Sicurezza su Internet: intervista a Maxime Laot, VP Risk & Compliance di Qonto

In Qonto ricopro il ruolo di VP Risk & Compliance e sono alla guida di un team di esperti. Mi occupo di identificare, valutare e monitorare tutti i possibili rischi (finanziari, operativi, reputazionali, legislativi, legati all'interruzione dell'attività, ecc.) che Qonto affronta quotidianamente.

Più nello specifico, il mio obiettivo e quello del mio team è di fare in modo che tutti i dipendenti di Qonto svolgano la loro attività in maniera sicura e in conformità con le regolamentazioni in vigore. Concretamente, il nostro lavoro previene eventuali frodi e il rischio di fallimento di Qonto, proteggendo così i nostri utenti.  

Internet è spazio in cui le informazioni sono solitamente memorizzate, rese accessibili e divulgate in modo non sicuro, o non del tutto sicuro. Al giorno d'oggi sempre più imprese sviluppano i propri sistemi e le proprie applicazioni su cloud, cioè su Internet, e non più sui propri server. Per questo il tema della sicurezza su Internet è ancora più importante e cruciale. 

Garantire la sicurezza quotidiana di team che operano costantemente su Internet significa implementare regole e misure in grado di proteggere le proprie applicazioni, i propri sistemi e i propri dati da possibili minacce esterne (come malware, attacchi DoS, ecc.).     

In qualità di istituto di pagamento online, Qonto è interamente basato sul cloud. Per questo ci impegniamo a proteggere costantemente i nostri sistemi, le nostre applicazioni e soprattutto il denaro dei nostri utenti. 

Il nostro obiettivo è quello di offrire a ciascuno dei nostri clienti un'esperienza ottimale, pur garantendo la massima attenzione e sicurezza. Spetta innanzitutto a noi far sì che ciò avvenga, ma ai nostri utenti ricordiamo sempre di essere prudenti e li aiutiamo quotidianamente a proteggere le informazioni sensibili (come il numero del conto, il CVV della carta, la password, i codici ricevuti via SMS, ecc.).

Ci sono due aspetti essenziali per noi. Il primo è interno: facciamo in modo che si applichino misure di prevenzione innovative. Il secondo è invece esterno: garantiamo la sicurezza delle transazioni dei nostri utenti. 

Per esempio, per tutte le operazioni sensibili, compresi i pagamenti, i cambi di credenziali o l'aggiunta di nuovi beneficiari, abbiamo recentemente introdotto la password OTP (one time password). Si tratta di un codice univoco utilizzabile una sola volta (comunemente noto come "usa e getta"): in questo modo possiamo prevenire le frodi e assicurarci che solo l'utente sia in grado di effettuare operazioni dalla propria app Qonto.  

Ci occupiamo inoltre di contattare via email il titolare di un conto quando un nuovo dispositivo viene collegato a quest'ultimo e monitoriamo costantemente le transazioni, per anticipare o rilevare in tempo qualsiasi attività sospetta. Quando notiamo tentativi di frode, contattiamo immediatamente i nostri utenti e mettiamo in sicurezza il loro conto.

Ci sono state due importanti evoluzioni negli ultimi anni. Abbiamo avuto la nuova Direttiva europea sui servizi di pagamento, la PSD2, implementata dall'Unione Europea nel 2019 e localizzata da ogni stato membro. 

Si tratta di una direttiva che mira a rafforzare la sicurezza dei pagamenti online, soprattutto alla luce dei nuovi attori digitali entrati nel mercato e dello sviluppo dei conti online. 

La regolamentazione impone anche la protezione completa dei dati delle transazioni e l'introduzione di una forte autenticazione del cliente, ad esempio tramite il collegamento del conto con il dispositivo elettronico utilizzato dal titolare. 

Nel 2018 è invece stata implementata la General Data Protection Regulation, il GDPR, che prevede misure più severe in materia di archiviazione, utilizzo e protezione dei dati e delle informazioni dei clienti. 

Insieme con la PSD2, il GDPR contribuisce a garantire una maggior sicurezza in materia di pagamenti digitali e fintech. 

Sono tre i principali suggerimenti che credo sia importante condividere. È opportuno:

- Optare per una password univoca e sicura, diversa per ogni account online che si possiede. La migliore? Una frase! Ad esempio la password da impostare con Qonto deve contenere almeno nove caratteri.

- Installare un gestore di password che garantisca un accesso sicuro e protetto a tutti gli strumenti online (come conti bancari personali o professionali, social network, email, ecc.). 

- Verificare gli URL dei siti, così da evitare i tentativi di phishing. Si tratta di una tipologia di truffa con la quale la vittima è invitata a connettersi ad una pagina web fittizia e a condividere inconsapevolmente i propri dati sensibili. 

- Non rivelare mai a nessuno il codice di sicurezza ricevuto via SMS per confermare e portare a termine una transazione. Se si riceve un SMS contenente il codice relativo ad un pagamento sconosciuto, bisogna immediatamente cambiare la propria password e contattare il nostro servizio clienti.