Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative

Transcript

1 Frodi Bancarie ISSN 1972 e Sicurezza Executive Summary Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative ANNO 2016 DIVISIONE BANCHE 1

2 Frodi Banca Strategia, innovazione e finanza. Questi i tre elementi fondanti le attività del CeTIF Il Centro di Ricerca su Tecnologie, Innovazione e Servizi Finanziari (CeTIF) dal 1990 realizza studi e promuove ricerche sulle dinamiche di cambiamento strategico e organizzativo nei settori finanziario, bancario e assicurativo. Ogni anno CeTIF attiva più di 15 strutture di ricerca, quali Competence Centre e Osservatori, cui possono partecipare gli oltre professionisti che sono parte del network e organizza oltre 10 workshop dedicati a banche assicurazioni e aziende non finanziarie con l obiettivo di favorire fra i partecipanti lo scambio di esperienze e l adozione di pratiche innovative. Le attività di ricerca si focalizzano principalmente sugli effetti dello sviluppo di nuove strategie, sull innovazione normativa, sull approfondimento di prassi organizzative e di processo e sugli effetti dell introduzione dell innovazione tecnologica. Tra i partner istituzionali di CeTIF figurano: Banca d Italia, IVASS, ABI, ANBP, ANIA, AIPB e CONSOB. In seno a CeTIF è stato costituito il CEFIRS - Centre for European Financial Regulations Studies - un Osservatorio Permanente sulla regolamentazione nel settore finanziario, bancario e assicurativo. Inoltre è presente la struttura CeTIF Academy, scuola di Alta Formazione Universitaria, che si pone l'obiettivo di trasferire ai top e middle manager le conoscenze sviluppate in oltre vent anni di ricerca. Il CeTIF è, inoltre, socio fondatore del FIT: l Associazione europea dei centri di ricerca sulla finanza e l Information Technology. CeTIF - Università Cattolica Via San Vittore, Milano Tel Fax cetif@unicatt.it

3 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative ANNO 2016 DIVISIONE BANCHE Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative AUTORI: Federico Rajola Chiara Frigerio Francesco Simone Farina Pubblicato nel mese di aprile 2016 Copyright CeTIF. Tutti i diritti riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione di CeTIF. DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni. Si ringrazia IBM per la fattiva collaborazione prestata in fase di impostazione e realizzazione della ricerca. Con particolare riferimento a: Michele Destino Elisabetta Fisauli Giuliano Merlo 3

4 4 Rapporto di Ricerca Copyright CeTIF Tutti i diritti riservati. E vietata la riproduzione anche parziale del presente documento

5 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative EXECUTIVE SUMMARY Le tecnologie giocano ormai un ruolo fondamentale nella gran parte delle attività che svolgiamo nel nostro quotidiano, dall inviare una comunicazione all effettuare un acquisto. Anche le modalità di gestione delle relazioni banca-cliente e la fruizione dei servizi finanziari sono state fortemente influenzate dall avvento delle tecnologie 2.0. Queste relazioni si sviluppano ormai sempre di più attraverso una molteplicità di canali e ciò, coniugato con la diffusione delle tecnologie web, mobile e del Cloud Computing, con la progressiva affermazione del Bring Your Own Device (BYOD) e con l applicazione delle stesse ai servizi offerti dalle istituzioni bancarie, rende necessario un presidio puntuale di un moltiplicato numero di punti di accesso, anche esterni al perimetro tradizionalmente governato. Lo scopo è dunque garantire la massima sicurezza nell utilizzo degli applicativi bancari e nella disposizione di operazioni da qualsiasi dispositivo, oltre che una puntuale tutela dei dati e delle informazioni sensibili in essi contenuti. Le istituzioni finanziarie dovrebbero essere in grado di effettuare un monitoraggio real time sull insieme delle informazioni detenute e sulle transazioni disposte, predisponendo efficaci sistemi di difesa e prevenzione dai possibili tentativi di frode e di gestione ed investigazione degli incidenti verificatisi. La rivoluzione tecnologica della quale siamo spettatori ha infatti portato all evoluzione delle tipologie di frodi perpetrate, divenendo di fatto un vero e proprio fattore abilitante. L implementazione di un efficace processo di prevenzione e contrasto ai fenomeni fraudolenti da parte delle istituzioni finanziarie è essenziale per limitare gli effetti negativi indotti da tali meccanismi: dalla perdita economica per il cliente al costo crescente che le banche devono sopportare per gestire adeguatamente le conseguenze di una frode portata a termine, dalla grave perdita in termini di sicurezza di dati e sistemi alla pessima customer experience associata al verificarsi di un tentativo di frode. La ricerca, organizzata da CeTIF con il contributo di IBM, ha indagato le strutture organizzative, i framework operativi e gli strumenti tecnologici più indicati per il contrasto alle frodi. Nella analisi dell Anti-Fraud Management si è dunque definito un Fraud Operational Framework, ovvero un quadro complessivo di tutte le funzioni organizzative, le operazioni e le strutture organizzate puntualmente per favorire un approccio alla frode in grado di sfruttare tutti gli strumenti a disposizione, definendo i processi operativi ed i presidi di monitoraggio. Nel definire ciò, come primo punto sono state inquadrate tutte le unità organizzative che possono avere un ruolo nei processi antifrode, ovvero: Board and Audit Committee; Comitato rischi, CRO, Risk Management; Sicurezza Logica/Fisica; Internal Audit; Anti-Fraud Department; 5

