L’identità è al SICURO

Negli ultimi anni, il sistema bancario italiano ha dovuto far fronte a un’evoluzione estremamente rapida delle tipologie di attacco all’identità dei ropri clienti, perpetrate sui canali fisici e virtuali. La definizione di opportune iniziative di ntrasto e prevenzione del fenomeno è di estremo interesse anche ai fini dell’abilitazione di nuovi modelli di relazione con la clientela. La garanzia di autenticità, sicurezza e idoneità di strumenti e procedure in grado di leggere, verificare e memorizzare le informazioni identificative di un soggetto è un aspetto di rilievo per evitare, da un lato, la creazione di identità fittizie o il furto di quelle esistenti, e per permettere alle banche, dall’altro, l’erogazione di servizi completamente da remoto, con vantaggi notevoli in termini di fidelizzazione, miglioramento dei livelli di servizio, riduzione della materialità cartacea e sviluppo di nuovi business. In questo scenario, ABI Lab ha ritenuto di estremo interesse, nell’ambito delle attività di ricerca effettuate nel 2010 ai tavoli di lavoro dell’Osservatorio sulla Gestione Sicura dell’Identità, coordinato in collaborazione con OSSIF, e della Centrale d’Allarme per Attacchi Informatici, valutare il complesso fenomeno delle frodi identitarie attraverso la realizzazione di un’indagine ad hoc, distribuita a tutte le banche del sistema, allo scopo non solo di fotografare lo scenario attuale, ma anche nell’ottica di rappresentare adeguatamente all’esterno e in particolare alle istituzioni competenti le azioni di contrasto messe in atto dal settore e le eventuali criticità esistenti. Hanno partecipato alla rilevazione 31 organizzazioni operanti nel settore bancario, compresi alcuni outsourcer interbancari, rappresentativi del 73% del sistema bancario in termini di sportelli.

Investimenti in crescita

Le elaborazioni dei dati raccolti hanno evidenziato un generale aumento nel 2010 del numero di accadimenti fraudolenti a danno della clientela retail, per la maggior parte dei casi riconducibili a fenomeni di falsificazione totale o parziale dell’identità cartacea (71%), più difficilmente identificabili da parte degli istituti finanziari. A fronte di questa fotografia, dallo studio è emerso come il danno economico subito dal cliente a seguito di eventi illeciti sia legato principalmente al furto d’identità elettronica (85,3%). In maniera del tutto analoga, per la clientela corporate si registra un aumento complessivo degli accadimenti ma, a differenza del segmento retail, nella grande maggioranza dei casi essi sono dovuti ad attacchi che hanno determinato un furto dell’identità elettronica. La forte attenzione delle banche verso l’ambito della sicurezza dell’identità è confermato anche dal trend degli investimenti previsti per i prossimi 12 mesi: la spesa complessiva risulta in aumento nell’83% del campione per progetti destinati al segmento retail e nel 73% dei rispondenti per iniziative destinate alla clientela corporate. In discreto aumento anche la spesa in sicurezza per servizi di banca diretta (Internet, phone, etc.) per tutti i clienti della banca.

Le banche prendono le contromisure

Alla base degli investimenti in progetti di gestione sicura delle identità vi sono principalmente esigenze di rafforzamento dell’immagine e della reputazione della banca verso l’esterno e di miglioramento del servizio offerto alla clientela, cui si aggiungono bisogni specifici, quali la riduzione dei costi e l’aumento di efficienza nel processo di gestione delle identità. Con riferimento specifico al furto risultati emersi dalla rilevazione evidenziano come, a fronte di un aumento nel numero di accadimenti, le azioni di contrasto poste in essere dalle banche abbiano consentito di limitare ulteriormente rispetto al recente passato l’efficacia del crimine informatico: se da un lato infatti si mantiene sostanzialmente stabile il numero di clienti online sui quali è stata riscontrata la perdita delle credenziali, dall’altro il numero di clienti che ha riportato una perdita di denaro riconducibile al furto dell’identità elettronica si è ridotto drasticamente (in media 1 caso ogni 50.000 conti). L’azione di monitoraggio delle transazioni effettuate su Internet banking e la costituzione di presidi operativi permanenti adottata dalle banche ha consentito nel 2010 di bloccare complessivamente il 60,5% e l’80,1% del volume economico illecitamente transato rispettivamente sul segmento Retail e Corporate.

Modalità di identificazione

Per quanto riguarda il processo di identificazione del cliente, ossia l’insieme delle procedure e delle tecnologie per l’acquisizione di un utente in fase di apertura di un rapporto con la banca e/o di erogazione di specifici servizi, la fotografia che emerge è di una netta prevalenza della modalità di identificazione in presenza, ossia il ri conoscimento del soggetto è effettuato a vista in filiale tramite presentazione di un documento di identità. Le informazioni obbligatoriamente collezionate e memorizzate sono molteplici e includono dati di tipo anagrafico, fiscale e previdenziale.

A fronte di tale ingente attività di raccolta dati, si deve rimarcare come la ricorrenza e la numerosità dei controlli effettuati sulle informazioni presenti sui documenti da parte della banche sia molto bassa, principalmente a causa delle limitazionisino ad oggi presenti nei riguardi della possibilità di accedere agli archivi centralizzati gestiti dalle Istituzioni competenti con finalità di verifica dell’autenticità dei documenti. In questo scenario, si inseriscono le recenti evoluzioni normative che consentiranno anche alle banche, secondo specifiche procedure, di consultare tali archivi centralizzati delle PA: un’opportunità potrebbe portare a un incremento significativo dei controlli e, conseguentemente, a un abbattimento degli attacchi criminosi in danno alla banca stessa. Relativamente all’attivazione di servizi da remoto, infine, la procedura di identificazione a distanza, anche parziale, ad oggi più diffusa è quella del cosiddetto bonifico virtuale di riconoscimento, procedura adottata nel 26,1% del campione per la clientela Retail. L’analisi tuttavia ha mostrato un interesse in crescita a livello di sistema verso la possibilità di utilizzare nuove soluzioni per attestare il corretto riconoscimento soprattutto da remoto del cliente; in particolare, si segnala l’attenzione verso l’uso dei documenti di identità elettronica erogati dalle PA per l’accesso a distanza ai servizi bancari, in fase sia d’identificazione, sia di autenticazione, ambiti su cui si registrano ad oggi diversi progetti pilota e studi di fattibilità. Su questi aspetti, il team dell’Osservatorio sulla Gestione Sicura dell’Identità ha messo in atto un’intensa azione di sensibilizzazione che si è concretizzata con la realizzazione di sperimentazioni e progetti pilota presso le banche interessate, ad oggi in corso con il supporto di partner ICT e di PA locali.

Altri articoli dello Speciale “Banche e Sicurezza 2011”:

Attacchi agli sportelli e bottino complessivo mai così bassi da oltre 20 anni. I dati Ossif fotografano i successi delle banche, ma anche come il fenomeno rapina cresca negli altri settori, dalle farmacie ai supermercati. Al via una nuova strategia di contrasto comune

Il netto calo delle rapine dipende anche dall’efficacia degli strumenti di contrasto adottati dalle banche

Tecnologie, soluzioni e strategie per la difesa a tutto campo presentate a Banche e Sicurezza 2011

Anche in Italia si sta diffondendo la Digital Forensics, la disciplina per identificare e trattare nelle attività investigative le informazioni provenienti dai sistemi informatici. Un mondo complesso che interessa molto il settore bancario, con aspetti diversi da considerare a livello legale, procedurale e tecnologico. Disponibile un set di regole nelle Linee Guida ABI Lab