Nuovo attacco informatico anche per alcune aziende svizzere

Nelle scorse settimane le imprese svizzere sono state bersaglio di un nuovo tipo d’attacco, con cui aggressori sconosciuti hanno infiltrato con successo reti aziendali e cifrato ampiamente i loro dati per mezzo di ransomware.

Aggiornamento ransomware: nuova procedura

La Centrale d’annuncio e d’analisi per la sicurezza dell’informazione della Confederazione (MELANI) ha diramato una nota stampa nella quale impone prudenza: il ransomware, un tipo di malware che si infiltra nelle reti aziendali e cifra i dati contenuti infettando il sistema con un virus informatico.

Di cosa si tratta?

Un ransomware è un tipo di virus informatico o malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.

Dall’inizio di luglio sono stati annunciati più volte attacchi informatici, per i quali gli aggressori hanno utilizzato una nuova procedura. Alcune imprese svizzere sono state attaccate in modo mirato tramite e-mail nocive (secondo il fenomeno conosciuto come “spear phishing”).

Al momento sono stati resi noti i seguenti scenari d’attacco:

  • Gli aggressori inviano e-mail nocive in modo mirato alle aziende al fine di infettarle con dei ransomware. In genere le e-mail contengono un link che riporta a una pagina infetta o a un allegato nocivo.
  • Su specifici forum internet è possibile acquistare l’accesso a computer compromessi di ditte svizzere. Questi dispositivi sono generalmente infetti con i malware “Emotet”, “TrickBot” o, in singoli casi, con “Qbot”. Organizzazioni criminali “acquistano” i computer infetti, per infiltrare la rete della vittima.
  • Gli aggressori scannerizzano internet alla ricerca di server VPN e Terminal server aperti e provano ad ottenere l’accesso tramite attacchi brute force.

In tutte le varianti proposte i criminali utilizzano ulteriori strumenti d’attacco, a esempio “Cobalt Strike” o “Metasploit”, per ottenere i necessari diritti d’accesso dell’azienda. Se hanno successo collocano sui sistemi prescelti un ransomware (ad esempio “Ryuk”, “LockerGoga”, “MegaCortex”, ecc.) che cifra tutti i dati.

 MELANI consiglia di

  • Effettuare regolarmente una copia di sicurezza (backup) dei dati, ad esempio, sul disco rigido esterno. Utilizzare a questo scopo un programma che permetta di effettuare il backup regolarmente (schema nonno-padre-figlio [giornaliero, settimanale, mensile] / minimo due gerarchie). Gli aggressori possono eliminare o cifrare tutti i backup ai quali riescono ad accedere, pertanto è importante che la copia di sicurezza sia salvata offline, ovvero su un supporto esterno (ad esempio su un disco rigido esterno);
  • Assicurarsi che i provider che offrono soluzioni cloud generino al meno due gerarchie, analogamente ai salvataggi di dati classici. L’accesso ai backup su cloud deve essere protetto dai ransomware, ad esempio tramite l’utilizzo di un secondo fattore di autenticazione per operazioni sensibili.
  • Sia il sistema operativo sia tutte le applicazioni installate sul computer e sul server (ad es. Adobe Reader, Adobe Flash, Java, ecc.) devono essere costantemente aggiornati. Se disponibile, è meglio utilizzare la funzione di aggiornamento automatico;
  • Controllare la qualità dei backup e esercitatene l’istallazione in modo che, nel caso di necessità, non venga perso tempo prezioso.
  • Proteggere tutte le risorse accessibili da internet (ad es. terminal server, RAS, accessi VPN, ecc.) con l’autenticazione a due fattori (2FA). Mettete un Terminal server dietro un portale VPN.
  • Bloccare la ricezione di allegati e-mail pericolosi nel Gateway della vostra mail. Informazioni più dettagliate possono essere trovate alla pagina seguente
  • Controllare che i file log della vostra soluzione antivirus non presentino irregolarità.

MELANI sconsiglia il pagamento di un riscatto in quanto ciò rafforza le infrastrutture criminali, permettendo agli aggressori di ricattare altre vittime. Inoltre non c’è nessuna garanzia di ricevere la chiave per decifrare i dati.

Altre informazioni

Seguendo questi collegamenti trovate ulteriori informazioni sui ransomware e sugli attacchi recenti:

 

La cybersecurity come processo aziendale

Siamo ormai a un passo dalla nuova legge federale sulla protezione dei dati (LPD), la tanto attesa GDPR svizzera. Già, perché la Svizzera è un hub strategico al centro dell’Europa non solo per il transito delle merci, ma anche e soprattutto per lo scambio di informazioni strategiche, sempre più importanti nella nuova società digitale.