6 Unità di Business; HR; Operations; Legal/Reclami; RRT (Rapid Response Team). Una volta definite le funzioni coinvolte, sono state definite le diverse fasi, di natura ciclica, attraverso le quali si sviluppa il Fraud Operational Framework, secondo lo schema mostrato in Figura 1. Avendo definito i compiti e le attività di ognuna delle singole fasi, si è poi passati ad assegnare le responsabilità di ciascuna fase alle strutture organizzative secondo lo schema RACI, ovvero: Responsible: colui che esegue materialmente l attività. Accountable: il responsabile ultimo dell attività. Deve essere univocamente assegnato, e può coincidere con altri ruoli (tipicamente il Responsible). Consulted: aiuta e collabora con il Responsible per l esecuzione dell attività. Informed: viene informato di tutto il processo. Figura 1 Le fasi del Fraud Operational Framework Fonte: CeTIF Rapporto di Ricerca Copyright CeTIF Tutti i diritti riservati. E vietata la riproduzione anche parziale del presente documento

7 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative Le fasi del Fraud Operational Framework sono state identificate e suddivise in attività specifiche. 1) FRAUD RISK ASSESSMENT Il Fraud Risk Assessment è uno strumento per l identificazione sistematica di come una frode possa avvenire e di chi possa trovarsi nella posizione di metterla in atto. Si concentra su schemi di frode e scenari per determinare la presenza e l efficacia dei controlli interni. Le attività principali del Fraud Risk Assessment sono generalmente quattro: A. Identificare i fattori rilevanti di rischio frode B. Identificare i potenziali schemi di frode e priorizzarli a seconda del rischio C. Mappare i controlli esistenti ed identificare i gap D. Documentare e sviluppare i report delle attività del Fraud Risk Assessment 2) DETERRENCE & PREVENTION Deterrence & Prevention hanno l obiettivo di strutturare tutte le misure, sia culturali che sotto forma di meccanismi, volte a scoraggiare e prevenire i tentativi di frode. In questa fase rientrano tutte le azioni intraprese per scoraggiare la messa in atto di una frode e limitare l esposizione alla frode stessa quando questa viene messa in atto. Le attività fondamentali di questa fase sono le seguenti: A. Instillare una forte cultura etica a tutti i livelli dell organizzazione B. Strutturare ed istituire meccanismi di prevenzione delle frodi tramite controlli interni, policy e procedure nei processi di business C. Istituire procedure di pre-employment screening, applicabili anche a consulenti, interinali e terze parti che lavorano per l organizzazione D. Strutturare un adeguato sistema sanzionatorio E. Predisporre strumenti per limitare e monitorare le attività 3) MONITORING & DETECTION Monitoring & Detection sono le fasi che hanno lo scopo di riconoscere che una frode è accaduta o sta accadendo. Le attività fondamentali della fase di Monitoring & Detection sono le seguenti: A. Identificare gli alert e le evidenze che un tentativo di frode è in corso, potrebbe accadere o è appena stato effettuato B. Istituire ed attivare gli eventuali RRT C. Attivare le azioni di escalation e le strumentazioni di protezione dalla frode, sia interna che esterna D. Attivare lo stato di Crisi 7

8 4) INVESTIGATION & REACTION L obiettivo di Investigation & Reaction è, una volta accertata la possibilità di una frode durante la fase precedente, determinare la perdita associata, quali sono le persone coinvolte e con quali modalità è stata perpetrata, per poi predisporre le reazioni adeguate. Le attività fondamentali di cui si compone questa fase sono le seguenti: A. Raccogliere indizi e prove B. Valutare le perdite effettive C. Identificare i responsabili D. Determinare le azioni da intraprendere una volta accertata la frode E. Analisi di ogni incidente di frode con Root Cause Analysis inclusa 5) DISCOVERY & TESTING La fase di Discovery & Testing ha l obiettivo principale di identificare i nuovi schemi di frode, valutare la bontà dei controlli esistenti e definire le nuove regole antifrode per poi testarne la predittività. Le attività comprese nella fase di Discovery & Testing sono le seguenti: A. Analisi esterna in termini di consapevolezza degli ultimi trend di frode B. Partecipazione a gruppi di lavoro di settore C. Definizione di un piano annuale di test dei controlli antifrode D. Esecuzione di test sui controlli identificati 6) DISCLOSURE & REPORTING Disclosure & Reporting consistono di tutte la varie comunicazioni orali, scritte, temporanee o conclusive, sia al termine che durante il processo antifrode. Include le ragioni per l inizio dell investigazione, le osservazioni, le conclusioni e le azioni correttive intraprese. Le attività che compongono questa fase sono principalmente le seguenti: A. Predisposizione del reporting periodico per gli organi aziendali B. Predisposizione del reporting periodico per le autorità di vigilanza C. Incident Report di ogni incidente 8 Rapporto di Ricerca Copyright CeTIF Tutti i diritti riservati. E vietata la riproduzione anche parziale del presente documento

