Reati informatici, frodi e frodi interne - quali sono e come assicurarsi - Andrea Marega Financial Lines Manager
Sommario I reati informatici: frode e responsabilità civile professionale I principali reati informatici: la frode informatica altri reati informatici i più diffusi esempi di frode informatica Phishing Pharming SMishing altre comuni modalità fraudolente Come difendersi Le frodi in Italia La soluzione assicurativa 2
I principali reati informatici: la frode informatica La definizione di frode informatica è stata introdotta in Italia dalla Legge 23/12/1993 n. 547 recante norme in materia di criminalità informatica: Art. 640-ter del Codice Penale: Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico e telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito Rispetto all art. 640 (truffa), da cui il 640-ter deriva, è stata eliminata la dizione "con artifizi e raggiri inducendo taluno in errore". 3
I principali reati informatici: altri reati informatici Art. 615-ter del Codice Penale: l accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha diritto di escluderlo, è punito Art. 615-quater del Codice Penale: detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde comunica o consegna codici, parole chiave o altri mezzi idonei all accesso ad un sistema informatico o telematico protetto da misure di sicurezza o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito 4
I principali reati informatici: altri reati informatici Art. 615-quinquies del Codice Penale: diffusione di programmi diretti a danneggiare o interrompere un sistema informatico Chiunque, diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l interruzione, totale o parziale, o l alterazione del suo funzionamento, è punito Art. 640-ter del Codice Penale: la falsificazione del contenuto di comunicazione informatica Chiunque, al fine di procurare a sé o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi, è punito 5
Phishing Il phishing è una frode informatica realizzata con l'invio di email contraffatte finalizzate all'acquisizione, per scopi illegali, di informazioni personali come dati personali, numeri di conto corrente, password dei servizi di home banking, ecc. Modalità più diffuse: email di banche email di siti commerciali già usati in precedenza email di siti istituzionali email con offerte di lavoro spamming (messaggi pubblicitari non autorizzati) 6
Pharming Il pharming - evoluzione del fishing - consiste nel dirottamento dell'utente da un sito internet ufficiale ad un sito internet pirata appositamente creato per carpire i dati personali della vittima. Modalità più diffuse: compromissione del DNS di un Internet Service Provider Il malintenzionato, con sofisticate tecniche di intrusione, modifica gli abbinamenti tra il dominio e l'indirizzo IP corrispondente a quel dominio: gli utenti connessi a quel ISP così, pur digitando il corretto indirizzo URL, verranno inconsapevolmente reindirizzati ad un server trappola appositamente predisposto per carpire le informazioni con l'ausilio di programmi malaware (trojan o spyware) o tramite altro accesso diretto, viene fatta una variazione nel personal computer della vittima. 7
SMishing Lo SMishing è una frode informatica simile al phishing che si realizza non via email ma via SMS. Modalità più diffuse: invito a collegarsi ad un sito web per scaricare qualcosa di gratuito; il collegamento attiva la truffa invito ad effettuare una chiamata telefonica dove una voce solitamente pre-registrata chiede informazioni personali e dati sensibili 8
Altre comuni modalità fraudolente I Virus, programmi che una volta attivati possono rovinare o alterare i dati memorizzati su un computer o eseguire altre operazioni fraudolente. I Trojan, virus che si nascondono all interno di programmi apparentemente innocui e che una volta attivati possono raccogliere informazioni o aprire collegamenti con l esterno all insaputa dell utente. Gli Spyware, programmi che raccolgono informazioni sulle attività via internet di un utente senza il suo consenso. I Worm, virus in grado di autoreplicarsi far uso programmi eseguibili; solitamente non compromotteno l hardware ma ne pregiudicano il buon funzionamento. Possono anche fungere da veicolo per l installazione di malaware. 9
Come difendersi (persone fisiche) verificare l estensione https che significa connessione ad un area protetta aggiornare periodicamente i software di sicurezza (antivirus, antispyware, firewall, ecc.) diffidare dalle richieste di dati personali controllare periodicamente il proprio estratto conto 10
Come difendersi (persone giuridiche) aggiornare i sistemi informatici adottare aggiornati sistemi di prevenzione e controllo frodi fare controlli interni (internal audit; risk management; ente preposto alla sicurezza aziandale; ecc.) commissionare controlli esterni (società di revisione) adottare un codice etico ed un codice di condotta fare delle rotazioni di staff laddove possibile adottare sistemi di whistle bowing (raccolta di denunce anonime) fare formazione sulla prevenzione delle frodi ASSICURARSI 11
