Come prevenire e contrastare le frodi su Internet e Mobile Banking - Monica Pellegrino

Pagina creata da Melissa Villa
 
CONTINUA A LEGGERE
Banking Analytics – Customer Analytics e Fraud Management
Milano, 13 maggio 2014

Come prevenire e contrastare le frodi su
Internet e Mobile Banking
                          Monica Pellegrino
                         Research Analyst, ABI Lab

Consorzio ABI Lab – Centro di Ricerca e Innovazione per la Banca
Agenda

         • Le evoluzioni del quadro normativo in materia di sicurezza

         • Lo scenario delle frodi informatiche nel settore bancario italiano

         • Le attività istituzionali e di settore sui temi di sicurezza
               Azioni di contrasto e sensibilizzazione

13/05/2014                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca   1
Il quadro di riferimento

                         Crescente attenzione da parte delle istituzioni di riferimento a livello nazionale ed europeo in merito
                         ai rischi informatici e all’esigenza di garantire elevati livelli di sicurezza nella realizzazione di pagamenti
                         da remoto e nella gestione dei dati, come testimoniato dal recente fermento normativo in materia.

                         •   Le principali evoluzioni normative con impatti sulla gestione della sicurezza e del rischio informatico in banca
                             investono principalmente gli ambiti di:
                              ‒ Sicurezza degli accessi e dei servizi di pagamento
                                      ‒ Payment Service Directive e recepimento a livello nazionale
                                      ‒ Raccomandazioni BCE sulla sicurezza dei pagamenti internet + Assessment Guide BCE
in corso di emanazione

                                      ‒ Raccomandazioni BCE sulla sicurezza dei servizi di accesso ai conti di pagamento
                                      ‒ Raccomandazioni BCE sulla sicurezza dei pagamenti Mobile
                              ‒ Sicurezza nel trattamento di dati e informazioni bancarie
                                      ‒ Provvedimento Autorità Garante per la Privacy per la circolazione delle informazioni bancarie e il
                                        trattamento dei dati bancari
                              ‒ Valutazione del rischio informatico e correlazione con la gestione del rischio operativo
emanato

                                      ‒ Disposizioni di vigilanza prudenziale di Banca d’Italia in materia di sistema dei controlli interni,
                                        sistema informativo e continuità operativa

13/05/2014                                                                        ABI Lab – Centro di Ricerca e Innovazione per la Banca        2
Gli impatti sulle banche e le attività
   associative a supporto
       RACCOMANDAZIONI BCE IN TEMA DI PAGAMENTI INTERNET
             •   Realizzazione di un assessment specifico dei rischi
             •   Ricorso a strumenti di strong authentication in fase di accesso ai servizi
             •   Implementazione di procedure efficaci in merito all’autorizzazione e monitoraggio delle transazioni per
                 identificare comportamenti anomali e prevenire le frodi
             •   Promozione di iniziative di sensibilizzazione della clientela
       PAYMENT SERVICE DIRECTIVE (PSD)
             •   Responsabilità in caso di pagamenti non autorizzati
             •   Accesso ai conti di pagamento a opera di terze parti
       RACCOMANDAZIONI BCE SUI SERVIZI DI ACCESSO AI CONTI DI PAGAMENTO
             •   Impatti indiretti sulle banche, in relazione al livello di sicurezza dei soggetti terzi che intervengono
             •   Corretta individuazione di compiti e responsabilità in caso di transazioni anomale

       ABI e ABI Lab hanno rappresentato le esigenze delle banche alle istituzioni competenti attraverso:
             • raccolta di feedback e osservazioni all’interno dei Position Paper inviati in risposta alle
                 consultazioni
             • approfondimenti verticali nei tavoli di lavoro europei (EBF, EPC) sui punti critici evidenziati

13/05/2014                                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca         3
Assessment Guide BCE in materia di sicurezza dei
 pagamenti Internet                               (1/2)

       Il documento ”Assessment guide for the security of internet payments” è stato pubblicato dal
       Forum SecurePay il 4 febbraio 2014.

         http://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinternetpayments201402en.pdf

       DESTINATARI DELLA GUIDA

       • Autorità locali di vigilanza e di sorveglianza dei sistemi di pagamento incaricati di valutare il
         rispetto delle “Raccomandazioni BCE in materia di sicurezza dei pagamenti Internet”.

