O que fica claro na PSD2 é que a EBA exige autenticação forte do cliente. Além disso, agregadores e provedores de pagamentos terceirizados (TPP) devem ter permissão para acessar as contas dos clientes. A EBA descreve o que precisa ser feito para atingir a conformidade: autenticação baseada no uso de dois ou mais elementos categorizados como conhecimento, posse e inerência. Embora a PSD2 não se refira explicitamente à autenticação multifator ou 2FA, essas práticas se tornaram sinônimos dos dois métodos de autenticação mais comuns usados pelas empresas: senhas de uso único (OTP) e serviço de mensagens curtas (SMS). É fundamental que os provedores de serviços de pagamento garantam a confidencialidade e a integridade das credenciais de segurança personalizadas e dos códigos de autenticação usados pelos usuários dos serviços de pagamento durante todas as fases da autenticação. No entanto, mensagens SMS entregues em texto simples têm vulnerabilidades inerentes conhecidas (por exemplo, malware móvel projetado para roubar mensagens de texto dos dispositivos dos usuários) . Além disso, kits de phishing sofisticados, como o Kr3pto, dão aos cibercriminosos experientes a capacidade de interceptar senhas de uso único em tempo real. Com base nessas evidências, as empresas que dependem apenas de OTP e SMS estão efetivamente introduzindo um risco de segurança e potencialmente expondo as contas de seus clientes. Os Serviços de Nuvem Distribuída aumentam o requisito de SCA com proteção de aplicativos em tempo real, aproveitando IA, aprendizado de máquina e outras tecnologias. 

A plataforma F5 Distributed Cloud oferece análises multifuncionais rigorosas em funções de segurança, fraude e identidade. O uso de todos os três elementos de autenticação seguros — conhecimento, posse, herança — permite maior fidelidade e mais flexibilidade. A Autoridade Bancária Europeia reconhece o “elemento de inerência” como a arena mais emocionante e progressiva para autenticação. Os Serviços de Nuvem Distribuída ajudam as organizações de serviços financeiros a atender aos requisitos do PSD2, fornecendo proteção abrangente da Web, dispositivos móveis e API, que é fácil de operar. A Plataforma de Nuvem Distribuída atenua automaticamente os ataques em evolução observando e aprendendo com cada interação. Vejamos um cenário de exemplo abaixo:

Autenticação profunda do cliente da F5 na prática (verificação de 3 elementos)

• Passo 1: O usuário acessa uma propriedade ou aplicativo on-line.
  
• Passo 2: O nome de usuário é inserido ou pré-preenchido (observe que o nome de usuário não é um elemento de conhecimento por si só)
  
• Etapa 3: O usuário insere a senha ou PIN (um elemento de conhecimento compatível)
  
• Passo 4: O Distributed Cloud Bot Defense realiza a verificação do elemento de posse em tempo de execução por meio de biometria passiva, como coleta de telemetria de ID do dispositivo
  
• Etapa 5: O Distributed Cloud Bot Defense realiza a verificação de elementos de inerência em tempo de execução por meio de biometria comportamental
  
• Etapa 6: O usuário é verificado e conclui a transferência de dinheiro sem complicações.

Os Serviços de Nuvem Distribuída complementam OTP e SMS 2FA com análise comportamental e multifuncional em tempo real que autentica coletivamente os usuários em conformidade com todos os três elementos de autenticação forte do cliente do PSD2, alcançando a conformidade, melhorando a segurança e removendo o atrito do usuário.

A PSD2 incentiva a inovação e o open banking ao exigir que as instituições financeiras concedam acesso aos dados dos clientes a provedores terceirizados (TPPs). Os aplicativos TPP se conectam a instituições financeiras por meio de APIs para agregar dados e fornecer visibilidade em um único painel. Por exemplo, eles podem consolidar o saldo bancário, as transações e os perfis de um cliente em todas as contas. A segurança de aplicativos e APIs é essencial para mitigar riscos às informações dos usuários e evitar fraudes, ao mesmo tempo em que atende às expectativas dos clientes. Abaixo estão alguns exemplos de ameaças que os agregadores de riscos introduzem:

Ataques de representação de agregadores
Agregadores que têm um relacionamento de trabalho com suas fontes geralmente têm acesso aos serviços da instituição. Os invasores tiram proveito desse relacionamento validando contas usando credenciais de preenchimento contra o agregador em vez de diretamente contra a instituição.

Aquisição de conta
Agregadores financeiros armazenam credenciais bancárias de clientes (nomes de usuário e senhas) e até 90 dias de dados de contas, o que os torna um alvo tentador para invasores. Os invasores podem aproveitar aplicativos fintech habilitados pelo usuário para roubar saldos de contas, bem como acessar outros sistemas de pagamento online.

Picos imprevisíveis na carga de tráfego
Os agregadores representam uma parcela significativa das consultas de contas de instituições financeiras e pesquisam a instituição financeira para obter informações atualizadas sobre as contas dos consumidores até dezenas de milhares de vezes por dia. Multiplique isso por milhares de clientes e as instituições financeiras ficarão adicionando capacidade apenas para lidar com o tráfego do agregador.

Raspagem de tela
Os consumidores fornecem voluntariamente suas credenciais aos agregadores de fintech que, por sua vez, usam ferramentas de automação para rastrear e extrair dados dos consumidores dos aplicativos das instituições financeiras. Embora a agregação desses dados possa proporcionar alguns benefícios imediatos percebidos aos consumidores, a maneira como alguns agregadores acessam esses dados pode violar as regulamentações de conformidade de dados e, por fim, expor os dados dos consumidores a fraudes.

O F5 fornece visibilidade e controle para ajudar as instituições financeiras a gerenciar agregadores e se defender contra ataques. Os clientes têm acesso total aos seus dados quando e onde quiserem, por meio dos aplicativos que escolherem, além de ficarem protegidos contra riscos de roubo de credenciais e apropriação de conta (ATO).

Visibilidade de autenticação
O Distributed Cloud Bot Defense detecta cada tentativa de login e rotula o tráfego como humano, automatizado ou agregador. O F5 bloqueia ataques às propriedades web e móveis da instituição financeira e também pode detectar quando invasores estão roubando credenciais por meio de um agregador para validação de conta.

Assistência de integração
O Distributed Cloud Aggregator Management incentiva os agregadores a deixarem de armazenar credenciais financeiras dos usuários e migrarem para APIs suportadas pelas instituições financeiras das quais eles obtêm informações. A F5 trabalha com a instituição financeira e o agregador para fazer essa transição.

Acesso com privilégios mínimos
Quando APIs são usadas, os Serviços de Nuvem Distribuída podem impor apenas os privilégios exigidos pelos agregadores, reduzindo a superfície de ameaça. Por exemplo, as transações podem ser impostas ao acesso somente leitura ou apenas a informações resumidas.

Detecção de anomalias
Os Serviços de Nuvem Distribuída auxiliam tanto a instituição financeira quanto o agregador na detecção de anomalias. O F5 rastreia cada estrutura de invasor, incluindo navegadores sem interface e fraudes de ataque manual, e pode bloquear ou alertar tanto o agregador quanto a instituição financeira.

Lidando com ameaças avançadas de segurança cibernética com F5
Os Serviços de Nuvem Distribuída da F5 oferecem as melhores soluções de segurança de aplicativos e prevenção de fraudes em uma plataforma integrada. A F5 utiliza a precisão da IA para detectar com precisão o tráfego de ataque em tempo real, bem como detectar e eliminar fraudes.