Le ipotesi sulla sua reale definizione si susseguono, ma l’unico punto fermo è che il paradigma “by design” sarà determinante per uniformarsi alle nuove regolamentazioni europee che ci circondano, che di fatto riposizionano in modo preponderante il valore della cybersecurity, in rapporto alla capacità di un’azienda di reagire tempestivamente e adeguatamente ad un incidente informatico.

A livello europeo, e in particolare in Italia, il 26 giugno del 2018 è entrato ufficialmente in vigore una nuova e dirompente direttiva, di nome Network Information Security (NIS), che per la prima volta in assoluto suggerisce alle aziende, per non dire impone, nuove misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi (IRP) e nuovi programmi di formazione e sensibilizzazione continua in materia di sicurezza informatica.

In questo modo la cybersecurity evolve e grazie a queste indicazioni rientra a tutti gli effetti nella casta dei processi vincolanti per la produzione aziendale. Quindi non più solo strumenti classici per evitare intrusioni indesiderate, ma una filiera ricca di attività e competenze interdisciplinari che tocca tutti i reparti, dalla progettazione alla vendita.

Per quanto siano necessari, questi strumenti non bastano a fronteggiare il mercato del crimine informatico, resiliente e sempre in evoluzione, il quale dispone liberamente di risorse tecniche gratuite, basti pensare alla piattaforma GitHub in cui trovare script e reti neurali di ultima generazione.

In Svizzera sono ancora molte le aziende a non conoscere il NIS e il suo impatto nell’intero eco sistema digitale, ma è solo questione di tempo, soprattutto per i cantoni cross-border come il nostro, che sempre più interagiscono e collaborano con aziende della comunità europea.

Cosa fare quindi per evitare di perseverare con l’idea che la cybersecurity sia un costo invece di un investimento? Cosa fare per convincere gli amministratori delegati ad abbandonare le false credenze che considerano la cybersecurity come la mera installazione di antivirus e firewall?

Un buon punto di partenza è porsi una domanda chiara, diretta e pragmatica: quanto e come siamo preparati in azienda, dall’amministratore delegato fino alla segretaria, a gestire un improvviso incidente informatico secondo i principi cardini di rilevazione (Detection) e reazione (Response)?

Conoscerli è sempre più vincolante, applicarli correttamente richiede un nuovo processo dal quale anche in Svizzera non potremo più prescindere. Ecco perché avvalersi di un accompagnamento professionale tecnico preparato a gestire la cybersecurity come un processo, che per cultura e attitudine è allo stato dell’arte con le nuove regolamentazioni in vigore, è il miglior modo per fare il salto di qualità, ridurre i costi e minimizzare i rischi cyber che potrebbero generare sanzioni per l’azienda in caso di scarsa preparazione.

Testo a cura di Lorenza Bernasconi, CFO Gruppo Sicurezza SA, Savosa

Con l’innovazione bisogna essere sempre un passo avanti

In quest’intervista Carlo Secchi, Sales Director Ticino-VP, Swisscom, parliamo di evoluzione delle tecnologie e innovazione.

Nonostante l’uso di massa degli smartphone e degli altri dispostivi elettronici, generalmente si ritiene che le nuove tecnologie digitali servano solo per aumentare i profitti delle imprese, quando, invece, è la società tutta a beneficiarne. Come spiega questa percezione distorta della realtà?

 Quando le nuove tecnologie entrano nel cosiddetto consumo di massa, finiscono per essere date per scontate. In effetti, anche le persone più timorose nei confronti delle innovazioni tecnologiche, ne beneficiano già oggi. Nondimeno, le innovazioni più eclatanti devono ancora arrivare e, in questo caso, vengono ancora percepite come visioni futuristiche dal dubbio valore aggiunto o che, peggio ancora, mettono a rischio posti di lavoro. Faccio un esempio: si parla spesso di automobili a guida autonoma. Sono in molti ad avere dubbi sulla necessità di produrre simili veicoli, non considerando però il guadagno in termini di sicurezza sulle strade. Eppure, già oggi molti di noi hanno evitato tamponamenti grazie al sistema anticollisione di cui dispongono le auto di ultima generazione.

In che misura e in che ambiti la digitalizzazione e, in particolare, l’analisi dei big data sono già utilizzate a vantaggio di tutta la collettività. Può farci qualche esempio concreto?