       OBIETTIVO GENERALE

       • Supportare i supervisori nel valutare la compliance alle raccomandazioni sulla sicurezza dei
         pagamenti Internet.

       • Garantire che le valutazioni siano armonizzate e efficienti    in tutta l'UE/EEA allo scopo di
         facilitare le autorità di vigilanza e/o sorveglianza nel confronto e/o aggregazione dei risultati di
         tutti gli Stati Membri.

13/05/2014                                            ABI Lab – Centro di Ricerca e Innovazione per la Banca    4
Assessment Guide BCE in materia di sicurezza dei
 pagamenti Internet                               (2/2)
        CONTENUTI DELLA GUIDA
       • Elenco delle domande da usare per l’assessment di ogni KC e BP e ulteriori indicazioni per
         garantire che alla domanda sia data una risposta sufficientemente dettagliata e coerente. Le
         domande elencate non sono da considerarsi prescrittive, altre opzioni potrebbero essere
         altrettanto soddisfacenti per il raggiungimento di un livello accettabile di conformità;
       • Elenco, non esaustivo, dei documenti a supporto che potrebbero essere utilizzati nella
         valutazione della conformità con le Raccomandazioni;
       • Le situazioni descritte sono generiche: alcuni aspetti potrebbero non essere di rilievo per tutti i
         PSP o le Autorità di governo.

       AI DESTINATARI DELLE RACCOMANDAZIONI:

       • È richiesto che rispettino le Raccomandazioni o che siano in grado di spiegare
             e giustificare ogni cambiamento;
       • È auspicabile che adottino le best practice;
       • È necessario che rispondano alle domande dell’assessment riportate nella guida;
       • È richiesto che tutte le risposte e la documentazione a supporto, una volta che la valutazione è
         in corso, per quanto possibile, siano presentate in formato elettronico.

13/05/2014                                           ABI Lab – Centro di Ricerca e Innovazione per la Banca    5
Disposizioni di Vigilanza Prudenziale di Banca d’Italia
        Aggiornamento Titolo V: principali evidenze
                                                                     PRINCIPI DI FONDO DELLA NORMATIVA
                                                                            coinvolgimento vertici aziendali                               Approfondimenti dei capitoli
                                                                            visione integrata dei rischi                                     8 e 9 in corso nei tavoli di
                                                                            efficienza ed efficacia dei controlli                                  lavoro ABI Lab
                                                                            applicazione delle norme in funzione della dimensione e della complessità operativa
                                                                     PRINCIPALI ELEMENTI DI NOVITÀ – focus capitoli 8 e 9
                                                                           Definizione dei compiti e delle responsabilità degli organi aziendali con funzione di supervisione
                                                                           strategica, gestione e controllo.
http://www.bancaditalia.it/media/comsta/2013/20130703_disp_vig.pdf

                                                                           Introduzione di una disciplina in materia di esternalizzazione delle funzioni aziendali e del sistema
                                                                           informativo
                                                                           Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista,
                                                                           disciplinando:
                                                                           • governance e organizzazione del sistema informativo
Fonte: Fonte: Comunicato Stampa Banca d’Italia

                                                                           • gestione del rischio informatico
                                                                           • requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati
                                                                           • presidi di sicurezza per l’accesso a sistemi e servizi critici tramite il canale internet, recependo le
                                                                               raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet
                                                                           Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni
                                                                           attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità:
                                                                           • ridefinisce le modalità di gestione delle crisi all’interno del sistema finanziario, definendo il processo di
                                                                               escalation
                                                                           • formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'Italia

13/05/2014                                                                                                              ABI Lab – Centro di Ricerca e Innovazione per la Banca           6
Agenda

         • Le evoluzioni del quadro normativo in materia di sicurezza

         • Lo scenario delle frodi informatiche nel settore bancario italiano

         • Le attività istituzionali e di settore sui temi di sicurezza
               Azioni di contrasto e sensibilizzazione

13/05/2014                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca   7
Il fenomeno delle frodi informatiche
                                                                                                                           Il contesto di riferimento

                                                                                                                            • Aumento negli ultimi anni dell’offerta e dell’utilizzo di servizi erogati
**Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti;

                                                                                                                              tramite Internet e Mobile Banking:
                                                                                                                                  • banche che offrono servizi via Mobile: +25% dal 2011 al 2013*
                                                                                                                                  • accessi ai servizi di Internet Banking**: 873 milioni per clientela
                                                                                                                                    Retail (+ 18,4 % rispetto al 2012)
*Fonte: ABI Lab e School of Management – Politecnico di Milano, Osservatorio Mobile Banking

                                                                                                                                                                 •   Crescente utilizzo dei canali a distanza non sempre accompagnato, da
                                                                                                                                                                     parte della clientela, da una adeguata conoscenza dei rischi e delle
                                                                                                                                                                     azioni di prevenzione in grado di ridurli.

