Innovazione tecnologica e sistema dei pagamenti: il punto di vista del regolatore

Transcript

1 Innovazione tecnologica e sistema dei pagamenti: il punto di vista del regolatore Roma, 29 settembre 2011 Domenico Gammaldi Servizio Supervisione sui Mercati e sul Sistema dei Pagamenti 1

2 Agenda Il sistema dei pagamenti: definizione e componenti Obiettivi e strumenti della regolamentazione La componente IT nella disciplina dei servizi di pagamento (PSD) Audit e Sorveglianza nell allegato tecnico Il dibattito sulla sicurezza IT fra i regolatori 2

3 Il sistema dei pagamenti: definizione e componenti Obiettivi e strumenti della regolamentazione La componente IT nella disciplina dei servizi di pagamento (PSD) Audit e Sorveglianza nell allegato tecnico Il dibattito sulla sicurezza IT fra i regolatori 3

4 Il sistema dei pagamenti: una realtà complessa Insieme di di strumenti, delle procedure e dei dei circuiti di di collegamento volti a realizzare il il passaggio della moneta da da un un operatore a un un altro al al fine di di consentire lo lo scambio di di beni e servizi; la la gestione e/o e/o emissione fa fa capo a banche, istituti di di pagamento, fornitori di di tecnologia che operano in in via via diretta e/o e/o indiretta e possono operare all interno del del sisteme o come sottoinsiemi 4

5 Attività OTC Sistema di compensazione Titoli Prestatore servizi di pagamento: banca Fornitore IT Sistemi pagamento al dettaglio CCP Servizi di rete Prestatore servizi di pagamento: Ist. di pag. Mercato titoli Mercato Interbancario IT Provider T2 Circuiti carte 5

6 Il pagamento: un opzione americana Strumenti Canali Terminali Reti SDD ATM Fisici Rete privata Consumatore SCT CC POS PC Banca consumato re Virtuali Rete pubblica Rime sse Telefono 6

8 Perché una regolamentazione Poorly designed and operated FMIs can contribute to and exacerbate systemic crises if the risks of these systems are not adequately managed, with the result that financial shocks are passed from one participant or system to others. The effects of such a disruption could extend well beyond the FMIs and their participants, threatening the stability of domestic and international financial markets and the broader economy. In contrast, robust FMIs have been shown to be an important source of strength in financial markets, giving market participants the confidence to fulfil their settlement obligations on time, even in periods of market stress. BIS

9 La sorveglianza sul sistema dei pagamenti Obiettivi La Banca d Italia esercita la sorveglianza sul sistema dei pagamenti avendo riguardo al suo regolare funzionamento, alla sua affidabilità ed efficienza nonché alla tutela degli utenti di servizi di pagamento. (Art. 146 Testo Unico Bancario); Motivazioni a) asimmetrie informative su rischi e condizioni (tempi e costi); b) esternalità negative (livello di fiducia per l utilizzo di strumenti di pagamento); c) coordination failures (standard, interoperabilità, innovazione tecnologica) 9

10 La sorveglianza sul sistema dei pagamenti AFFIDABILITA contenimento dei rischi che possono compromettere o influenzare negativamente il funzionamento dei sistemi di pagamento e la fiducia del pubblico negli strumenti di pagamento TUTELA DEGLI UTENTI protezione nel continuo del singolo utilizzatore (consumatore, impresa, PA) EFFICIENZA Tempestività nell offerta dei servizi, economicità e ptaticità per gli utilizzatori; vantaggi per per i mercati finanziari e per l'economia 10

11 La realizzazione di detti obiettivi,, è legata anche al corretto funzionamento delle piattaforme tecniche, delle procedure e delle regole interne al sistema dei pagamenti. Per questo motivo, le.disposizioni di attuazione costituiscono un vincolo anche per i gestori di circuiti di pagamento nonché per i fornitori di servizi di supporto alla prestazione di servizi di pagamento (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 11