Da anni sono disponibili i dati anonimi e aggregati relativi agli spostamenti veicolari in Svizzera. Questi sono già stati utilizzati efficacemente per pianificare meglio i piani viari di molte città. In alcuni casi permettendo di risparmiare milioni di franchi dei contribuenti. Gli smart-data offrono notevoli possibilità anche nel campo dell’analisi predittiva, spesso associata al monitoraggio dei nostri consumi quotidiani, ma applicabile anche a campi come la ricerca medica e a modelli matematici sempre più precisi nella previsione di grandi eventi climatici.

Per il futuro quali ulteriori sviluppi e benefici si possono ipotizzare?

Quante pagine abbiamo a disposizione? Scherzi a parte, i campi di applicazione delle nuove tecnologie sono molti. Posso solo farle qualche esempio concreto: i droni a guida autonoma impiegati per la ricerca di persone disperse (permettono l’utilizzo mirato dell’elicottero per il recupero) o l’analisi di tessuti biologici per la ricerca di cellule tumorali (grazie all’intelligenza artificiale migliorano precisione e velocità), la medicina a distanza con l’ausilio di visori con realtà virtuale e aumentata.

Spesso si ha l’impressione che l’utilità sociale delle tecnologie digitali e del trattamento dei dati siano sottovalutati dalla pubblica opinione. Pensa che ciò sia dovuto semplicemente ad un’informazione insufficiente oppure si tratta di un vero e proprio ritardo culturale?

L’innovazione tecnologica deve necessariamente essere un passo avanti, rispetto alla nostra quotidianità. Non a caso Einstein sosteneva che «l’immaginazione conta più della conoscenza». Occorre quindi guardare sempre avanti e immaginare soluzioni per poi studiarne le concrete possibilità di realizzazione. Ciascuno di noi ha il diritto e il dovere di informarsi possibilmente con il sostegno di «leader digitali» capaci non solo di informarsi e di informare, ma anche di stabilire strategie efficaci per promuovere l’utilizzo sostenibile delle nuove tecnologie e quindi in grado di innovare realmente. Perché lo ritengo importante? Faccio un altro esempio; in questi ultimi anni, i consumatori hanno dimostrato un ottimo apprezzamento verso le nuove offerte nel campo dei trasporti, dell’intrattenimento o del turismo. Tuttavia, i dirompenti modelli commerciali su cui sono basati questi servizi, hanno creato distonie sul mercato, nei confronti delle quali anche la legislazione si è trovata di fatto impreparata.

 

Parleremo di questo tema nell’evento “Check digitale: analizzarsi per crescere” il prossimo 12 giugno. Dove? Presso l’Auditorium USI a Lugano, dalle 17.30 in poi. Le iscrizioni sono aperte!

 

La fine della cybersecurity

La fine della cybersecurity non è la previsione di un esperto di sicurezza bollito, bensì il titolo in prima pagina di una delle più prestigiose riviste del mondo, la Harward Business Review.

Un titolo inaspettato che nei primi istanti ha fatto tremare le mura delle stanze dei bottoni, laddove si annida il potere di chi controlla e guida le strategie globali di cybersecurity.

Pochi secondi di panico che hanno presto lasciato il posto a qualcosa di più interessante e utile per imbastire un nuovo e stimolante ragionamento, rivolto proprio alla gestione della sicurezza cibernetica. Un’occasione da cogliere per fare il punto della situazione di un fenomeno destinato a dilagare senza precedenti. Altro che fine della cybersecurity, tutt’altro. Si conclude il periodo che ha considerato la cybersecurity come un costo, e si apre una nuova fase ricca di opportunità che la percepisce come un investimento.

Aumenta la complessità dell’impianto tecnologico, aumentano gli oggetti interconnessi tra loro, migliorano i software per la protezione dei dati, ma, purtroppo, aumenta l’impreparazione del personale incaricato di gestire l’intera infrastruttura. Ancora una volta il fattore umano torna prepotente al centro della scena, anche se riposizionato, dimostrando quanto l’intera filiera della sicurezza possa essere contaminata e compromessa in qualsiasi momento a causa di una gestione superficiale del personale aziendale.

A sostenere questa tesi è lo slogan lapidario di Kevin Mitnick, l’hacker più famoso del mondo: “You could spend a fortune purchasing technology and services, and your network infrastructure could still remain vulnerable to old-fashioned manipulation”.

Lui di fattore umano se ne intende eccome. I prodotti e i servizi per la messa in sicurezza dei dati saranno sempre necessari, ma occorre investire e migliorare la formazione continua del personale.