                                                                                                                                                                 •   Evoluzione dello scenario delle frodi informatiche parallelamente al
elaborazione sul numero medio di accessi per utente attivo

                                                                                                                                                                     contesto tecnologico di riferimento attacchi sempre più sofisticati
                                                                                                                                                                     (28,1 % di attacchi di tipo man in the browser)

                                                                                                                             •   È importante evolvere strumenti e tecnologie di contrasto e prevenzione dei
                                                                                                                                 crimini informatici in funzione dell’evoluzione degli attacchi.

                                                                                                                             •   Necessario rafforzare le azioni di sensibilizzazione della clientela sul tema.

                    13/05/2014                                                                                                                                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca     8
Il fenomeno delle frodi informatiche
                                                                                                                        Furto di credenziali e danno economico – ambito Retail
                                                                                                                                                                                              % clienti attivi Retail vittima di furto di
                                                                                                                              Anticipazione primi risultati del 2013:                              credenziali (trend 2005 – 2012)
                                                                                                                         •   Stima di 873 milioni di accessi all’Internet
                                                                                                                             Banking
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti

                                                                                                                         •   A livello complessivo, riduzione di episodi di
                                                                                                                             furto di credenziali di accesso ai servizi di
                                                                                                                             Internet Banking.
                                                                                                                         •   Non si registrano per il 2013 casi di sottrazione
                                                                                                                             delle credenziali di accesso ai servizi di Mobile
                                                                                                                             Banking.

                                                                                                                                   % clienti attivi Retail che hanno subito un
                                                                                                                                      danno economico (trend 2005 -2012)
                                                                                                                                                                                                          Anticipazione primi risultati del 2013:
                                                                                                                                                                                                     •   Lieve incremento della percentuale di
                                                                                                                                                                                                         clienti vittima di frode e che
                                                                                                                                                                                 1 caso ogni             conseguentemente ha perso denaro.
                                                                                                                                                                                 1.000.000 accessi
                                                                                                                                                                                                     •   Il rapporto tra numero di clienti che hanno
                                                                                                                                                                                                         perso denaro e che hanno perso le
                                                                                                                                                                                                         credenziali è di 2,48%, a conferma di
                                                                                                                                                                                                         un’efficace azione di blocco e contrasto.

13/05/2014                                                                                                                                                                       ABI Lab – Centro di Ricerca e Innovazione per la Banca                9
Il fenomeno delle frodi informatiche
                                                                                                                        Furto di credenziali e danno economico – ambito Corporate
                                                                                                                                                                                          % clienti attivi Corporate vittima di furto di
                                                                                                                               Anticipazione primi risultati per il 2013:                        credenziali (trend 2005 – 2012)
                                                                                                                        •   Stima di circa 281 milioni di accessi.
                                                                                                                        •   A livello del campione complessivo, si registra un
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti

                                                                                                                            aumento della percentuale dei clienti attivi
                                                                                                                            Corporate che hanno perso le credenziali, a
                                                                                                                            conferma dell’attenzione crescente dei criminali
                                                                                                                            verso tale segmento di clientela.
                                                                                                                        •   Non si registrano per il 2013 casi di sottrazione
                                                                                                                            delle credenziali di accesso ai servizi specifici di
                                                                                                                            Mobile Banking.