13 Affidabilità Sicurezza Presidi ai rischi Tecnologia Nuovi rischi Innovazione Efficienza 13

14 Payment Service Directive ( ) Definisce la cornice giuridica armonizzata per l offerta di servizi di pagamento nel mercato interno Decreto Legislativo n. 11 (27/1/2010) I Definizioni e ambito di applicazione II Diritti e obblighi delle parti Attuazione Titolo II D.Lgs 11 Servizi di pagamento (Diritti ed obblighi delle parti) 1 ottobre 2011 III Istituti di pagamento IV Trasparenza delle condizioni contrattuali e obblighi informativi Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza - Allegato Tecnico V Modifiche alla legislazione e disposizioni transitorie 14

15 I prestatori di servizi di pagamento che decidano di osservare i requisiti di sicurezza indicati (nell allegato) possono chiedere alla Banca d Italia che i relativi strumenti siano inclusi in una lista pubblica. Al fine di incentivare il ricorso a modalità di pagamento connotate da elevati profili di affidabilità, in caso di utilizzo indebito degli strumenti inclusi nella lista pubblica la clientela può giovarsi di forme di responsabilità attenuata. 15

16 I prestatori di servizi di pagamento nell interlocuzione con la clientela devono richiamare: a) le clausole contrattuali che disciplinano l utilizzo dei servizi e degli strumenti di pagamento che prevedono il ricorso a codici di sicurezza; b) l esigenza di rispettare i termini contrattuali volti a dare particolari garanzie di utilizzo sicuro; c) l obbligo di assumere un comportamento diligente nell utilizzo di tali servizi e strumenti. 16

17 Per favorire la diffusione dei servizi e degli strumenti di più elevata qualità sotto il profilo della sicurezza, è prevista la riduzione delle responsabilità dell utilizzatore che scelga i prodotti aventi le caratteristiche di sicurezza individuate nell allegato tecnico fatti salvi i casi in cui l utilizzatore abbia agito con dolo o colpa grave ovvero non abbia adottato le misure idonee a garantire la sicurezza dei dispositivi personalizzati che consentono l utilizzo dello strumento di pagamento (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 17

18 Per i servizi di pagamento fruibili in ambiente internet, al fine di prevenire utilizzi fraudolenti, è necessario che i prestatori di servizi di pagamento aderiscano a piattaforme tecniche che consentano ai propri clienti di effettuare pagamenti in rete in condizioni di elevata sicurezza. Avuto riguardo agli obiettivi di regolare funzionamento del sistema dei pagamenti nonché di tutela della fiducia degli utilizzatori, i prestatori di servizi di pagamento assicurano che le soluzioni tecniche adottate per l esercizio dell attività siano presidiate gestendo i rischi associati alle tecnologie utilizzate (malfunzionamenti nei sistemi e nei processi informatizzati interni; difetti delle procedure software e dei sistemi operativi; guasti dei componenti hardware;limitata capacita dei sistemi di elaborazione e trasmissione;vulnerabilità delle reti di telecomunicazione;debolezza del sistema dei controlli e delle misure di sicurezza; sabotaggi; attacchi da parte di soggetti esterni; tentativi di frode). (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 18

19 I prestatori di servizi di pagamento a) devono essere in grado nell ambito del processo di gestione dei rischi - di identificare, valutare, misurare, monitorare e mitigare le minacce di natura tecnologica. In particolare, è necessario individuare un insieme di misure di sicurezza e di controlli appropriati, in grado di assicurare gli obiettivi di confidenzialità, integrità, disponibilità dei sistemi informativi e dei dati ad essi associati; deve inoltre essere prevista l esecuzione di fasi di verifica teorica e pratica della vulnerabilità dei presidi di sicurezza con relativa revisione periodica del processo stesso. b) definiscono: i) un adeguato insieme di presidi di sicurezza logica e fisica per i sistemi informativi; ii) un efficace processo di controllo interno; iii) un appropriato piano di continuità operativa; iv) una gestione dei rapporti contrattuali con i fornitori esterni coerente con i vincoli posti a carico dei prestatori di servizi di pagamento. (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 19