Le frodi in Italia Le frodi sono una delle principali minacce al business INDIPENDENTEMENTE dal settore di appartenenza, dalle dimensioni di una società e dal Paese di appartenenza. Negli ultimi 12 mesi in Italia il 19% delle aziende ha riscontrato almeno 1 caso di frode. Fonte: The Global Economic Crime Survey 2009 PriceWaterhouseCoopers 12
Le frodi in Italia Rispetto ad alcuni anni fa il fenomeno pur restando su livelli di attenzione è meno preoccupante che in altri Paesi. 13
Le frodi in Italia I settori più coinvolti sono: servizi finanziari (29%), comunicazioni (18%), manifatturiero, retail & consumer e energetico (12%). Per quanto riguarda le tipologie: 14
Le frodi in Italia Nei casi in cui più gravi gli autori delle frodi sono: personale dell azienda (49%) soggetti esterni (28%) fornitori o partners (3%) altri soggetti con cui l azienda NON intrattiene rapporti (20%) 15
Le frodi in Italia I costi diretti per le imprese: $ 100.000 nel 52% dei casi $ 100.000 - $ 500.000 nel 29% dei casi una minoranza dichiara costi superiori a $ 1.000.000 Più difficile quantificare i costi indiretti tra cui bisogna considerare: la reputazione ed il brand la quotazione in Borsa motivazione del personale relazioni d affari relazioni con le Autorità di Controllo 16
Le soluzioni assicurative Le assicurazioni a copertura dei rischi frode: polizze BBB per le banche con estensione Attività Bancaria su Internet, polizze specifiche a copertura della frode informatica, 17
La soluzione assicurativa le assicurazioni a copertura dei rischi di responsabilità civile: polizze di responsabilità civile professionale informatica 18
La soluzione assicurativa 19
I sinistri ASSICURATO EVENTO DANNO Banca Infedeltà promotori da qualche migliaia di a qualche milione Banca Banca Società informatica Frode su carte di debito (bancomat) Frode su carte di credito Malfunzionamento del software commissionato (E&O) da qualche centinaia di a diversi milioni da qualche centinaia di a diversi milioni da qualche migliaia di in su 20
I sinistri 21
I sinistri 22
Esempi di eventi dannosi subiti dalle aziende esempio 1 (fonte : ACE) FRODE - Tipo azienda : Tipologia danno : Area colpita : Funzione : File a rischio : Danno immediato : Sinistro : Indennizzo : Gruppo Bancario / fornitura elettrica Falla nei sistemi di sicurezza (Cybercrime) Pagamenti on-line bollette elettricità Comunicazioni con il maggior fornitore di energia elettrica. 2,5 milioni, corrispondenti a clienti costretti a sostituire le loro carte di credito anticipatamente (a spese della banca) - Su 7.000 files perdita di riservatezza, e 2.500 files con perdite da prelievi fraudolenti. Complessivamente 13 milioni (stima) Assente per assenza di copertura informatica 23
Esempi di eventi dannosi subiti dalle aziende esempio 2 (fonte : ACE) DOLO DIPENDENTE - Tipo di azienda : Tipologia di danno: Area colpita : Parte a rischio : Causa : Danno : Meccanismo : Azienda privata Dolo di dipendente (programmatore) Sistema contabile e banche dati Integrità sistema Modifica sw contabile 4,1 milioni (in 3 anni) Il programmatore si accorge di un bug nel sw di gestione contabile, ne approfitta compilando una modifica nei sorgenti he trasferiscono frazioni di fondi in un conto bancario estero. 24
Esempi di eventi dannosi subiti dalle aziende esempio 3 (fonte : ACE) FRODE - Tipologia di azienda : Azienda che gestisce un servizio di geolocalizzazione su telefono cellulare. Tipologia di danno : Utilizzo fraudolento della funzione : «invia il contenuto con SMS «Area colpita : Parte dei sistemi di gestione necessari a gestire il servizio SMS Effetti : Malware sul sito Internet chiede in automatico l invio di SMS. Danno diretto : Costo di indagine e disinfestazione 50.000 Danno indiretto : Fatturazione del costo di 150.000 SMS + perdite di fatturato pari a 1/10 dell intero fatturato annuo. Brand Defence : Spese per campagna di marketing defence 25
Esempi di eventi dannosi subiti dalle aziende esempio 4 (fonte : ACE) FRODE da INFEDELTA - Tipologia di azienda : Tipologia di danno : Area colpita : Causa : Effetti : Grande distribuzione (calzature). Pagamenti su conto sconosciuto Contabilità interna. Dipendente contabilità infedele. Perdite contabili durante 5 anni. Danno diretto : Costo di indagine 5.000 + false fatturazioni di 750.000, Indennizzo: Recupero : Assenza di copertura assicurativa. Nessuno dipendente dedito al gioco d azzardo. 26
Esempi di eventi dannosi subiti dalle aziende esempio 5 (fonte : ACE) FRODE - Tipo di azienda : Tipologia di danno: Area colpita : Funzione : File a rischio : 200.000 Danno subito : Operatore di servizi web Intrusione informatica con frode Attribuzione costi telefonici Deviazione costi da telefonino a telefono fisso Su 80 files (numeri telefonici) Sinistro : Complessivamente 1.500.000 Indennizzo : Meccanismo : Brand defence : Complessivamente 100.000 (massimale assicurato) perdita secca pari a 1,4 milioni La possibilità di deviazione di costi telefonici tra carrier di telefonia mobile e una falla nella security dell operatore ha consentito una operazione di cybercrime con frode sull attribuzione dei i costi telefonici a clienti inconsapevoli. Gli 80 clienti non sono stati avvisati, il conto è stato pagato dall operatore di servizi web. 27
Grazie per la vostra attenzione 28