                                                                                                                            % clienti attivi Corporate che hanno subito un
                                                                                                                                 danno economico (trend 2005 – 2012)                                 Anticipazione primi risultati per il 2013:
                                                                                                                                                                                                 •   Al contrario, risulta nel 2013 in lieve
                                                                                                                                                                                                     diminuzione la percentuale relativa dei
                                                                                                                                                                                                     clienti che hanno perso denaro
                                                                                                                                                                                                     maggiore efficacia delle azioni di contrasto
                                                                                                                                                                                                     e prevenzione
                                                                                                                                                                                                 •   I maggiori volumi economici perduti sono
                                                                                                                                                                                                     relativi a frodi verso la clientela Corporate

13/05/2014                                                                                                                                                                         ABI Lab – Centro di Ricerca e Innovazione per la Banca            10
Agenda

         • Le evoluzioni del quadro normativo in materia di sicurezza

         • Lo scenario delle frodi informatiche nel settore bancario italiano

         • Le attività istituzionali e di settore sui temi di sicurezza
               Azioni di contrasto e sensibilizzazione

13/05/2014                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca   11
Le attività di ricerca e approfondimento di ABI Lab

                     •   Business Continuity                              •    Back office bancari
                     •   Sicurezza e Frodi                                •    Documento elettronico
                         Informatiche                                     •    Intranet
                                                                          •    Processi e Organizzazione
                                                PROMUOVERE
                                               L’INNOVAZIONE

              •   Green Banking
              •   Mercati dell’Energia                                                  •   Architetture IT
              •   Energie Rinnovabili                                                   •   Information Governance
                                                                                        •   Telecomunicazioni
                                                                                        •   Supporto standard fondi

  ABI Lab approfondisce i principali temi
   di interesse delle banche attraverso
    tavoli di confronto tra referenti di        •   Contact Center
                                                •   Mobile Banking
       banche e aziende consorziate.

13/05/2014                                           ABI Lab - Centro di Ricerca e Innovazione per la Banca           12
Le attività operative e di ricerca in materia di
Sicurezza e Frodi Informatiche
         OSSERVATORIO SICUREZZA E FRODI                                       COMMUNITY PRESIDIO.INTERNET
                 INFORMATICHE                                           Community interbancaria, avviata con lettera
     Presidio continuativo sui temi di sicurezza                        circolare ABI dell’11 marzo 2009, per lo scambio di
     informatica e fraud management in banca, con                       informazioni e per la collaborazione informale con le
     particolare attenzione ai canali di Internet e Mobile              Forze dell’Ordine
     Banking, realizzato attraverso:                                                                                    Comunicazioni:
             Attività di ricerca   SURVEY e REPORT ANNUALE                                                                 1a1
                                   BOLLETTINO TECNICO MENSILE                                                              1 a molti
                                                                                                                           1 a tutti
             Collaborazioni istituzionali
             Workshop e attività di comunicazione

        Riunioni del tavolo tecnico composto da:                                 Community costituita da:
        • 44 banche/outsourcer + Poste Italiane                                  • 370 referenti banche/outsourcer + Poste Italiane
        • Partner ICT                                                            • Polizia Postale e delle Comunicazioni
        • Polizia Postale e delle Comunicazioni                                  • Operatori TLC mobili

    LE COLLABORAZIONI A LIVELLO INTERNAZIONALE
                        • IT Fraud Working Group                            • European FI-ISAC – Financial Institutions
                        (Federazione Bancaria Europea)                        Information Sharing and Analysis Centre (ENISA)

               • ISSG/CISEG – Information Security
                 Support Group/Cybercrime                                    • EECTF – European Electronic Crime Task Force
                                                                              (Poste Italiane, Polizia Postale, USSS)
                 Information Sharing Expert Group
                 (European Payments Council)             • Altri network: - Membri di Antiphishing WG - Europol
                                                                              - Partecipazione a DCC & Progetti Europei

13/05/2014                                                      ABI Lab – Centro di Ricerca e Innovazione per la Banca                   13
La collaborazione ABI – Banche – Polizia di Stato
                          13 Dicembre 2010                                                  14 Aprile 2011
         Sottoscrizione della Convenzione ABI – Polizia di                  Lettera Circolare ABI “Azioni di sistema in
          Stato per la prevenzione dei crimini informatici                 materia di frodi informatiche“ che descrive le
         nel settore bancario italiano, per la definizione di               modalità di partecipazione delle banche al
           un piano di collaborazione per il contrasto del                 processo di scambio informativo (modulo di
           crimine informatico, prevedendo lo scambio in                   accettazione e schema generale di accordo)
              tempo reale delle informazioni rilevanti.