Una formazione che deve cambiare il suo paradigma, offrendo agli utenti un nuovo approccio alla “cyber education”, fondata sulle collaborazioni con i centri di ricerca, sempre più di carattere interdisciplinare. Insomma, dalla segretaria all’amministratore delegato, concetti come “Incident Response Plan” o “Detection & Response” devono essere integrati a pieno titolo nella cultura aziendale.

Ogni forma di lacuna, in termini di scarsa preparazione e mancata consapevolezza, può trasformarsi in una potenziale vulnerabilità. Cosa fare quindi per evitare che ciò accada, soprattutto in presenza di nuove minacce cyber capaci di sfruttare una profilazione utente senza precedenti? Semplice, collaborare e condividere senza se e senza ma.

Per esempio, chiedendo agli addetti ai lavori di condividere in una piattaforma comune i registri digitali (log files) in cui sono registrati i tentativi di attacco che l’azienda ha subito.

In altro modo, gli attaccanti saranno sempre un passo avanti rispetto ai difensori. E i primi, contrariamente ai secondi, non devono mettersi d’accordo, non devono collaborare e soprattutto non devono sottostare ad alcun regolamento, ma possono sfruttare le risorse gratuite della rete per la raccolta a strascico dei big dati da dare in pasto agli algoritmi per l’apprendimento automatico di intelligenza artificiale. A loro basta un semplice messaggio di phishing per raccogliere senza sforzo numerosi e continui feedback, usati per migliorare giorno dopo giorno la qualità dell’inganno emotivo inserito nel messaggio di posta elettronica.

Di fronte a un incremento della criminalità informatica organizzata e resiliente, che può contare su risorse gratuite in cui trovare script, applicazioni e reti neurali, soltanto un cambio di mentalità potrà ridurre la distanza tra chi ha il piacere di attaccare e chi, invece, ha l’obbligo e il dovere di difendere.

In altro modo, non dovremo stupirci se un giorno, non troppo lontano, grazie alla fragilità emotiva di un collaboratore distratto, le città potrebbero cessare di erogare energia elettrica, sempre più necessaria per tenere in vita la neo costituente società digitale.

Testo a cura di Lorenza Bernasconi, CFO Gruppo Sicurezza SA, Savosa

Digital networking innovativo

Diverse possibilità di scambio ed interazione tra associati grazie alla Cc-Ti

 

La messa in rete e la creazione di contatti fra le aziende è una delle prerogative dell’attività della Cc-Ti. Creare interazioni fra le persone che possono implementare e sviluppare le loro conoscenze attraverso svariati canali è uno dei ruoli che quale associazione mantello dell’economia ticinese ci assumiamo.
Già dall’inizio del 2018 una delle nostre missioni è stata mettere la persona al centro delle attività aziendali, quale valore incommensurabile per lo sviluppo e la crescita del business. Grazie al dialogo con i soci questo assunto ci è stato sempre più confermato: la necessità di fare rete è sempre più fondamentale. Lo scambio di esperienze, conoscenze personali e contatti, che volgono verso la creazione di una rete tangibile, collima dunque nei momenti aggregativi quali eventi e formazioni. Restando al passo con i tempi abbiamo introdotto nuove possibilità di networking anche digitale: andando incontro alle esigenze delle
aziende, che mutano costantemente e vivendo le trasformazioni tecnologiche che stanno caratterizzando la nostra epoca.

I “soci Cc-Ti in rete” su LinkedIn

Il gruppo su LinkedIn “Soci Cc-Ti in rete” è pensato per facilitare la messa in rete dei nostri associati, professionisti appartenenti ai diversi settori economici che come Cc-Ti rappresentiamo (commercio, industria, artigianato e servizi). Qui è possibile condividere spunti, presentare le proprie attività e mettersi facilmente in contatto con gli altri soci.

La Bacheca dei Soci su Facebook

Questa pagina vuole essere un ulteriore spazio di incontro e di scambio per le aziende affiliate Cc-Ti. Lo scopo è mettere in rete i nostri soci attraverso la diffusione di notizie delle loro iniziative così come attraverso la presentazione delle loro attività.

Come interagire con noi sfruttando al meglio queste opportunità?

Questi spazi d’incontro online sono a disposizione dei soci. Per quanto attiene LinkedIn è necessario iscriversi al gruppo, unico requisito è lavorare per un’azienda o un’associazione di categoria che sia socia della Cc-Ti. Per la pagina Facebook, ogni associato ha a disposizione 3 post all’anno. Vi invitiamo a contattarci per ulteriori dettagli.

