ATTIVITA DI RICERCA 2015 Frodi bancarie e sicurezza: logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative PROPOSTA DI ADESIONE 1
TEMI E MOTIVAZIONI Le tecnologie giocano ormai un ruolo fondamentale nella gran parte delle attività che svolgiamo nel nostro quotidiano, dall inviare una comunicazione all effettuare un acquisto. Anche le modalità di gestione delle relazioni banca cliente e la fruizione dei servizi finanziari sono state fortemente influenzate dall avvento delle tecnologie 2.0 La diffusione delle tecnologie web, mobile, del Cloud Computing, la progressiva affermazione del Bring Your Own Device (BYOD), e l applicazione delle stesse ai servizi offerti dalle istituzioni bancarie rendono necessario un presidio puntuale di un moltiplicato numero di punti di accesso, anche esterni al perimetro tradizionalmente governato, e implicano la gestione di una molteplicità di canali e modalità di relazione con il cliente. Lo scopo è garantire la massima sicurezza nell utilizzo degli applicativi bancari e nella disposizioni di operazioni da qualsiasi dispositivo, oltre che una puntuale tutela dei dati e delle informazioni sensibili in essi contenuti. Le istituzioni finanziarie dovrebbero essere in grado di effettuare un monitoraggio real time sull insieme delle informazioni detenute e sulle transazioni disposte, predisponendo efficaci sistemi di difesa e prevenzione dai possibili tentativi di frode e di gestione ed investigazione degli incidenti verificatisi. La rivoluzione tecnologica della quale siamo spettatori ha infatti portato all evoluzione delle tipologie di frodi perpetrate, divenendo di fatto un vero e proprio fattore abilitante: la frode bancaria è sempre più di frequente sinonimo di frode IT. L implementazione di un efficace processo di prevenzione e contrasto ai fenomeni fraudolenti da parte delle istituzioni finanziarie è essenziale per limitare gli effetti negativi indotti da tali meccanismi: dalla perdita economica per il cliente al costo crescente che le banche devono sopportare per gestire adeguatamente le conseguenze di una frode portata a termine, dalla grave perdita in termini di sicurezza di dati e sistemi alla pessima customer experience associata al verificarsi di un tentativo di frode. OBIETTIVI E OUTPUT Sulla base delle premesse appena esposte, il CeTIF propone di sviluppare un progetto di ricerca denominato: Frodi bancarie e sicurezza: logiche di prevenzione, monitoraggio e gestione alla luce delle nuove normative La ricerca si propone di individuare le tipologie di frodi bancarie maggiormente diffuse nel mercato bancario italiano, analizzando gli strumenti, le dotazioni tecnologiche e le logiche di implementazione di strutture e processi in grado di prevenire e contrastare efficacemente il verificarsi di fenomeni fraudolenti. Oltre a ciò, verranno svolti alcuni approfondimenti circa le best practice relative alle modalità di gestione ed investigazione degli incidenti riconducibili a frodi effettivamente compiute. Attraverso la ricerca sarà possibile: aprire un tavolo di confronto tra i responsabili antifrode e gli analisi organizzativi, gli auditor, i risk manager e i responsabili della sicurezza, al fine di favorire un proficuo scambio relativo alle principali caratteristiche del fenomeno fraudolento nelle banche, ai trend emergenti e alle possibilità modalità di gestione; individuare le tipologie di frode maggiormente diffuse nel mercato bancario per definirne tratti comuni ed elementi distintivi; 2
mappare le differenti logiche e modalità di svolgimento del processo di prevention, detection e investigation dei fenomeni di frode potenziale, individuando best practice, approcci diffusi e gli impatti delle recenti normative; analizzare gli strumenti tecnologici e sistemi di business intelligence a disposizione delle istituzioni finanziarie per un efficace svolgimento delle attività di fraud management, anche in logica predittiva; studiare i modelli di reporting e audit per un controllo costante del fenomeno fraudolento e dell efficacia dei sistemi adottati. Il progetto si completerà con la realizzazione di un report riportante le principali evidenze emerse nel corso dell attività di ricerca: le caratteristiche delle tipologie di frode maggiormente diffuse nel sistema bancario italiano; i modelli organizzativi, i sistemi di competenze e le logiche di processo adottate dalle banche al fine di prevenire, contrastare e gestire le tipologie di frode individuate; gli elementi distintivi degli strumenti tecnologici e dei sistemi di business intelligence implementabili dalle banche; le logiche utilizzate per costruire i modelli di reporting e audit per il monitoraggio del fenomeno fraudolento. Le attività saranno organizzate all interno di tre gruppi di lavoro tra ricercatori CeTIF e istituzioni partecipanti e due eventi sulla base del seguente programma: PROGRAMMA DELLE ATTIVITA 22* settembre 2015 Canali, tecnologie, tipologie di frode e impatti della normativa Nel primo incontro di kick off saranno presentati i temi, gli obiettivi, gli output attesi e le modalità di realizzazione del progetto di ricerca, con l obiettivo di condividerli con i rappresentanti del mondo bancario presenti al tavolo di lavoro. Quindi si procederà ad analizzare i principali fenomeni di frode bancaria diffusi nel mercato, in correlazione alle differenti tipologie di canale e tecnologia ad oggi utilizzabili dalla clientela per accedere ai servizi bancari. Si procederà inoltre ad una disamina delle principali normative vigenti (PSD 2, ESMA Joint Committee Reports, ), facendo anche riferimento a quelle in prossima approvazione. Tra i temi oggetto della giornata: mappatura dei canali e dei sistemi di autenticazione utilizzati dai clienti per fruire dei servizi bancari analisi delle differenti tipologie di frode correlabili ai canali di contatto e alle tecnologie utilizzate framework normativo di riferimento, con riferimento alle norme vigenti e a quelle di prossima approvazione. 3