         OBIETTIVI                                                        ATTIVITÁ
             Scambio efficace delle informazioni                             partecipazione attiva mediante la
             Condivisione del quadro normativo                               definizione di un unico presidio telematico
             Strutturazione delle segnalazioni secondo                       di riferimento
             schemi condivisi                                                segnalazione tempestiva
             Analisi aggregate delle segnalazioni a scopi                    attivazione delle azioni di contrasto più
             investigativi e repressivi                                      opportune

                           Ad oggi la collaborazione è stata formalizzata dai principali gruppi bancari.
                   Altre banche si sono attivate per siglare la convenzione che avrà efficacia nei prossimi mesi.

        Nell’ambito della collaborazione ABI-Banche – Polizia di Polizia Postale, si inserisce la partecipazione attiva di
        ABI Lab nel progetto europeo OF2CEN, attraverso un contributo rilevante in fase di analisi dei requisiti
        tecnologici e operativi della piattaforma e di coinvolgimento delle banche.

13/05/2014                                                  ABI Lab – Centro di Ricerca e Innovazione per la Banca           14
Azioni di contrasto e prevenzione
                Strumenti di monitoraggio e controllo
                                                                          Monitoraggio e dotazione tecnologica (segmento Retail)*
                                                                                                                                                               Si conferma l’elevato livello di consapevolezza
                                                                           100%
                       * Campione variabile

                                                                                                                                                               del fenomeno del cybercrime da parte delle
                                                                                                                                                               banche, che si accompagna a un impegno
                                                                           80%
                                                                                                                                          65,2%
                                                                                                                                                               sempre crescente volto a massimizzare il blocco
                                                                                        62,5%
                                                                           60%                                                                                 e il contrasto delle frodi informatiche.
                                                                                                                41,7%
                                                                           40%
                                                                                                                                                                         Monitoraggio preventivo della rete
                                                                           20%                                                                                           (segmento Retail, 24 rispondenti)
                                                                                                                                                               100%
                                                                            0%                                                                                                                             83,3%
                                                                                     Strumenti per il   Analisi automatica dei   Monitoraggio della Rete
                                                                                                                                                                80%
Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche,

                                                                                      monitoraggio           log di accesso      per identificazione siti                                     70,8%
                                                                                  transazioni anomale    all'internet banking          contraffatti                         62,5%
                                                                                    (24 rispondenti)       (24 rispondenti)         (23 rispondenti)
                                                                                                                                                                60%
Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti

                                                                      •    Diffusione superiore al 60% di strumenti di monitoraggio                             40%
                                                                           delle transazioni e della rete; si prevede un aumento nei
                                                                           prossimi mesi del livello di diffusione, anche alla luce di                          20%
                                                                           quanto previsto dalle raccomandazioni BCE in materia.
                                                                      •    Si registra inoltre un generale incremento rispetto al      0%
                                                                                                                                          Servizio di segnalazione Partecipazione diretta a      Partecipazione a
                                                                           passato di attività di monitoraggio preventivo della rete,        e di early warning         community di        iniziative associative per
                                                                           con particolare riferimento alle iniziative associative per     acquisito dall'esterno   information sharing         la collaborazione
                                                                           la collaborazione intersettoriale, cui aderisce l’83,3% del                                                            intersettoriale

                                                                           campione.
                                                                                                        MIGLIORAMENTO DELLA SICUREZZA DI INTERNET BANKING
                                                                                                       TRAMITE MONITORAGGIO, CONTROLLO E COOPERAZIONE

13/05/2014                                                                                                                                        ABI Lab – Centro di Ricerca e Innovazione per la Banca            15
Contromisure tecnologiche di contrasto
              Ambito Retail
prevedere più strumenti di II fattore

                                                                          •     II livello di autenticazione: messo a disposizione dal 100% del campione
                                                                          •     II fattore di autenticazione: messo a disposizione dal 100% del campione
* Ciascun rispondente può

                                                                                                II fattore – Tecnologie (24 rispondenti)*
                                                                      OTP via hardware disconnesso dal pc                                                66,7%

                                                                                               OTP via SMS                                 37,5%

                                                                                   Tessera a combinazione                         25,0%

                                                                                    OTP via numero verde                      20,8%
                                                                                                                                                                                     II fattore – Disponibilità (24 rispondenti)*
                                                                              Mobile strong authentication             8,3%
Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche,