Nuove opportunità e vecchi rischi

Ogni nuova opportunità comporta una determinata dose di rischio; l’assunto vale anche quando si parla di opportunità offerte dalla trasformazione digitale. Fenomeno di fronte al quale chi reagisce con l’immobilismo, finisce per assumersi soltanto i rischi (senza quindi cogliere le opportunità).

L’atteggiamento opposto, ovvero affrontare allegramente nuovi percorsi ignorando i rischi può essere altrettanto nefasto.

Se è vero che l’assenza totale del rischio è ignota alla maggior parte degli imprenditori, possiamo affermare con una certa sicurezza che la formula del successo imprenditoriale o di un progetto, può contenere una buona dose di matematica. Ciò succede quando si parla di rischio calcolato oppure, quando il concetto è adeguatamente calato in una strategia, di risk management all’interno della quale si identifica e si governa il rischio.

Anche quando affrontiamo un cambiamento di paradigma (un nuovo modello di business, una nuova organizzazione, una nuova strategia commerciale, ecc.) dovremmo abituarci ad identificare per tempo i rischi, analizzarli e valutarli. Solo in questo modo, potremo dare priorità ai rischi che saremo in grado di escludere, mantenendo il controllo su quelli che decideremo di affrontare, conoscendone in anticipo l’impatto economico. In fase di realizzazione del progetto, il controllo dei rischi che abbiamo deciso di assumere completerà il quadro e ci permetterà di procedere sulla via della trasformazione.

Il risk management è applicabile in moltissimi ambiti, oggi toccati più che mai dalla trasformazione digitale. Ad esempio, si colloca molto facilmente nell’ambito della sicurezza informatica, che ci si riferisca alla protezione dei dati, al controllo degli accessi alla rete o alla continuità operativa della nostra infrastruttura informatica. Meno evidente, ma altrettanto interessante, è l’applicazione del risk management ai processi aziendali (esistenti o ancora nella fase di disegno iniziale).

Ma come identificare i rischi? Comunemente ci si basa sugli obiettivi o sugli scenari. Nel primo caso, il rischio è identificato con il mancato raggiungimento di un obiettivo. Nel secondo, in base ad un evento prestabilito, vengono ipotizzati diversi scenari, ciascuno contraddistinto da un particolare rischio.

Una volta identificati i rischi, occorre passare alla classificazione, normalmente basata sull’impatto economico e sulle probabilità che questi si possano verificare. La correlazione tra queste due dimensioni, permette di stabilire le priorità. Semplificando, i rischi con minor impatto economico e minore probabilità di occorrenza, verranno affrontati dopo quelli con maggior impatto economico e maggiore probabilità di occorrenza. La limitata disponibilità di risorse, così come il mantenimento di determinati margini operativi, può quindi spingere ad ignorare volutamente alcuni rischi, posti in fondo alla “classifica” perché con scarso impatto economico e una bassa probabilità di occorrenza. In questi casi si può anche parlare di costo di opportunità, che andrà aggiunto nella struttura dei costi inerenti al processo in esame.

Il tema non è dei più nuovi ma, forse proprio per questo motivo, viene spesso ignorato o, nella migliore delle ipotesi, relegato (ingiustamente) tra i progetti dei grandi numeri. Al contrario, ogni nostro processo aziendale andrebbe sottoposto ad un’analisi del rischio. Posto che in alcuni casi, dalla semplice analisi di processo più che una valutazione dei rischi, si può addirittura parlare di certezze comportante da evidenti situazioni di inefficienza. Ma tornando al tema di questa pillola, il rischio si annida in quei processi apparentemente perfetti, che spesso costituiscono l’ossatura della nostra attività. In assenza di una strategia di gestione del rischio, spesso ci rendiamo conto dei punti deboli solo quando ci troviamo in piena crisi.

A titolo di banale ma eloquente esempio, pensiamo al mondo interconnesso che oggi contraddistingue la quotidianità di ciascuno di noi e all’imprevedibile (?) interruzione del collegamento internet a causa di lavori di scavo. In un’abitazione privata, l’evento può causare un piccolo dramma famigliare ma, il più delle volte assume dimensioni relativamente preoccupanti solo se accade nel corso di un fine settimana e in presenza di internauti adolescenti. Chi ha sottoscritto l’abbonamento con l’internet provider, ha calcolato il rischio di un simile evento e, probabilmente, risolverà il temporaneo stop digitale con una sana e analogica passeggiata. Se il fatto avviene in orari feriali e il malcapitato opera come trader online in borsa, il disastro epocale è garantito. Stesso rischio, due diversi scenari con impatti economici opposti.

