tutelare la cybersicurezza di aziende e persone

Mastercard ha incontrato la stampa nella sua sede di Milano per condividere le soluzioni, le novità tecnologiche e le best practice per tutelare la cybersicurezza di imprese e consumatori nei pagamenti digitali. Hanno condotto l’incontro Luca Corti, Country Manager Italia, e Lorenzo Giudici, Business Development Security Solutions.

Il sistema dei token

Mastercard è conosciuta come un’azienda di pagamenti globali, ma negli ultimi anni si sta trasformando in una società sempre più tecnologica, che punta a garantire la massima privacy nelle transazioni. Questa privacy è raggiunta rendendo anonimi i pagamenti, dato che ogni acquisto comporta il transito nel web del solo numero della carta, non del nome dell’intestatario del conto bancario.

Luca Corti
Il concetto di trust è altrettanto importante, in un settore dove i pagamenti sono fatti da remoto senza la possibilità di un riconoscimento diretto del cliente che compie l’acquisto. Per questo Mastercard sta introducendo il sistema dei token, codici univoci e temporanei, generati al momento del pagamento e cancellati subito dopo. Questo sistema consente la massima sicurezza nelle comunicazioni via Internet, dato che il numero della carta non è più comunicato al venditore, ma viene trasmesso solo il token. Così, nell’eventualità che questo token sia rubato da un cybercriminale, la sua utilità è nulla una volta completata la transazione commerciale.

Mastercard ha in programma di adottare entro il 2030 il sistema dei token per tutte le transazioni compiute con le sue carte di credito, anche nel caso di primo acquisto presso un nuovo venditore. L’impiego dei codici univoci è attivo con i più recenti dispositivi personali usati per i pagamenti via NFC: smartphone, smartwatch e smartring. A oggi questi pagamenti coprono il 25% del totale delle transazioni. Il sistema è già in uso in Italia presso Mediaworld e oltre 5.000 venditori. Dal punto di vista dell’utente, il sistema dei codici univoci è una grande semplificazione, dato che l’acquisto si riduce a un semplice click.

L’importanza della cybersicurezza

La cybersicurezza è un tema sempre molto sentito nel mondo lavorativo. L’applicazione dell’intelligenza artificiale, usata sia dai criminali sia dai difensori, è una delle evoluzioni più recenti e significative. Nel prossimo futuro si prevede che l’arrivo dei computer quantistici porterà un nuovo scossone al settore della sicurezza, dato che le usatissime chiavi pseudocausali non saranno più sicure e bisognerà passare ad altri sistemi, come le chiavi veramente casuali.

Il World Economic Forum nel suo report annuale sui rischi del 2025 identifica la cybersicurezza come il quinto fattore di rischio per l’umanità a livello globale, in un panorama caratterizzato da un aumento del 27,4% degli attacchi nel 2024 rispetto all’anno precedente.

In Italia, il Clusit dichiara che, sempre nello stesso arco temporale, l’incremento è stato del 15%, mentre il totale degli attacchi in Italia, rispetto al resto del mondo, è stato del 10% (in Francia 4%, UK e Germania 3%). Per capire meglio la gravità della situazione, questi dati vanno rapportati al PIL e alla popolazione del nostro Paese: il primo è solo l’1,8% di quello mondiale, la seconda vale 0,7%. Quindi il 10% di attacchi in Italia è un dato molto preoccupante.

Lorenzo Giudici
Per difendersi dagli attacchi informatici, oggi basati prevalentemente sul social engineering, sul phishing e sulla generazione di testi, audio e video contraffatti grazie all’AI, è importante fare formazione, in modo tale che i dipendenti nelle aziende siano consapevoli e vigili, pronti a riconoscere i tentativi di frode. Più in generale, le persone devono essere attente a non divulgare i propri dati personali, che possono essere usati dai malintenzionati per personalizzare gli attacchi e renderli ancora più ingannevoli.

Mastercard valuta molto positivamente l’arrivo delle normative DORA (Digital Operational Resilience Act – Regolamento 2022/2554/UE, in vigore da gennaio 2025) e NIS2 (Network and Information Security 2), direttive cruciali per la sicurezza delle reti e delle informazioni, per un elevato standard di cybersicurezza a livello europeo. Grazie a un quadro di norme chiare e precise, infatti, le imprese possono organizzarsi e attrezzarsi per essere pronte a respingere gli attacchi informatici. Soprattutto nei mercati finanziario, bancario e assicurativo, è ora necessario essere conformi a un framework comune.