                                                                                                                                                                                     Adozione          Adozione
                                                                                Certificato di firma digitale          8,3%                                                         obbligatoria      facoltativa
                                                                                                                                                                                    per segmenti
                                                                                                                                                                                                     per tutta la
                                                                                         Certificato digitale        4,2%                                                            specifici di
                                                                                                                                                                                                       clientela
                                                                                                                                                                                      clientela
Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti

                                                                                                                                                                                          4,1%           4,1%
                                                                                                 Token card          4,2%

                                                                                                                0%          20%           40%      60%       80%        100%                                                Adozione
                                                                                                                                                                                                                          obbligatoria di
                                                                                                                                                                                                                           almeno una
                                                                                                                                                                                                                           tecnologia
                                                                                                                                                                                                                          per tutta la
                                                                      •       Il 91,8% dei rispondenti rende obbligatoria l’adozione di                                                                                     clientela
                                                                                                                                                                                                                             91,8%
                                                                              almeno una delle tecnologie messe a disposizione della
                                                                              clientela Retail
                                                                      •       Il 58% del campione mette a disposizione due tecnologie
                                                                      •       Il 13% del campione mette a disposizione tre tecnologie

13/05/2014                                                                                                                                                       ABI Lab – Centro di Ricerca e Innovazione per la Banca                16
Azioni di contrasto e prevenzione
                Sensibilizzazione della clientela                                                                                                                               1/2

                                                                                                                           In leggera diminuzione la % di utenti che dichiara di non
                                                                                                                           essere informato a sufficienza sul cybercrime (52% nel 2013,
                  Fonte: Cyber Security Report 2013

                                                                                                                           59% nel 2012).

                                                                                                                              In Italia il 33% degli utilizzatori dei servizi internet non ha
                                                                                                                              nessuna conoscenza del cybercrime (superiore alla media
                                                                                                                              europea, ma in diminuzione rispetto al 2012).
Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche,

                                                                                                                                             Attività informativa verso la clientela
Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti

                                                                                                                             100%         100%
                                                                      Molto diffuse presso le banche attività di
                                                                                                                              80%
                                                                      carattere informativo verso la clientela (100%
                                                                      via Internet Banking).                                  60%                            52%                50%

                                                                      Nelle campagne sensibilizzazione sono di solito         40%
                                                                                                                                                                                                                       25%
                                                                      rappresentati:
                                                                                                                              20%
                                                                          i rischi e le principali minacce informatiche;                                                                            4%
                                                                                                                               0%
                                                                          gli strumenti di protezione messi a                         Informativa sul Informativa presso   Informativa         Informativa via     Informativa via
                                                                                                                                    portale di internet      le filiali  contrattualistica   posta tradizionale         e-mail
                                                                          disposizione dalle banche;                                      banking       (25 rispondenti) (24 rispondenti)     (24 rispondenti)    (24 rispondenti)
                                                                                                                                     (25 rispondenti)
                                                                          regole e comportamenti per l’utente.

13/05/2014                                                                                                                  ABI Lab – Centro di Ricerca e Innovazione per la Banca                                               17
Azioni di contrasto e prevenzione
 Sensibilizzazione della clientela Retail                                                            2/2

                                               Dal 2007 ABI Lab, in collaborazione con banche, Polizia Postale e delle
                                               Comunicazioni e alcune Associazioni dei Consumatori, ha realizzato una
                                               doppia iniziativa di comunicazione verso i clienti per incrementare il livello di
                                               consapevolezza in merito al fenomeno delle frodi informatiche: un corso di
                                               formazione on line reso disponibile su una web area dedicata e un guida
                                               cartacea da distribuire ai consumatori.

                                                   • ~ 1.000.000 copie cartacee distribuite nel 2007/ 2008
                                                   • 53 Banche
                                                   • 6 Associazioni dei Consumatori

             Nell’ambito dell’iniziativa “I 30 Impegni per la Qualità”, PattiChiari ha
             definito una guida sulla sicurezza per illustrare le principali opportunità
             e minacce associate all’utilizzo dei servizi remoti offerti attraverso i
             canali diretti con l’obiettivo di innalzare ulteriormente la consapevolezza
             della clientela bancaria sul tema.