Un’adeguata analisi dei rischi in un processo, così come nelle attività professionali quotidiane, può aiutarci nell’identificare correttivi che spesso conducono anche alla semplificazione. Eliminare un rischio o limitarne gli effetti sul business, non comporta necessariamente un investimento in tecnologie particolari. Un buon consulente può aiutarci a più livelli anche se il più delle volte, analizzando un processo, si ottengono buoni risultati adottando una materia prima non sempre comune ma molto economica: il buon senso.

Testo redatto da
Carlo Secchi, Sales Director Swisscom (Svizzera) SA Enterprise Customers, Bellinzona

Progetti d’innovazione “Innosuisse”

La Svizzera punta a rimanere uno dei Paesi leader nello sviluppo e nell’impiego delle tecnologie digitali. Per raggiungere questo obiettivo, il Consiglio federale stanzia complessivamente 62 milioni di franchi nell’ambito del piano d’azione 2019-2020.

A questo proposito vogliamo informare le aziende associate alla Cc-Ti su “Innosuisse“,  l’istituto di diritto pubblico della Confederazione, che promuove il programma d’impulso “Tecnologie di fabbricazione.

L’Agenzia svizzera per la promozione dell’innovazione sostiene i progetti che gettano un ponte tra ricerca e trasferimento di tecnologie, svolti congiuntamente da imprese elvetiche e istituzioni di ricerca negli ambiti «Industria 4.0 e moderne tecnologie di fabbricazione» sulla base di tecnologie digitali. Per il 2019 e il 2020 sono previsti fondi supplementari pari a 24 milioni di franchi.

Le tempistiche per presentare i progetti a Innosuisse sono assai ridotte. Infatti, al fine di partecipare ai due bandi di concorso (uno per i progetti della durata di 18 mesi e l’altro per progetti di 12 mesi) è necessario inoltrare il progetto entro:
  • il 21 gennaio 2019 per i progetti della durata di 18 mesi;
  • il 20 maggio 2019 per i progetti della durata di 12 mesi.
Per maggiori informazioni, ecco i contatti diretti a cui chiedere dettagli.

FinTech e formazione, una combinazione vincente

Nell’intervista a Davide Rigamonti, Direttore Marketing & Distribution,
Cornèrcard, analizziamo come la tecnologia e il FinTech abbiano influito positivamente sui processi bancari.

Oltre a vantare da quattro anni il primato svizzero per la solidità patrimoniale, la Cornèr è stata anche una delle prime banche in Europa a sviluppare il settore delle carte di pagamento e a seguirne con successo l’evoluzione. Grazie ad una costante innovazione del prodotto e del servizio ai clienti.

Sfruttando le risorse del FinTech, sin dal 2012 la banca è attiva nel trading online con la divisione Cornèrtrader, diventando uno dei più importanti player di questa specializzazione nel nostro Paese. “Con la continua innovazione tecnologica, in questi ultimi 20 anni il mondo, anche quello della finanza, è radicalmente cambiato.  E cambiano più rapidamente, rispetto al passato, i modelli organizzativi.  Ma il fattore umano resta fondamentale, perciò, per le banche sono necessari ora più che mai una maggiore formazione interna e l’aggiornamento costante”, dice Davide Rigamonti, Direttore Marketing & Distribution, Cornèrcard, che sarà tra i relatori dell’evento del 5 dicembre dedicato alla Smart Life, promosso dalla Cc-Ti.

La Cornèr è tra i pionieri della diffusione delle carte di pagamento. In futuro queste carte saranno solo un’app dello smartphone?

La tecnologia cambia ad una velocità decisamente superiore rispetto al passato così come il comportamento dei clienti – risponde Rigamonti -. Tuttavia, è difficile prevedere se l’utilizzo della carta di plastica nel futuro verrà completamente rimpiazzato, anche perché che non tutti i Paesi sono sullo stesso livello riguardo la tecnologia (contactless, terminal, ecc.). Sicuramente l’uso di soluzioni mobili prenderanno sempre più quota, ma una percentuale di utilizzo tradizionale comunque rimarrà anche nel medio periodo. Legate a questa previsione sono anche le abitudini della clientela e l’età anagrafica che entro i prossimi 10 anni vedrà l’Europa e, la Svizzera in particolare, tra i Paesi con l’età anagrafica più vecchia al mondo.

