Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Frodi informatiche, le banche alzano le barriere

Frodi informatiche, le banche alzano le barriere

Nuove tecnologie di contrasto, sensibilizzazione dei dipendenti e della clientela, ricerca…così le banche rispondono alle minacce che arrivano dal web. Nel rapporto ABI Lab...

(di Monica Pellegrino – Research Analyst ABI Lab)
La sicurezza dell’identità dei clienti nelle diverse fasi di erogazione di un servizio bancario sui canali diretti sono temi verso i quali le banche italiane rivolgono oramai da tempo estrema attenzione: dal riconoscimento di un nuovo utente (sia in presenza che da remoto) all’accesso e all’autorizzazione di transazioni on line, fino al mantenimento di livelli di efficacia estremamente elevati nelle attività di contrasto delle frodi.
A un incremento sempre più consistente nel corso degli anni del numero di utenti che accedono con un notevole livello di soddisfazione ai servizi di Internet Banking e di Mobile Banking, si è affiancato inevitabilmente un aumento del rischio connesso al furto d’identità.
Tale fenomeno rappresenta una minaccia concreta, potendo colpire in maniera trasversale l’erogazione dei diversi servizi bancari con impatti non solo tangibili e monetizzabili ma anche d’immagine e, soprattutto, di fiducia e retention della clientela; inoltre, dagli studi condotti a livello nazionale e internazionale emerge come le modalità di perpetrazione degli attacchi siano divenute sempre più complesse, non solo da identificare da parte di banche e Forze dell’Ordine ma anche da realizzare per i frodatori, da cui deriva la tendenza dei “cyber-criminali” a concentrarsi maggiormente su target mirati, siano essi più vulnerabili o, come nel caso delle imprese, più redditizi.

Azioni convergenti

Il quadro appena delineato fa comprendere dunque il notevole interesse che le banche stanno manifestando, sia in termini di indagine che di investimento, verso la definizione di processi e tecnologie per il miglioramento della sicurezza dei canali remoti, a vantaggio della clientela e a protezione di dati e applicazioni della banca.
L’attenzione verso il conseguimento dei massimi livelli di sicurezza delle operazioni di pagamento a opera delle banche è in linea con quanto promosso a livello europeo dalle banche centrali e a livello nazionale dalla Banca d’Italia; a tal proposito, si evidenziano sia il Provvedimento pubblicato nel luglio 2011 di Attuazione del Titolo II del decreto di recepimento della PSD (Diritti e obblighi delle parti), all’interno del quale la Banca d’Italia dedica un intero allegato tecnico all’analisi delle tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza, nell’ottica di promuoverne la diffusione e aumentare “la fiducia del pubblico nei pagamenti elettronici”; sia il più recente documento di Recommendations for the Security of Internet Payments della BCE, per il quale si è appena conclusa la fase di consultazione.
La crescente complessità dei fenomeni fraudolenti e l’elevata correlazione tra le minacce poste in essere verso diverse banche e differenti comparti produttivi ha portato quindi nel tempo a una maggiore convergenza delle voci e delle azioni dei diversi attori coinvolti, dalle banche alle Istituzioni e alle Forze dell’Ordine, allo scopo di mantenere una cooperazione forte e di realizzare un operato sinergico e condiviso, secondo un concetto di sicurezza partecipativa e di sistema.
In tale direzione si inserisce la collaborazione sempre più attiva tra banche, ABI, ABI Lab e Polizia Postale e delle Comunicazioni per la lotta al cybercrime, che si concretizza principalmente attraverso lo scambio di informazioni inerenti tentativi e casi di frode attuate verso le banche , effettuata sia in maniera informale che, in prospettiva, mediante un articolato sistema informatico, a oggi in via di realizzazione.

Il sistema pubblico di prevenzione delle frodi

Sempre nell’ottica di un rafforzamento della sicurezza dell’identità dei cittadini, si ritiene importante ricordare anche il D.Lgs. 64/2011 che istituisce presso il Ministero dell’Economia e delle Finanze un sistema pubblico di prevenzione delle frodi, con particolare riferimento al furto d’identità (cartacea); nello specifico, il Decreto prevede la realizzazione di un sistema informatico che consentirà alle banche di interrogare diversi archivi documentali e banche dati delle PA , al fine di verificare la validità dei documenti di riconoscimento, previdenziali e di reddito, presentati dalla clientela. Le banche hanno infatti più volte segnalato casi di presentazione di dati e documenti rubati, parzialmente o totalmente contraffatti da parte di frodatori per l’apertura di un conto corrente e la conseguente realizzazione di operazioni illecite, per cui tale iniziativa potrebbe concretamente contribuire a ridurre le frodi associate all’identità cartacea. A oggi, ABI, ABI Lab e OSSIF stanno prendendo parte ai tavoli di lavoro istituzionali per portare all’attenzione le esigenze del settore bancario.