                  • ~ 1.400.000 copie cartacee distribuite nel 2010
                  • 103 Banche
                  • 13 Associazioni dei Consumatori

                    MAGGIORI INFORMAZIONI SUL CORRETTO UTILIZZO DEGLI STRUMENTI
13/05/2014                                                     ABI Lab – Centro di Ricerca e Innovazione per la Banca        18
Azioni di sensibilizzazione
   Documenti di raccomandazioni clientela Corporate
       Il Consorzio ABI Lab, con il contributo del Consorzio CBI, ha realizzato due documenti di
       raccomandazioni per un utilizzo sicuro dei servizi di Internet Banking, in fase di prossima veicolazione
       alle banche.
       Nel dettaglio:

       • Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela
         Corporate che utilizza i servizi di Internet Banking - Elementi di attenzione per
         le banche
                         Documento contenente alcuni consigli che si ritiene possano essere di ausilio alle
                         banche nel rafforzamento delle attività di presidio, contrasto e prevenzione delle
                         frodi, da adottare, in particolare, nei rapporti con la clientela Corporate che utilizza i
                         servizi di Internet Banking.

       • Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei
         servizi di Internet Banking
                         Documento rivolto direttamente alle aziende Corporate, condiviso anche con la
                         Polizia Postale e delle Comunicazioni e strutturato in tre sezioni:
                             policy aziendali
                             indicazioni per la protezione delle postazioni dalle quali viene svolta l’attività di
                             Internet Banking (PC utente)
                             buone pratiche di comportamento dell’utilizzatore dei servizi di Internet
                             Banking
13/05/2014                                                  ABI Lab – Centro di Ricerca e Innovazione per la Banca    19
Azioni di sensibilizzazione
   Documento di raccomandazioni verso la clientela Corporate
    Particolare attenzione merita il documento di raccomandazioni indirizzate alle aziende, così strutturato:

    • Policy aziendali
             Adottare una policy in materia di sicurezza informatica condivisa all’interno di tutta l’azienda
             Individuare preventivamente i dipendenti e le postazioni dalle quali vengono svolte le operazioni di IB
             Svolgere periodicamente iniziative di formazione interna all’azienda in materia di sicurezza informatica
             Utilizzare il canale alternativo di comunicazione e gli strumenti di II fattore messi a disposizione dalla banca
             Modificare costantemente le password di accesso ai servizi di IB

    • Indicazioni per la protezione delle postazioni (PC utente)
             Installare e aggiornare opportuni antivirus e impostare adeguati firewall
             Aggiornare periodicamente i sistemi operativi utilizzati sui PC utente
             Limitare la navigazione sul web e/o l’installazione di programmi non certificati
             Differenziare i profili degli utenti in base alle specifiche esigenze operative
             Se necessario per tutelare la sicurezza dell’azienda, svolgere le operazioni di IB da una postazione dedicata

    • Buone pratiche di comportamento rivolte all’utilizzatore dei servizi di IB
             Assumere un comportamento diligente relativamente alla conservazione di dati relativi a carte di
             pagamento, chiavi di accesso e altre informazioni dell’IB
             Collegarsi all’indirizzo internet della banca digitando l’indirizzo sul browser e non cliccando su link esterni

13/05/2014                                                   ABI Lab – Centro di Ricerca e Innovazione per la Banca             20
Conclusioni e prospettive future
       •     È sempre più importante per le banche mantenere presidi di sicurezza molto elevati che
             sappiano adeguarsi alle nuove tipologie di minacce presenti sulla scena del cybercrime e
             che tengano conto delle peculiarità dei diversi segmenti di clientela oggetto di frode;

       •     Si ritiene utile concentrare l’attenzione, per il comparto Retail, sui nuovi attacchi che
             mirano a compromettere i device mobili e le soluzioni di protezione per le transazioni su
             carte (sia prepagate sia di credito in modalità Card Not Present), mentre, per la clientela
             Corporate sulle azioni di rilevazione e contrasto delle transazioni anomale;

       •     Sarà necessario monitorare l’evoluzione del quadro normativo al fine di porre in essere le
             opportune attività di adeguamento, sempre più attente alle problematiche di sicurezza e
             alla lotta al crimine informatico;

       •     A livello generale e di sistema Paese si evidenzia la necessità di inquadrare opportune
             procedure di cooperazione e information sharing tra i diversi soggetti interessati nel
             percorso di attuazione della frode, a livello nazionale e internazionale.

13/05/2014                                             ABI Lab – Centro di Ricerca e Innovazione per la Banca   21
GRAZIE PER L’ATTENZIONE
Puoi anche leggere