27* ottobre 2015 Il processo di gestione delle frodi: ruoli, attività e modelli organizzativi Sulla base delle tipologie di frode individuate nel corso del primo incontro, la seconda giornata permetterà di analizzare quelle che sono le implicazioni di processo nella loro gestione. Tra i temi oggetto della giornata: modelli organizzativi, ruoli e sistemi di competenze implicati nello svolgimento delle azioni antifrode prevention, detection e investigation: il processo di gestione delle frodi bancarie analisi degli approcci maggiormente diffusi nel mercato, di quelli con carattere d innovazione e delle principali best practices 26* novembre 2015 Prevenire e gestire la frode: strumenti e tecnologie Il terzo incontro avrà come focus l analisi degli strumenti e delle tecnologie che le banche utilizzano e prevedono di utilizzare nel prossimo futuro per una gestione sempre più efficace dei fenomeni di frode e, in particolare, per la prevenzione del verificarsi degli stessi. Tra i temi oggetto della giornata: caratteristiche, punti di forza e di debolezza degli strumenti e delle tecnologie di sicurezza logica e protezione dei sistemi (es. strumenti di monitoraggio real time degli accessi ai sistemi e ai servizi ) prevenire la frode: i sistemi di business intelligence e l utilizzo di dati non strutturati e provenienti da fonti informative esterne (Big Data & Analytics) tecnologie per la gestione del rischio di frode e il governo dei punti di accesso alla banca: strumenti di riconoscimento biometrico, firma digitale e logiche di autenticazione modelli di reporting e audit per il governo della frode * le date indicate potrebbero essere soggette a modifiche MODALITA DI SVOLGIMENTO Gli incontri si svolgeranno secondo la formula del dibattito universitario, che implica una completa simmetria dei rapporti tra i partecipanti e una partecipazione attiva, orientata al confronto. I tavoli di lavoro potranno articolarsi in modo differente secondo il tema trattato e prevedere: la presentazione e discussione di testimonianze e casi di studio in ambito finanziario, coinvolgendo dunque anche realtà che non siedano al tavolo di lavoro; il coinvolgimento di attori di mercati differenti da quello finanziario al fine di favorire un analisi delle best practice proprie di mercati differenti; la partecipazione di docenti universitari ed esperti con competenze specifiche sugli argomenti trattati. CeTIF coordinerà le attività di ricerca e la produzione degli output, sovrintendendo gli aspetti di metodo scientifico ed elaborando i contenuti degli incontri. Il rapporto di ricerca, riportante i principali risultati e considerazioni frutto delle analisi effettuate e realizzato sulla base dei diversi contributi portati dai partecipanti e degli approfondimenti sul tema svolti dai ricercatori CeTIF, sarà reso disponibile ai soli aderenti al Competence Centre. 4
Il programma di ricerca è indirizzato ai responsabili antifrode, agli analisti organizzativi e agli auditor, ai risk manager e ai responsabili della sicurezza informatica delle realtà bancarie italiane. Per ogni istituzione aderente possono partecipare un massimo di 3 persone, una delle quali è tenuta a partecipare ai lavori in maniera continuativa. A tali figure è richiesto un contributo attivo e di valore aggiunto sui contenuti del Competence Centre, inclusa la preparazione di documenti a supporto alle discussioni. La richiesta di partecipazione dovrà essere inviata a CeTIF entro il 15 settembre utilizzando il modulo allegato. PARTECIPANTI E MODALITA DI PARTECIPAZIONE Per maggiori informazioni contattare la Segreteria Organizzativa CeTIF: tel. +39 02 72342590 e mail: cetif@unicatt.it web: www.cetif.it 5
CETIF (Centro di Ricerca in Tecnologie, Innovazione e Servizi Finanziari) dal 1990 si occupa di definire, sviluppare e promuovere progetti che hanno l'obiettivo di esplorare le innovazioni strategico organizzative applicate al mondo della finanza di banche e assicurazioni. L'analisi dell'innovazione permette di comprendere le dinamiche evolutive del mercato, delle organizzazioni e dell'impatto che nuovi strumenti informativi hanno sui processi decisionali e operativi. L'approccio indipendente, accademico e orientato a valore per gli Aderenti contraddistinguono i lavori di ricerca di CeTIF. Il CeTIF collabora con le principali società di analisi e ricerche di mercato italiane e internazionali, con le associazioni industriali, ed è socio fondatore del FIT: l'associazione europea dei centri di ricerca sulla finanza e l'information Technology. Nel comitato di Programma del CeTIF figurano esponenti dei principali attori di mercato del sistema finanziario italiano, oltre a rappresentanze delle istituzioni di vigilanza. Maggiori informazioni all indirizzo www.cetif.it 6