Verizon e lo stato dei pagamenti digitali: la maggior parte delle aziende non rispetta la conformità normativa

Quanto sono sicuri i pagamenti effettuati online? In realtà, ben meno di quanto possiamo pensare, almeno a giudicare da quanto emerge dal Payment Security Report 2020 di Verizon Business. In parte il problema è dovuto anche al covid-19, che a causa dello smart working ha aumentato la superficie di attacco e concentrato l'attenzione dei team di sicurezza su altri aspetti, ma il trend va avanti da tempo. Il problema principale? Meno di 1 azienda su 3 rispetta la conformità normativa (compliance).

Payment Security Report 2020: la situazione dei pagamenti digitali è in peggioramento dal 2016

I nostri dati di pagamento non sono tenuti al sicuro nella maggior parte dei casi. Se il sistema di pagamento online è di per sé efficace e robusto, quello che preoccupa è come le aziende conservano queste informazioni: non sempre vengono infatti prese tutte le contromisure necessarie a garantire una maggior sicurezza. Problemi di budget? Nemmeno troppo, dato che gli investimenti destinati alla sicurezza sono cresciuti negli anni. Il report di Verizon Business punta il dito contro una leadership inadeguata, l'incapacità di fare piani a lungo termine, la carenza di competenze ed errori strategici. 

Secondo Verizon, il problema principale è relativo alla conformità normativa, la famosa compliance: sino al 2016 questa era in continua crescita, e più della metà del campione (55,4%) in questa data aveva rispettato il 100% dei parametri. Poi il calo, sino al 2019, quando solo il 27,9% delle imprese testate poteva vantare lo stesso risultato. In settori come i servizi IT, ambito finanziario e ospitalità si osservano i risultati migliori, ma quando si passa al retail la situazione è drastica: appena il 16,7% può vantare la conformità completa.

Cosa è successo in questi anni? Che molte aziende non hanno saputo adottare una corretta strategia, preferendo concentrarsi sul curare i sintomi del problema invece che concentrarsi sulle cause più profonde. Nello specifico, poche sono state i grado di superare il Requirement 11 del PCI DSS, lo standard di sicurezza dei dati dell'industria delle carte di pagamento. Il Requirement 11 impone infatti una serie di test di vulnerabilità dei sistemi aziendali, incluso il penetration testing, che solamente poche aziende superano. 

A complica la situazione si aggiunge l'Alert Fatigue, lo stress sperimentato dai CISO nel gestire la crescente quantità di avvisi dai sistemi: mediamente i team di sicurezza ricevono qualcosa come 11.000 avvisi al giorno, la maggior parte dei quali vanno processati manualmente, dato che solo il 17% di queste segnalazioni possono essere gestite in automatico. Meno della metà delle aziende (47%) è in grado di gestire tutti quelli ricevuti: il 28% di questi alert viene ignorato. 

“Purtroppo vediamo che in molte realtà mancano le risorse e l'impegno da parte dei dirigenti aziendali per supportare iniziative di conformità e data security a lungo termine. Questo è inaccettabile" - ha dichiarato Sampath Sowmyanarayan, Presidente, Global Enterprise di Verizon Business - "La recente pandemia di Coronavirus ha allontanato i consumatori dall'uso del contante spingendoli verso metodi di pagamento contactless con carte e dispositivi mobile. Ciò ha generato un maggior volume di dati di pagamento elettronici e i consumatori confidano nelle aziende per salvaguardare le proprie informazioni. La payment security deve essere vista come una costante priorità aziendale da parte tutte le organizzazioni che gestiscono i dati di pagamento, in quanto hanno una responsabilità fondamentale nei confronti dei loro clienti, fornitori e dei consumatori".