Quando si parla di sicurezza delle aziende non bisogna dimenticare la supply chain. I fornitori e le terze parti, infatti, se non adeguatamente protetti, sono l’anello debole della catena e possono essere il veicolo che porta all’interno dell’impresa l’attacco hacker.

Un business completamente nuovo

Per potenziare la propria infrastruttura di sicurezza informatica, Mastercard ha acquisito a dicembre dell’anno scorso Recorded Future, una società di intelligence che si occupa di minacce globali. Questa acquisizione, unita all’enorme quantità di dati che l’azienda raccoglie ogni anno relativamente alle transazioni (80 milioni di esercenti, 40.000 istituti finanziari, più di 3 miliardi di carte, 150 miliardi di transazioni, 18 petabyte di dati sensibili), permette di combattere i numerosi attacchi (200 al minuto, 3,5 milioni di tentativi di phishing in un anno). In effetti, Mastercard è sempre più vista dagli analisti come un riferimento a livello globale sulla cyber threat intelligence.

Il brand ha sviluppato nel tempo diverse soluzioni di cybersicurezza, dapprima usate esclusivamente al suo interno, ora offerte e vendute sia ai propri clienti che usano le carte sia alle imprese con non hanno già un rapporto con Mastercard. Queste proposte riguardano diversi aspetti della sicurezza informatica, come il risk management e il contrasto alle frodi.

Si tratta di un business completamente nuovo per il marchio, che porta e porterà nuovi clienti, e che permette un nuovo approccio al mercato. Mastercard, quindi, punta a diventare una vera e propria tech & data company, una figura unica nel mercato attuale, che unisce una profonda conoscenza dei pagamenti elettronici e competenze in ambito di cybersicurezza, con soluzioni che sono sviluppate, testate e affinate al proprio interno.

Questo percorso di sviluppo di servizi cyber offerti a società non legate alle transazioni con carte è cominciato circa otto anni fa con le prime acquisizioni. Il processo ha avuto una forte accelerazione nel recente passato, soprattutto grazie all’arrivo di Recorded Future.

Le soluzioni di Mastercard per la cybersicurezza

Mastercard è molto attiva nel reclutamento di esperti cyber e di risk management a livello italiano ed europeo e con questi ha sviluppato diverse soluzioni, tra cui Cyber Quant, che permette di identificare aree di miglioramento nella strategia di sicurezza delle aziende (di qualsiasi tipo, non solo banche), per comprendere il livello di maturità cyber e quantificare economicamente il rischio finanziario derivante dall’esposizione a potenziali attacchi informatici.

Ancora, RiskRecon è un prodotto per la gestione del rischio collegato ai partner esterni. La soluzione impiega un monitoraggio continuo e introduce la threat intelligence per contrastare gli attacchi cyber anche sulla filiera dei fornitori.

Grazie alla già citata Recorded Future, Mastercard è in grado di valutare il livello di rischio non solo legato alle cyber minacce ma anche quello geopolitico e geografico, come la vicinanza a zone di guerra o soggette a terremoti e alluvioni.

Il marchio usa molto l’intelligenza artificiale (le prime implementazioni in azienda risalgono al 2014) per contrastare le frodi legate ai pagamenti. In pratica l’AI è adoperata per consolidare l’enorme mole di dati relativi agli acquisti, classificati con un punteggio di rischiosità e con particolare attenzione ai bonifici istantanei, imposti come gratuiti a livello europeo e che costringono le banche a effettuare verifiche entro pochi secondi.

Con Mastercard Identity il marchio offre il suo pacchetto di prodotti per la gestione dei dati personali, fondamentali sia con i pagamenti relativi ad acquisti effettuati con la carta sia al momento della creazione di un account online, operazione che potenzialmente è possibile fare usando dati rubati, anche da persone diverse. Il lavoro di Mastercard, compiuto con l’AI, consiste nel mettere in correlazione questi dati grazie a data base che nel complesso comprendono le informazioni relative a circa 4 miliardi di individui (queste informazioni non sono proprietà del marchio ma sono di società terze). Se questi dati non sono coerenti tra di loro, il sistema segnala il tentativo di frode.

Infine, il brand sta implementando nuove funzioni nel servizio ID Theft Protection, una piattaforma che protegge i dati personali dei singoli grazie alla scansione in tempo reale del web (anche il dark web), con successiva notifica all’utente se i suoi dati (numeri di carta e di telefono, e-mail e altro ancora) sono presenti nei blocchi di dati rubati dagli hacker. Su richiesta, il sistema può effettuare una mitigazione del danno e fornire consigli per rimediare.