21 Strumenti di più elevata qualità Gli organi aziendali assicurano, nell ambito delle rispettive competenze, la conformità ai requisiti necessari perché lo strumento di pagamento possa essere qualificato a maggiore sicurezza, mediante una specifica validazione (assessment). I risultati dell assessment devono essere a portati a conoscenza e approvati dagli organi aziendali competenti. 21

22 Strumenti di più elevata qualità Rapporto di valutazione Prevenire furti di identità Minimizzare rischio di frodi 22

23 Autenticazione multifattore Autenticazione del dispositivo del PSP Autorizzazione on-line delle transazioni Crittografia end-to-end Autorizzazione singola transazione Canale out-of-band Aggiornamento del software Controlli in sede di gestione dello strumento di pagamento Controlli per il contrasto di attacchi complessi (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 23

24 .Controlli in grado di rilevare tempestivamente transazioni sospette o attività inusuali potenzialmente riconducibili a furto di identità o frode (e.g. ripetute transazioni di trasferimento fondi eseguite entro un ristretto periodo di tempo verso lo stesso beneficiario e per importi prossimi ai massimali consentiti; cambio di indirizzo richiesto dell utente, a cui fa seguito a stretto giro la richiesta di riemissione di PIN/password da consegnare attraverso il servizio postale; innalzamento dei massimali richiesti dall utente, a cui fa seguito una improvvisa movimentazione di fondi verso controparti inusuali). In tali casi il PSP riscontra prontamente con l utilizzatore l autenticità di tali transazioni ovvero dispone il blocco cautelativo. (Provvedimento di attuazione Titolo II D.Lgs 11- Servizi di pagamento - Diritti ed obblighi delle parti) 24

25 Il sistema dei pagamenti: definizione e componenti Obiettivi e strumenti della regolamentazione La componente IT nella disciplina dei servizi di pagamenti (PSD) Audit e Sorveglianza nell allegato tecnico Il dibattito sulla sicurezza IT fra i regolatori 25

26 Carte di pagamento e chip Scenario Spostamento delle frodi su Internet, cross-border (banda magnetica), terminali europei non migrati. Target dell attacco i sistemi che memorizzano/processano i dati di massa delle carte (grandi merchant, processor, banche issuer/acquirer) Circuiti: Norme più stringenti per carte e terminali EMV da (autenticazione carta dinamica, PIN cifrato, no fall-back) Diffusione progressiva degli standard di sicurezza (PCI-DSS, 3D- Secure) e relativo assessment/certificazione.visa ha annunciato la promozione di carte chip-emv anche negli USA Attività EPC/banche:Definizione di standard funzionali e di sicurezza comuni per tutta l area SEPA Definizione di un framework di certificazione della sicurezza armonizzato per carte/atm/pos a livello europeo basato su standard ISO Common Criteria (es: POS certificato in Francia è riconosciuto sicuro negli altri stati UE e quindi adottato per ogni schema e per ogni paese della SEPA). Eurosistema Assessment circuiti carte secondo framework condiviso a livello Eurosistema con riferimento a Legal compliance, Trasparenza, Sicurezza Tecnica, Governance, Proicedure di Clearing e settlement SEPA progress report: richiesto alle banche di introdurre state-of-art authentication per transazioni CNP (end 2012). Problema: definizione livelli qualità Token 26

