Rischi e Opportunità nella gestione della sicurezza ecommerce Andrea Gambelli Head of Functional Analysis, Fraud, Test and Client Service Management Financial Services Division Roma, 3 Novembre 2011
AGENDA Introduzione ecommerce in Italia Principali rischi e soluzioni SIA e la gestione del rischio FINANCIAL INSTITUTIONS 2
Card Not Present (CNP): Differenti livelli di sicurezza Una transazione Card Not Present (CNP) è una transazione effettuata senza la presenza fisica di una carta presso il punto vendita. Si può trattare di un Mail Order/Telephone Order (MOTO) oppure di una Internet transaction. Quali sono quindi i principali rischi? Prima di tutto vanno considerati i diversi livelli di sicurezza possibili: Transazioni effettuate utilizzando solo Primary Account Number (PAN), nome titolare, data scadenza Transazioni effettuate utilizzando Primary Account Number (PAN), nome titolare, data scadenza, CVV2/CVC2/CAV2/4DBC Transazioni effettuate utilizzando 3DS Solutions. (Questa opzione è applicabile solo a transazioni internet) Il rischio principale è dato dalla mancata protezione dei dati utilizzati durante una transazione CNP. 3
Gli obiettivi della PCI-DSS Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato dal PCI Council ed adottato da Visa e MasterCard per aumentare la sicurezza dei dati a rischio di frode: Le norme PCI DSS si applicano wherever account data is stored, processed or transmitted. Account Data consist of Cardholder Data plus Sensitive Data Cardholder Data and Sensitive Data includono: Full magnetic stripe data or equivalent on a chip Primary Account Number (PAN) Cardholder Name Expiration Date Service Code CAV2/CVC2/CVV2 PINs/PIN blocks 4
AGENDA Introduzione ecommerce in Italia Principali rischi e soluzioni SIA e la gestione del rischio FINANCIAL INSTITUTIONS 5
La vendita online di prodotti cresce a tassi più sostenuti della vendita di servizi 7.000 mln di ecommerce Italia: +14% 6.000 5.000 4.000 1.128 1.183 +3% +22% 1.160 1.439 Altro Prodotti 3.000 +15% 2.000 3.452 3.983 Servizi 1.000 0 2009 2010 L ecommerce B2c in Italia * Source = School of Management Politecnico di Milano 15 Marzo 2011
Quasi l 85% dei pagamenti viene effettuato contestualmente all acquisto online tramite Carta di credito e Paypal * dati stimati Ripartizione sul valore delle vendite 20% 20% 10% 10% 2% Altro 1% 17% 16% Altro Vaglia Postale 1% Finanziamento 12% 13% 4% Contrassegno Paypal 8% Bonifico Bancario 70% 70% 71% 71% Carta di Credito 2007 2008 2009 2010* * Source = School of Management Politecnico di Milano L ecommerce B2c in Italia 15 Marzo 2011
Le frodi si riducono sia percentualmente sul totale transato sia in valore assoluto Per frode si intende +14% il disconoscimento della +0% transazione da parte del cliente +14% Frodi 5.032 mln di 5.754 mln di 5.763 mln di 6.582 mln di 0,23 % 12 mln circa 0% 0,2 % 12 mln circa -17% 0,17 % 10 mln circa -5% 0,14 % 9 mln circa 2007 2008 2009 2010* 2007 2008 2009 2010 L ecommerce B2c in Italia * Source = School of Management Politecnico di Milano 15 Marzo 2011
ma crescono le transazioni bloccate per sospetta frode con Turismo ed Informatica i settori più presi di mira * dati stimati Transazioni non conformi ai requisiti imposti dal sistema di controllo 3,3% Blocchi per sospetta frode nei comparti % ordini bloccati 0,41% 1,6 % Ordini 1,7% Ordini 0,04% 0,01% <0,01% <0,01% 2009 2010* L ecommerce B2c in Italia * Source = School of Management Politecnico di Milano 15 Marzo 2011
Più che buona la diffusione degli strumenti antifrode così come la valutazione della loro efficacia da parte dei merchant * dati stimati 85% 89% 85% 87% 90% 91% 50% 60% 35% 35% 14% 14% Adozione % iniziative del campione 2009 2010* Verified By Visa 4,3 2009 2010* Mastercard Secure code 4,3 2009 2010* CVV2 CVC2 CVA2 2009 2010* Paypal 2009 2010* 4DBC 2009 2010* Bank Pass Web 4,1 3,8 3,9 3 Efficacia Valutazione con una scala tra 1 e 5 Verified By Visa Mastercard Secure code CVV2 CVC2 CVA2 Paypal 4DBC Bank Pass Web The 3-digit SIA security code L ecommerce on the back B2c of in Italia your credit or debit card: Visa calls it CVV2, * Source MasterCard = School of calls Management it 15 CVC2. Politecnico Marzo 2011 JCB call it di the Milano CAV2.Amex call it 4DBC and it is a 4-digit security code on the front of your credit card.
