L'ingegneria sociale è la principale minaccia informatica per le banche filippine

Gli SCHEMI DI SOCIAL ENGINEERING, come le truffe di phishing, sono stati la principale minaccia informatica che ha colpito le banche filippine nella prima metà del 2025, rappresentando un rischio persistente per il sistema di pagamenti digitali del paese, ha dichiarato la Bangko Sentral ng Pilipinas (BSP).

Sulla base della sorveglianza delle minacce informatiche della BSP nella prima metà del 2025, il social engineering, il takeover degli account e il furto d'identità hanno rappresentato il 76% dell'importo totale perso a causa di frodi finanziarie nel periodo.

"Questo rispecchia effettivamente ciò che stanno vedendo altri supervisori. Stiamo vedendo che il social engineering rimane il principale fattore trainante delle minacce legate al cyberspazio," ha dichiarato il Vice Governatore della BSP Lyn I. Javier durante una sessione informativa con i media a Dumaguete City lunedì.

"Quindi, stiamo vedendo phishing, vishing e smishing — evidenziando ancora una volta l'elemento umano, sfruttando la fiducia del pubblico o delle persone. È una vulnerabilità che questi attori della minaccia stanno sfruttando proprio per implementare i loro schemi o la truffa."

Il phishing comporta l'uso di e-mail fraudolente, messaggi di testo o link per rubare informazioni personali, finanziarie o relative all'account. Il vishing, o voice phishing, è una forma di phishing che utilizza telefonate o messaggi vocali, mentre lo smishing viene effettuato tramite messaggi di testo.

Nel frattempo, l'hacking è stata la seconda minaccia informatica più comune nel sistema bancario, rappresentando il 13% delle perdite totali, seguito dalla frode della carta non presente con l'8%.

La signora Javier ha affermato che le minacce informatiche stanno diventando più frequenti, mirate e più scalabili.

"E con l'aumentare della velocità, aumentano anche le perdite, la finestra di recupero si restringe e consente al crimine informatico di crescere più rapidamente rispetto al passato," ha dichiarato.

"Quindi... quando parliamo di rischio informatico, non è più solo una questione tecnologica. Riguarda la fiducia, il comportamento e una sfida dell'ecosistema a cui tutti dobbiamo contribuire per affrontare e proteggere il sistema finanziario. Influisce direttamente sulla fiducia dei consumatori, sulla resilienza operativa e, in ultima analisi, pone rischi alla stabilità finanziaria."

Ha aggiunto che la crescente interconnessione nel sistema finanziario ha ampliato i potenziali punti di attacco per i criminali informatici poiché ci sono maggiori vulnerabilità potenziali che possono sfruttare.

Ciò aumenta anche i rischi per la stabilità finanziaria poiché un singolo punto di guasto potrebbe anche influenzare altre istituzioni, ha affermato.

"Il rischio informatico è in evoluzione, sta cambiando, e dobbiamo anche imparare ad adattarci a questo sviluppo... Un attacco a un'istituzione finanziaria non significa necessariamente che sarà confinato a quell'istituzione. Potrebbe influenzare altre istituzioni finanziarie collegate a quella banca. Quindi, significa i servizi offerti alle imprese e alle famiglie," ha dichiarato.

"Ora, la posta in gioco diventa più alta quando gli incidenti informatici attaccano infrastrutture critiche del mercato finanziario — ad esempio, il sistema dei pagamenti. E poi, ciò che è ancora più impegnativo è quando attaccano gli account degli individui, dei depositanti, e questo si intensifica, potrebbe effettivamente innescare prelievi massicci in un'istituzione finanziaria, innescando problemi di liquidità e talvolta problemi di capitale in quell'istituzione finanziaria a causa della perdita di fiducia del pubblico in quella particolare banca. La fiducia del pubblico o la fiducia dei depositanti, è il nucleo, è il fondamento del sistema bancario. Quindi, dobbiamo prenderci cura di quella fiducia."

Ha affermato che, sebbene non esista una difesa infallibile contro gli attacchi informatici, la banca centrale e le parti interessate del settore continuano a mettere in atto varie regole e misure per rafforzare la resilienza del settore finanziario.

La BSP richiede a tutte le istituzioni finanziarie supervisionate di presentare rapporti regolari e basati su eventi che coprano informazioni relative alla tecnologia nonché l'incidenza di attacchi informatici importanti. La signora Javier ha aggiunto che monitorano potenziali minacce attraverso piattaforme di social media e il database degli incidenti di sicurezza informatica.

La BSP ha anche imposto alle banche di aggiornare i rispettivi sistemi di gestione delle frodi per allinearsi alle regole e ai regolamenti di attuazione dell'Anti-Financial Account Scamming Act. Ha dato ai finanziatori tempo fino al 25 giugno per conformarsi, aggiungendo che il mancato rispetto potrebbe comportare la sospensione della licenza. — Katherine K. Chan