Il progetto Stork 2.0

Infine, il crescente interesse degli utenti verso l’accesso ai servizi bancari tramite i canali remoti sta portando le banche ad approfondire nuove opportunità di identificazione sicura e al tempo stesso semplice dell’utente, che possano auspicabilmente consentire a un potenziale nuovo cliente di non recarsi mai in filiale per completare la procedura di riconoscimento. Diversi Paesi Europei, tra cui anche le banche italiane, si stanno già muovendo in tale direzione, attraverso studi di fattibilità, indagini e progetti pilota. In particolare, si segnala il progetto Stork ( Secure idenTity acrOss boRders linKed ) 2.0, cui partecipa anche ABI Lab, i cui obiettivi del sono la realizzazione di progetti pilota volti a testare l’uso cross-border dei documenti d’identità elettronica dei cittadini dei paesi aderenti in fase di accesso ai servizi bancari.

Falsificazione dell'identità il reato più diffuso

Dalla consueta analisi sul fenomeno del furto di identità , realizzata da ABI Lab nell’ambito dell’Osservatorio Sicurezza e Frodi Informatiche (hanno partecipato alla rilevazione 35 organizzazioni tra banche, gruppi e outsourcer interbancari, rappresentativi dell’85% dei clienti Retail on line attivi a livello di sistema), è emerso che nel 2011 i casi di furto d’identità elettronica, ossia delle credenziali digitali dei clienti, hanno rappresentato la tipologia di frode che più ricorre nel panorama bancario (81,2% del numero di accadimenti); tuttavia, se da un lato il danno economico per la clientela Retail è derivante quasi esclusivamente dalla sottrazione e dall’utilizzo illecito delle credenziali digitali, per la banca assume discreta rilevanza, da un punto di vista della perdita economica, il fenomeno della falsificazione dell’identità cartacea (28,5%). In particolare, sono le informazioni contenute nella carta d’identità a essere falsificate in misura maggiore dai frodatori, al fine di aprire nuovi conti correnti e/o ricevere forme di credito . Stesso discorso vale anche per quanto riguarda la clientela Corporate , dove però la falsificazione dei documenti riguarda in particolar modo i documenti di reddito, alterando i dati relativi a posizioni previdenziali, assistenziali e dati fiscali.
In questo scenario gli investimenti previsti per i prossimi 12 mesi in materia di gestione sicura dell’identità sono stabili rispetto all’anno precedente per quanto riguarda la spesa complessiva, mentre per i servizi di banca diretta – tra cui è incluso il canale Mobile – vi è una percentuale più elevata di banche che ha preventivato un aumento degli investimenti e della spesa. Tra le priorità alla base dei progetti di Identity Management, la tendenza è quella di incrementare i livelli di sicurezza, migliorare il servizio offerto alla clientela e a mantenere elevate la propria immagine e reputazione.