AGENDA Introduzione ecommerce in Italia Principali rischi e soluzioni SIA e la gestione del rischio FINANCIAL INSTITUTIONS 11
Cross contamination: fraud attack on terminals Uno dei principali rischi di frodi è legato alla cosiddetta cross contamination tra i diversi canali di utilizzo carte. I dati infatti possono essere catturati durante una transazione fisica e poi utilizzati in un ambiente di CNP a bassa o media sicurezza. Un tipico esempio: Durante una transazione EMV uno shim device inserito da un truffatore all interno del lettore carta del POS, intercetta la comunicazione tra chip carta e terminale, catturando i dati di traccia2 contenuti nel chip (e anche il PIN, se viene usata la modalità di PIN Offline in chiaro). A questo punto il truffatore è in possesso di dati sufficienti per creare una carta a banda in grado di operare sia su un pos fisico che via internet (non sicuro). Come ci si può difendere da questo tipo di frode? Ad esempio utilizzando sempre quantità di sicurezza diverse tra dati chip e dati banda (icvv/chip CVC rispetto al CVV/CVC). 12
Best practices, full EMV solutions Gran parte delle frodi avvengono anche perchè gli obblighi/raccomandazioni dei Card Payment Schemes non sono omogenei a livello mondiale o sono implementati con ritardo a seguito degli elevati impatti di business che comportano. Alcuni esempi: Issuing Cards EMV Chip (and PIN?) cards icvv / Chip CVC implementati Uso di chip dinamici (che consentono l uso di PIN cifrato al posto del PIN offline in chiaro, eliminado il rischio di clonazione della firma statica della carta) Card Authorization Non consentire il Fallback (uso della banda magnetica quando il chip non funziona): Non consentire mai il PIN bypass Altri tipi di attacchi potrebbero essere evitati se tutti i dati chip EMV venissero inviati all Issuer (Terminal Verification Result, Card Verification Result, Cardholder Verification Method results). L analisi di questi dati durante il processo di autorizzazione permetterebbero di confermare che carta e terminale hanno la stessa visione della modalità di transazione. 13
Best practices, Fraud Tools e SMS alert Elemento fondamentale per combattere le frodi è poi un efficiente sistema di prevenzione frodi. Un sistema efficiente è quello che permette un giusto equilibrio tra la prevenzione delle frodi (massimizzandola) e l impatto di business per l esercente (minimizzandolo). Per ottenere il giusto mix, l utilizzo di sistemi di fraud prevention in modalità real time abbinati al servizio di SMS alert è fortemente raccomandato. A questo vanno associati costanti programmi di education verso gli esercenti/acquirers (sia negozi fisici che virtuali) e campagne di positiva sensibilizzazione verso i titolari. Il costo di tali sistemi/programmi è sicuramente elevato ma la possibilità di farne un utilizzo consortile e i benefici in termini di frodi risparmiate, garantiscono un ritorno dell investimento nel breve/medio periodo. 14
ecommerce Networks Solutions: 3DS La risposta di Visa e MasterCard all aumento delle transazioni internet e di conseguenza del rischio di frode è il sistema 3DSecure. Verified by Visa (VbV) e Secure Code (SC) sono i due nomi commerciali rispettivamente di Visa e MasterCard ed entrambi si basano su un protocollo chiamato 3D Secure. Di seguito sono rappresentate le tipiche fasi di una transazione VbV/SC effettuata da parte di un titolare di carta. 15
Soluzioni di pagamento per portali Internet Architettura della Soluzione fase 1 La registrazione del Titolare 2 1 Banca 3 4 1) Il titolare accede al portale della propria banca e sceglie di abilitare la carta al servizio VbV/SecureCode 2) Il portale della banca autentica il titolare che viene re-indirizzato verso l enrollment server dell Issuer/Provider 3) Il titolare inserisce i dati richiesti per il completamento della fase di enrollment 4) A conclusione della registrazione al servizio, il titolare ottiene le informazioni per poter utilizzare la propria carta su internet SSB
Architettura della soluzione fase 2 La fase di autenticazione e pagamento 1) il titolare effettua l acquisto su un sito di un esercente abilitato al VbV/SecureCode e inserisce i dati della carta nella pagina di pagamento; 2) il sito dell esercente si collega attraverso la componente Merchant Plug-In (MPI) al Directory Server di Visa/MasterCard 3) se la carta aderisce al servizio, l MPI invia una richiesta d autenticazione del titolare all ACS (Access Control Server) dell Issuer attraverso una redirect del browser del titolare; 4) l ACS richiede la password al titolare e la verifica; 5) l ACS restituisce un identificativo univoco della transazione (AVV) e l esito dell autenticazione all MPI attraverso una redirect del browser del titolare; 6) il Merchant Server Plug-in verifica la risposta dell ACS; 7) se l autenticazione ha avuto esito positivo, il sito dell esercente prosegue con il normale processo autorizzativo.