27 On-line payments Scenario Attacchi ai Token Crescita esponenziale di Maleware/Virus per credenziali di autenticazione Accesso ai conti e nuove modalità operative (gli overlay services) Temi Sicurezza dei Token (vedi attacco a RSA) Crescita esponenziale di Maleware/Virus tesi a carpire le credenziali di autenticazione (attacchi MITMA, MITBA), phishing Overlay services EPC/banche a) nuovi modelli di business e specifiche funzionali per servizi di e-banking evoluti e interoperabili. b) definizione standard di sicurezza minimi per gli aderenti Attività Autorità Finanziarie: Assessment degli schemi di pagamento SCT/SDD secondo un Framework condiviso con riferimento a: Legal compliance, Trasparenza, Sicurezza Tecnica, governance; Procedure di Clearing e Settlement. Monitoraggio evoluzione del mercato e degli standard. Scambio info tra autorità di Vigilanza/Sorveglianza a livello mondiale su incidenti di sicurezza (gruppo ITSG); Forum SecurePay a livello Europeo. 27

28 Mobile payments Scenario (proximity/remote mobile payments): settore in veloce evoluzione, soprattutto sotto la spinta dei Telco Operators, ma i prodotti e le infrastrutture non hanno ancora la maturità dei prodotti bancari in tema di sicurezza Sicurezza a) dei canali radio proximity (NFC) e Remote (GSM UMTS); b) delle infrastrutture Telco e di interfaccia con mondo bancario; c) del Secure Element (SIM, SD, etc..) e del download di applicazioni sul Terminale attraverso strati software e canali untrusted. d) Soggetti Trusted di sistema (TSM) in grado di interfacciare/integrare i vari stakeholders. EPC/banche insieme alla associazione degli operatori TELCO (GSMA) sta definendo modelli di business e specifiche di interoperabilità (White Paper). Manca tuttavia ancora una chiara definizione del framework di sicurezza. Attività Standard Bodies (ISO, etc..): Stanno completando la definizione di standard tecnici per l intera catena transazionale. L ISO sta lavorando a uno standard di sicurezza per l intera architettura di mobile payments (certificazione dei componenti e assessment dei processi). Eurosistema Monitoring del processo di standardizzazione e indicazioni di policy all EPC; Sviluppo di uno specifico Oversight Framework per l assessment di schemi di e-money Definizione di Guide per la Vigilanza delle Payment Institutions 28

29 Il coordinamento fra funzioni: il SecurePay (European Forum on security of retail payments) Scopo condividere conoscenze sulla sicurezza dei sistemi di pagamento tra le diverse autorità (Vigilanza bancaria e Sorveglianza sui sistemi di pagamento). Possibile definizione di Linee guida di sicurezza armonizzate a livello europeo Focus Pagamenti retail da remoto: on-line banking; Card Not Present (e-commerce, transazioni MO/TO). Metodologia gruppi di lavoro internazionali, workshop con operatori e stakeholders, centri ricerca etc Output Possibile definizione di guideline di sicurezza con riferimento a: 1) Autenticazione utente; 2) Autorizzazione della transazione; 3) Non ripudio; 4) Protezione dei dati Argomenti Robustezza degli strumenti di autenticazione (es: OTP, Token, smart card); Standard di sicurezza esistenti (ISO 27001, PCI-DSS, 3D-Secure, SSL ) Migrazione al chip EMV; Procedure di fraud management; Blocchi e controlli procedurali (spending limit, geo-segmentation, time-window, PC fingerprint..) 29

30 Temi di attualità Cosa offrono Facilitano il pagamento dei prodotti/servizi venduti interponendosi fra il cliente, che opera sul sito del venditore, e la propria banca. Acquisite tutte le credenziali per l accesso ai servizi di Internet banking, senza che il cliente debba uscire dal sito del venditore, perfezionano la transazione di pagamento senza che la banca sappia che chi effettua la disposizione di pagamento (bonifico) non è il titolare del conto. Overlay Service Provider (OSP) Quali rischi Frode per utilizzo improprio credenziali Reputazionali per la banca Di fiducia del pubblico negli internet payments 30

31 Temi di attualità Cloud: rischi noti su scala diversa Disponibilità/dipendenza dalla Rete Sicurezza dei dati: storage, cancellazione, accessi 31