Il difficile equilibrio tra facilità d’uso e sicurezza: Cristofor, Product Security Engineer

Cristofor, come tanti dipendenti N26, si occupa di protezione del cliente e sicurezza dei conti. Abbiamo parlato con lui del suo lavoro di Product Security Engineer, di cosa lo affascina della sicurezza e come proteggersi online.

Cristofor, tu sei un Product Security Engineer. Che cosa significa? In che cosa consiste il tuo ruolo?

Il mio lavoro ha diverse sfaccettature ed è questo a renderlo così interessante. Mi occupo di supervisionare una vasta gamma di nuove funzionalità e prodotti a cui i clienti N26 possono accedere tramite l’app di online banking. Il team di cui faccio parte si assicura che questi siano sicuri al momento del rilascio e continuino a esserlo nel tempo, riducendo al minimo le possibilità di exploit e le vulnerabilità ad essi associate. La sicurezza è un argomento di grande importanza per qualsiasi tipo di servizio e lo è in particolare modo per una banca, dato che i clienti ci affidano i loro risparmi e le loro informazioni personali.

Come si fa ad assicurarsi che l’app N26 sia sicura in ogni momento per milioni di clienti? 

Garantire la sicurezza del nostro prodotto è una responsabilità condivisa da vari team. Il team di cui faccio parte si occupa dell’aspetto tecnico, in stretta collaborazione con i team di sviluppo dei prodotti N26. Il nostro compito è quello di identificare e analizzare le possibili minacce associate alle nuove funzionalità e testarne la sicurezza prima che vengano messe a disposizione dei clienti N26. Monitoriamo inoltre le funzionalità a cui i clienti N26 possono già accedere per assicurarci che siano sicure in ogni momento e in questo modo possiamo individuare all’istante potenziali attacchi, bloccandoli in tempo reale.

La sicurezza tecnica è essenziale, ma è importante comprendere che è solo uno degli aspetti che rendono i prodotti N26 sicuri per i nostri clienti. I colleghi degli altri team, come Trust & Safety, forniscono, ad esempio, informazioni su potenziali minacce alla sicurezza e lavorano per arrestare i sistemi di frode attivi e educare i clienti.

Secondo te, in che modo N26 può fare la differenza per i propri clienti in termini di sicurezza? 

Quello che N26 offre ai propri clienti è una banca digitale, facile da usare. Il nostro obiettivo è infatti semplificare le procedure delle banche tradizionali. In termini di sviluppo dei prodotti, si tratta di spingere sempre al limite le possibilità della tecnologia, nel pieno rispetto delle normative vigenti. Adottare idee nuove e all’avanguardia, che spesso non hanno precedenti nel settore bancario o nella nostra azienda, significa ampliare i confini di ciò che la banca può offrire ai propri clienti. E farlo garantendo i massimi livelli di sicurezza vuol dire ampliare i confini della sicurezza stessa.

Quali sono a tuo avviso le tendenze attuali nell’ambito della sicurezza dei prodotti e della sicurezza in generale? 

Indipendentemente dal settore e dal tipo di attività, la sicurezza è un gioco costante al gatto e al topo, in cui c’è chi lavora per proteggere i propri sistemi e chi (i truffatori) cerca nuovi modi per attaccarli. La sicurezza dei prodotti è sempre in prima linea in questa dinamica. Ma, trattandosi del gioco del gatto e del topo, la prima linea cambia e si muove in continuazione. Quando un’azienda, ad esempio, corregge un potenziale exploit a cui nessun altro aveva pensato, la prima linea si allontana da quel punto. Ma quando i truffatori riescono a farsi strada, trovano una vulnerabilità e la sfruttano a proprio vantaggio, la prima linea arretra finché l’azienda non riesce a correggere quella vulnerabilità.

Una tendenza generale che rimane costante quando si tratta di sicurezza dei prodotti e valida in ogni settore è che i truffatori cercano sempre l’anello debole della catena che spesso non è legato agli aspetti tecnici del prodotto, come dimostrato ad esempio dallo spazio lasciato ai truffatori nei casi di phishing. 

In N26 siamo convinti che sia una nostra responsabilità progettare i nostri prodotti in modo da ridurre al minimo i potenziali punti deboli della sicurezza. Vogliamo che i prodotti siano facili da usare e non richiedano conoscenze specifiche o troppi dati da parte dei clienti per essere sicuri. I team come Trust & Safety offrono un contributo significativo in questo senso, poiché individuano le strategie più opportune per migliorare il design, informano e educano i clienti e consentono loro di usufruire dei servizi bancari in modo sicuro. 

Come specialista della sicurezza dei prodotti, cosa pensi che dovrebbero sapere i clienti sulla sicurezza online? 

È difficile rispondere a questa domanda dal punto di vista della sicurezza dei prodotti. Come ho detto prima, i nostri prodotti sono pensati per essere intuitivi e facili da usare. Gran parte della sicurezza lavora dietro gli schermi. Ma ci sono alcuni elementi che i clienti dovrebbero tenere a mente per proteggere le proprie attività online e le proprie operazioni bancarie:

• Quando è possibile, è bene aggiungere un livello extra di sicurezza ai propri conti utilizzando l’autenticazione a due fattori. Gran parte degli utenti conosce già questa procedura, che spesso viene usata dalle carte bancarie che richiedono un PIN (il secondo fattore oltre alla carta fisica) per il prelievo di contanti. In modo analogo, molte app consentono di aggiungere informazioni biometriche come l’impronta digitale o il riconoscimento facciale come secondo fattore per proteggere l’account. L’app N26 utilizza l’autenticazione a due fattori come impostazione predefinita.
• Non bisogna mai condividere la password o i codici di autenticazione a due fattori con nessuno e nemmeno comunicare i dati della carta mediante canali come l’e-mail o le app di messaggistica. Più in generale, è importante avere cura dei propri dati personali. Tendiamo a considerare solo i nostri beni materiali come qualcosa da proteggere, e con i nostri beni digitali siamo meno attenti. Si tratta di una "disconnessione psicologica" che sembra essere molto umana, ma dobbiamo superarla e capire che le cose che non possiamo toccare con mano, come i nostri dati e ciò che possediamo online, richiedono lo stesso livello di sicurezza e attenzione dei nostri beni materiali.
• Se temi di essere vittima di una truffa o sospetti che qualcuno abbia accesso al tuo conto, cambia sempre le tue credenziali e contatta il servizio clienti. Questo consiglio è valido per tutte le applicazioni e i servizi. E se ricevi una notifica che ti informa che qualcuno ha tentato di usare la tua carta bancaria, bloccala. Non sottovalutare nessun sospetto.