AGENDA Introduzione ecommerce in Italia Principali rischi e soluzioni SIA e la gestione del rischio FINANCIAL INSTITUTIONS 18
Un gruppo al centro del processing europeo Dati 2010 Competenze internazionali Dati Societari Personale Gruppo SIA 1,482 Ricavi Gruppo SIA 334 Millioni Transactions operazioni su carte (debito/credito) operazioni di incasso e di pagamento Carte/Esercenti Carte Merchants Dati trasportati sulla rete 4,9 miliardi 2,6 miliardi 62,4 millioni 1 millione 11,1 terabyte Azionisti Principali Gruppo Intesa San Paolo 30,6% Gruppo Unicredit 24.1% Gruppo MPS 5.8% BNP Paribas 4.2% Il Gruppo opera prevalentemente in Europa e ha recentemente acquisito importanti clienti in: Africa, Sud America, Medio Oriente. La copertura geografica complessiva si estende in 40 Paesi. 19
the Network of Excellence SIA Il gruppo si compone di sette società con specializzazioni proprie e presidi europei ed extra-europei. 20
L offerta SIA per l ecommerce Il processing per le carte Servizi di issuing e acquiring modulari, flessibili e personalizzati per la gestione delle carte a partire dalla fase di allineamento archivio carte alla fase autorizzativa. VbV/ SecureCode Issuing Il servizio 3D Secure offerto da SIA consente a un titolare di carta Visa o Mastercard di acquistare in piena sicurezza presso un esercente online @POS La soluzione di POS virtuale E la soluzione di Pos virtuale, multicanale realizzata da SIA al fine di fornire alla propria clientela un prodotto sicuro e innovativo, dotato di servizi competitivi e a valore aggiunto. VAS per le frodi Nell ambito della propria esperienza, SIA mette a disposizione della Clientela soluzioni complete per la prevenzione delle frodi e le successive attività di contrasto.
I valori della soluzione SIA La soluzione è valida sia per le carte di debito/credito che prepagate Soluzione complementare ed integrata ai servizi di processing carte già in essere Offerta modulare e personalizzabile in funzione delle necessità della banca in modalità white-label Soluzione non invasiva rispetto alle procedure in uso presso la Banca Soluzione 3D Secure completa sia lato Issuing sia lato Acquiring
SIA propone un offerta Full Service, integrando le soluzioni IT per la gestione delle frodi con una proposta di back office Il Call Center Fraud è una struttura in grado di contattare direttamente il titolare su delega Cliente al fine di indagare sull operatività delle carte, Servizio di Blocco Carte tramite Call Center opera 24 ore su 24, 7 giorni su 7 Call Center Services Authorisation Strategy Lo Scudo Autorizzativo consente di negare le autorizzazioni i cui parametri ricadano in quelli identificati come potenzialmente fraudolenti Il competence center di SIA è in grado di gestire le diverse segnalazioni provenienti dai Sistemi di Fraud Prevention e Detection e di mettere in atto tempestivamente le contromisure necessarie Il servizio di Dispute Management è una soluzione con la quale l Issuer delega al competence center di SIA gli aspetti legati al rapporto con le controparti e con i Circuiti Internazionali Fraud Analysis Services Dispute Management Advanced Detection of Fraud Alerting & Reporting Diverse soluzioni di Fraud Detection : soluzioni Rule Based e Neurali, in modalità Real Time e Near Real Time fornite a decine di Clienti nazionali ed internazionali Servizi dedicati di Alerting & Reporting per l inoltro di messaggi SMS e soluzioni webbased per le funzioni di Inquiry relative alla movimentazione delle Carte.
www.sia.eu - info@sia.eu andrea.gambelli@sia.eu - +39 02 6084 4371