Focus sul canale Internet

In generale aumento rispetto al passato, la perdita di credenziali e di denaro per la clientela Retail è stata efficacemente contrastata dalle banche che sono riuscite nel 2011 a bloccare e non portare a termine oltre il 95% dei tentativi di frode.
Anche sul versante Corporate si è assistito a un aumento della perdita di credenziali e di denaro rispetto al 2010, dovuto probabilmente alla tendenza dei frodatori a concentrarsi su una clientela potenzialmente più redditizia. Parallelamente, però, si è verificato un notevole incremento dell’azione di contrasto nei confronti di tentativi fraudolenti, che ha portato la perdita di denaro a verificarsi esclusivamente in un caso ogni 1.000.000 di accessi.
Quanto registrato per tale segmento di clientela induce, oltre a mantenere sempre elevata l’attenzione, a incrementare le azioni di sensibilizzazione ed eventualmente a prevedere nuovi interventi mirati di protezione verso tale segmento di utenti, ad esempio mettendo a disposizione soluzioni specifiche di difesa.
L’analisi ABI Lab ha mostrato inoltre come la rilevazione della frode sia in primo luogo dovuta al monitoraggio effettuato dalle strutture interne della banca, le quali hanno permesso di individuare la maggioranza degli accadimenti sospetti, e come la maggior parte delle operazioni illecite sia legata all’esecuzione di bonifici, che si confermano essere lo strumento più utilizzato dai frodatori per eseguire il primo prelevamento e trasferimento di denaro.
Con riferimento alle tipologie di attacco prese in considerazione nella survey, è da segnalare rispetto agli anni passati l’incremento, in termini di numerosità e di efficacia rispetto al volume complessivamente transato, di frodi realizzate tramite malware , mentre gli episodi riconducibili al phishing tradizionale , sebbene ancora rilevanti, hanno subito un netto calo rispetto al passato.
Al fine di rendere sempre più efficace la rilevazione di tentativi di frode o di transazioni anomale, e di conseguenza velocizzare le azioni di segnalazione e blocco degli attacchi, diviene sempre più strategico per le banche ricorrere a strumenti e tecnologie atti a presidiare in modalità continuativa accessi, reti e operazioni eseguite on line dalla clientela.
Dall’analisi emerge che i principali strumenti tecnologici a oggi adottati dalle banche sono volti al monitoraggio delle transazioni anomale (65% del segmento Retail e 77% per i servizi Corporate), mentre è in aumento rispetto al passato l’uso di soluzioni per il monitoraggio del web e per l’analisi automatica dei log di accesso all’Internet Banking.
Figura 1 - Attività di monitoraggio e dotazione tecnologica
Tali strumenti sono accompagnati, ormai da tempo, da numerose iniziative interne alla banca finalizzate ad accrescere il livello di conoscenza e sensibilità dei dipendenti verso i fenomeni fraudolenti. In particolare, tale attività si concretizza nella predisposizione di iniziative di formazione destinate al personale di filiale, alle strutture di help desk e agli operatori di call center, per supportare la clientela in caso di sospetta frode o per fornire assistenza.
Nella lotta al cybercrime, un altro elemento molto importante è rappresentato dall’insieme di attività informative e di sensibilizzazione verso la clientela . Le banche si sono rivelate particolarmente attive su questo versante predisponendo, nella pressoché totalità del campione (97% per il segmento Retail e 93% per il segmento Corporate), documentazione informativa sul portale di Internet Banking; una diffusione discretamente importante, con percentuali intorno al 65%, si registra anche per l’informativa distribuita presso le filiali.
Figura 2 - Attività informativa verso la clientela
La garanzia di elevati livelli di sicurezza è assicurata anche fornendo alla clientela soluzioni e tecnologie di strong authentication : la diffusione di un II livello di autenticazione è oramai di sistema (100% del campione rispondenti), e le tecnologie di II fattore sono adottate a oggi nel 94% del campione per l’ambito Retail e nel 93% per il segmento Corporate e, laddove non presenti ne è prevista l’introduzione nei prossimi 12 mesi. Lo studio ABI Lab ha inoltre mostrato che la tecnologia di II fattore maggiormente utilizzata prevede la generazione di codici OTP , secondo differenti modalità di implementazione. Accanto a queste soluzioni sta assumendo notevole importanza anche il canale alternativo di comunicazione con il cliente, impiegato principalmente in fase di notifica delle operazioni, attraverso SMS e/o e-mail.

Le frodi via Mobile

Il nuovo ruolo del telefono cellulare, completamente mutato negli ultimi anni con l’avvento degli smartphone, ha rinnovato e incrementato l’interesse delle banche e dei clienti nei confronti del canale Mobile per l’accesso a una molteplicità di servizi informativi e dispositivi; seppure allo stato attuale il ricorso a piattaforme di Mobile Banking sia ancora contenuto, si prevede un incremento notevole nei prossimi mesi dell’utilizzo di Sms, Sim, Mobile Site e Mobile Apps in ambito bancario.
Dalle analisi ABI Lab effettuate e relative al 2011, è emerso che nessun cliente ha fatto registrare perdita di credenziali a seguito dell’accesso ai servizi di Mobile Banking; tuttavia, sulla base di quanto già rilevato in altri Paesi e con il crescere dell’adozione del servizio da parte dei clienti, è presumibile che aumentino le minacce e i tentativi di frode ai loro danni, per cui il livello di attenzione delle banche dovrà mantenere sempre delle soglie molto elevate, incrementando il livello di allerta e l’uso di strumenti di monitoraggio delle transazioni anomale via Mobile e realizzando iniziative di formazione del personale (diffuse nel 22% del campione) e campagne di sensibilizzazione della clientela.
Nei prossimi mesi si prevede quindi una forte concentrazione degli sforzi per il controllo e il monitoraggio delle transazioni che coinvolgono la clientela, in particolare per il segmento Corporate, e un’intensificazione delle misure di rilevazione e repressione degli attacchi su dispositivi Mobile, che si prospettano in aumento di pari passo con l’incremento di utenti e di servizi erogati. In aggiunta a tutti questi elementi, non si può dimenticare l’attività di “educazione” del cliente all’uso consapevole e responsabile dei nuovi device e dei canali remoti, altro ingrediente essenziale per ridurre gli attacchi, garantire massimi livelli di sicurezza e offrire al contempo servizi sempre più innovativi.
3 Luglio 2012

Articoli correlati

 

Guida Tassazione 2017

Sullo scaffale

Elenco degli Sportelli Bancari 2017

Elenco degli Sportelli Bancari 2017

In 640 pagine, il panorama più esauriente delle 28.000 filiali e dei 1.400 negozi finanziari operanti in Italia, contenente le principali informazioni ...

Convegni ABI

CREDITO AL CREDITO 2017

CREDITO AL CREDITO 2017

Roma, Palazzo Altieri - 26 e 27 ottobre 2017