9 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative Nella definizione dell assegnazione delle responsabilità, secondo lo schema RACI già citato in precedenza, sono stati strutturati tre differenti modelli. Il primo modello è il cosiddetto modello accentrato per le frodi esterne. La caratteristica fondamentale di questo modello è quella di concentrare la maggior parte delle responsabilità, sia operativa che sul risultato, nelle mani dell Anti-Fraud Department, l unità operativa dedicata, che è considerata Responsible e/o Accountable in tutte le fasi. Il secondo modello è il modello decentrato per le frodi esterne. Rispetto al modello precedente, è caratterizzato da una maggiore diffusione delle responsabilità alle altre unità organizzative diverse dall Anti-Fraud Department, pur senza negare la centralità di quest ultimo. In questo modello, l unità di Sicurezza logica/fisica e l unità di business sono considerate Responsible della maggior parte delle fasi. Il terzo modello è il modello per le frodi interne. A differenza degli altri due, riguardano dunque le frodi messe in atto da membri interni della Istituzione. Come struttura, è simile al modello accentrato, con la fondamentale differenza del maggior impiego dell Internal Audit e della funzione HR. Le unità di Anti-Fraud Department e Rapid Response Team sono state esaminate più approfonditamente. La prima è il dipartimento, con funzione operativa e di coordinamento, il cui obiettivo è quello di occuparsi della gestione delle frodi in una prospettiva estesa e del coordinamento delle strutture operative. Ha il compito di sovraintendere all intero processo operativo di gestione della frode. Per sua natura, esso è un unità specialistica e permanente, che riceve mandato ad operare dal Board e dalla Alta Direzione. Vista la sua importanza lungo tutto il processo di gestione delle frodi, dal Fraud Risk Assessment al Disclosure & Reporting anche i compiti operativi dell Anti-Fraud Department sono i più svariati, e toccano tutte le fasi del processo. I Rapid Response Team, invece, sono strutture non permanenti e non dedicate che vengono attivate ad operare su richiesta dall Anti-Fraud Department, in caso di sospette frodi o di analisi puntuali. Sono particolamente indicati per svolgere operativamente la fase di Investigation & Reaction, assicurando la raccolta di informazioni per poter analizzare la dinamica della frode, ma possono anche contribuire allo svolgimento di altre fasi del complesso processo anti-frode. Lo scopo degli RRT consiste nella risoluzione della frode nel minor tempo possibile e con decisione presa consultando le funzioni aziendali più impattate. La caratteristica fondamentale degli RRT è che, solitamente, assumono una forma collegiale e multidisciplinare, essendo composti da elementi ordinariamente inseriti in diverse funzioni aziendali. La pluralità di competenze è di assoluta cardinalità nella investigazione in quanto, oltre a sfruttare le skill e le conoscenze tipiche di ogni professionalità, permette la collaborazione fra le più varie unità limitando gli attriti tipici emergenti in queste circostanze. Infine, sono stati esaminati gli strumenti tecnologici a supporto dell antifrode, grazie al contributo di IBM. La visione IBM sul contrasto alle frodi si sostanzia nell IBM Counter Fraud Management un insieme integrato e modulare di specifiche tecnologie a supporto della catena di contrasto alle frodi che consente di ottenere miglioramenti radicali di efficacia ed efficienza delle risorse dedicate a tale attività, nonché di recuperare mancati introiti o costi sostenuti impropriamente. La soluzione IBM Counter Fraud Management, che è frutto dell'integrazione tra diverse tecnologie IBM, proprietarie e oggetto di acquisizioni, fornisce indicazioni operative per 9

10 l'identificazione di attività fraudolente, di crimini finanziari e transazioni improprie, definendo le azioni più opportune per fronteggiare eventi sintomatici di potenziali frodi. La soluzione IBM Counter Fraud Management segmenta il problema del contrasto alle frodi articolando il processo complessivo in cinque fasi principali: Detect, Respond, Investigate, Report, Discovery, che ricalcano piuttosto precisamente quelle descritte precedentemente. 10 Rapporto di Ricerca Copyright CeTIF Tutti i diritti riservati. E vietata la riproduzione anche parziale del presente documento

11 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative 11

12 12 Rapporto di Ricerca Copyright CeTIF Tutti i diritti riservati. E vietata la riproduzione anche parziale del presente documento

13 Frodi Bancarie e Sicurezza: Logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative In collaborazione con 13