La Svezia è decisa ad eliminare il denaro contante, si arriverà ovunque ad una società cashless?

La tendenza anche attraverso l’utilizzo delle nuove tecnologie è questa, sebbene sarà il passare del tempo a confermarla. Noi, però preferiamo l’espressione cashfree perché da una maggiore sensazione di libertà: vivere liberi dal contante. Detto questo, riguardo al contante ritengo che la quota si ridurrà in maniera direttamente proporzionale al prevalere delle tecnologie e all’aumento sempre più intenso delle transazioni e-commerce.

In che modo il FinTech influirà sulle attività delle banche?

Ritengo che il mondo bancario dovrà progressivamente passare dal modello competitivo a quello cooperativo. Con le regole attuali, la tecno-finanza gode di vantaggi competitivi indiretti; sfruttare in termini cooperativi entità FinTech permette di rendere più agili le tradizionali strutture bancarie. Per essere più flessibili e restare sul mercato a condizioni accettabili, bisognerà giocare la partita della cooperazione.

Intervista apparsa sul CdT del 3 dicembre 2018

Parliamo di queste tematiche nell’evento Cc-Ti “Smart life, la tecnologia che migliora la vita” del 5 dicembre 2018.

Soluzioni di pagamento sicure per la gestione degli acquisti aziendali o dei viaggi d’affari

Le carte di credito virtuali si stanno diffondendo sempre più nel settore degli acquisti aziendali o dei viaggi d’affari per pagare acquisti aziendali di vario genere, fornitori di servizi di viaggio o altre spese relative alle trasferte. La tendenza si rafforza, in quanto con la diffusione dei nuovi tool di pagamento – come ad esempio Apple Pay o Samsung Pay – pagare senza dover ricorrere alla carta di credito fisica fa già parte della quotidianità.

Le carte di credito virtuali possono essere create in maniera semplice, e il loro utilizzo è assolutamente sicuro. Inoltre informazioni di riferimento aggiuntive semplificano l’attribuzione e la contabilizzazione dei costi.

Carte di credito virtuali in sintesi

Una carta di credito virtuale consiste in un numero di carta di credito virtuale a cui è abbinato un limite di credito globale. A prescindere dall’esistenza in forma «plastificata», l’uso delle carte di credito virtuali non è diverso da quelle convenzionali. Per consentire per esempio alle compagnie aeree, agli alberghi e agli altri fornitori di servizi di evadere le prenotazioni anche in assenza di una carta di credito fisica in plastica, le carte di credito virtuali integrano i seguenti elementi:

  • Codice di verifica della carta (CVV/CVC): come per le carte convenzionali, negli acquisti online questo elemento di sicurezza supplementare conferma che l’acquirente possiede effettivamente la carta.
  • Validità: per i numeri di carta virtuali è possibile definire la durata, che di norma è inferiore a quella di una carta di credito fisica, individualmente per ogni numero di carta.

Grazie ad ulteriori possibilità di personalizzazione le carte di credito virtuali creano maggiore trasparenza e massimizzano la sicurezza nel pagamento delle spese aziendali.

  • Informazioni aggiuntive personalizzate: per ogni carta è anche possibile associare informazioni come centro di costo, reparto, categoria di acquisto o numero del progetto. Queste ultime sono sempre visibili, assieme alla panoramica di tutte le transazioni, nel conteggio mensile – per una piena trasparenza e massimo controllo nell’attribuzione dei costi.
  • Parametri di sicurezza individuali: per ogni numero di carta è possibile definire, oltre alla validità, anche i limiti di spesa e l’importo di spesa massimo. Se si desiderano degli elementi di sicurezza supplementari, è possibile anche definire quante volte la carta può essere usata in un determinato periodo e l’importo massimo da contabilizzare.

Un ulteriore vantaggio: le carte di credito virtuali sono particolarmente adatte per i collaboratori che non dispongono di carte aziendali. Sono ideali anche per partner contrattuali o fornitori di servizi esterni che effettuano viaggi d’affari a carico dell’azienda: semplici e pratiche per i viaggiatori, che non devono anticipare le spese di tasca propria.

Soluzioni di pagamento virtuali per aziende

Oggi esistono innovative piattaforme web per le aziende con cui Travel Manager, agenzie viaggi, Procurement Manager o altri collaboratori possono generare, nel giro di pochi istanti, numeri di carte di credito virtuali e utilizzarli immediatamente per acquisti online o di qualsiasi genere. Oltre alle numerose informazioni aggiuntive sui numeri di carta virtuali, per queste soluzioni sono disponibili anche analisi o dati di fatturazione elettronici. Inoltre è compresa una vasta gamma di prestazioni assicurative gratuite con somme di copertura elevate, che proteggono sia i collaboratori che le aziende per esempio da spese di annullamento viaggio impreviste.

