manifestare difficoltà particolari relativamente alla protezione dei dati di pagamento. Nonostante abbiano generalmente meno dati di carte di pagamento da elaborare e archiviare rispetto alle grandi imprese, possono però contare anche su risorse e budget inferiori per quanto riguarda la sicurezza, fattori che ovviamente spesso impediscono di mantenere una piena conformità con il PCI DSS. Spesso le misure necessarie per proteggere i dati sensibili delle carte di pagamento sono percepite dalle organizzazioni più piccole come troppo dispendiose in termini di tempo e costose.
L’assenza di una strategia di lungo termine
Un altro punto chiave per spiegare la mancata compliance è l’assenza di una strategia di sicurezza nel lungo termine: nonostante molte aziende tentino di mantenere al proprio interno figure come CISO o responsabili della sicurezza qualificati, l’incapacità di programmare sul lungo periodo sta danneggiando gravemente la conformità al Payment Card Industry Data Security Standard (PCI DSS), in particolare dal punto di vista della gestione della Data Security. Tutto questo ha delle conseguenze importanti dal punto di vista della sicurezza: il rischio, in particolare, è per i dati delle carte di credito dei clienti finali. Il recente Data Breach Investigations Report 2020 (2020 DBIR) di Verizon Business, per i criminali informatici, i dati sui pagamenti rimangono uno degli obiettivi più ambiti e redditizi, con 9 violazioni su 10 che hanno finalità economiche. Nel solo settore della vendita al dettaglio, il 99% degli incidenti di sicurezza analizzati dal DBIR 2020 mirava all’acquisizione di dati di pagamento per uso fraudolento.
Un deficit di risorse e impegno
“Purtroppo vediamo che in molte realtà mancano le risorse e l’impegno da parte dei dirigenti aziendali per supportare iniziative di conformità e data security a lungo termine. Questo è inaccettabile – ha affermato Sampath Sowmyanarayan, Presidente, Global Enterprise, Verizon Business. “La recente pandemia di Coronavirus ha allontanato i consumatori dall’uso del contante spingendoli verso metodi di pagamento contactless con carte e dispositivi mobile. Ciò ha generato un maggior volume di dati di pagamento elettronici e i consumatori confidano nelle aziende per salvaguardare le proprie informazioni. La payment security deve essere vista come una costante priorità aziendale da parte tutte le organizzazioni che gestiscono i dati di pagamento, in quanto