Testo redatto da
Beat Weidmann, Head of Distribution Channels & Sponsoring, Cornèrcard

IoT e il suo prossimo sviluppo

L’acronimo “IoT” (Internet of Things) indica qualsiasi oggetto che può connettersi e comunicare tramite la stessa Internet. L’Internet delle cose non è una tecnologia ma una sintesi di tecnologia estesa nella rete dove tutto è possibile.

Viene sfruttata nei processi di innovazione digitale e viene associata all’evoluzione mobile. Questo binomio rende intelligente tutta la filiera degli oggetti collegati. Come e dove potere quindi utilizzare gli oggetti IoT? Risposta facile, semplicemente ovunque tramite la rete. Sarà sempre più in uso dalle strutture maggiormente complesse quali sanità, trasporti fino al singolo appartamento.

Il trend dell’IoT avrà un’evoluzione massiva nel prossimo futuro in diversi settori industriali. Il suo valore incrementerà verticalmente passando dai 157 miliardi di dollari del 2016 agli oltre 450 miliardi di dollari stimati nel 2020 ovvero tra soli due anni. Le aree di maggiore impatto dell’IoT sono le Smart City (26%), le industrie in generale (24%) e la sanità mobile (20%), smart home (14%), automotive (7%), smart utilities (4%) e device indossabili (3%).

Viene stimato che tra il 2020 e il 2026 le macro-aree appena citate investiranno oltre 6 trilioni di dollari nelle soluzioni IoT. Crescerà conseguentemente il numero dei device IoT collegati. Ad oggi, si stimano 23 miliardi dei dispositivi connessi alla rete e questo numero verrà più che triplicato prima del 2025. Un numero dieci volte superiore alla popolazione mondiale. Questi nuovi oggetti permetteranno di gestire da remoto un’infinità di oggetti anche potenzialmente critici e i dati trasmessi verranno analizzati per migliorare le prestazioni ed essere sempre più efficienti ed efficaci.

Gli algoritmi di Machine Learning usano metodi matematico-computazionali per apprendere informazioni direttamente dai dati ed è ormai certo che questa tecnologia sta diventando parte integrante dei dispositivi IoT. Le prestazioni dei dispositivi in rete aumentano la loro efficienza in modo adattivo man mano che gli esempi da cui apprendere aumentano.

Le grandi corporation americane quali Microsoft, IBM e Google, stanno investendo immensi capitali nelle soluzioni di Intelligenza Artificiale (AI) proprio per questo apprendimento automatico. In questo contesto globale di sviluppo tecnologico, la sicurezza gioca un ruolo sia strategico che operativo.

La privacy dei dati dovrà essere considerata con il massimo rigore e lo sforzo tecnologico per evitare le  violazioni dei dispositivi e conseguentemente delle reti a cui sono collegati dovrà essere sempre più garantito.

L’IoT è sempre più un terreno di attacco delle organizzazioni criminali per trafugare dati e/o bloccare infrastrutture anche altamente sofisticate causando potenzialmente forti danni sociali.  La sicurezza dovrà cercare di andare di pari passo con lo sviluppo tecnologico per mitigare i nuovi rischi a tutti i livelli.

A tendere, anche gli standard della sicurezza fisica verranno coinvolti in questo processo in quanto i dispositivi verranno valutati sia in base al loro livello di sicurezza che di resistenza agli attacchi piuttosto che alla loro economicità. Molti ormai ritengono che questo sia l’unico modo in cui poter andare avanti e modificherà sensibilmente la vita quotidiana di tutti noi.

Molti dispositivi IoT, e in parte lo sono già, verranno sempre più utilizzati e sfruttati nella soluzione dei nostri piccoli o grandi problemi quotidiani come per esempio aprire la porta di casa automaticamente quando si arriva in prossimità, ripristinare il cibo nella dispensa, ridurre i costi energetici, trovare un parcheggio disponibile o monitorare l’andamento della propria terapia farmacologica.

Testo a cura di Carlo Del Bo
Executive Advisor
Gruppo Sicurezza SA
Via Cantonale 20
6942 Savosa
Tel. +41 91 935 90 50
Fax  +41 91 935 90 59
www.grupposicurezza.ch