Banking Analytics Customer Analytics e Fraud Management Milano, 13 maggio 2014 Come preveniree contrastarele frodisu Internet e Mobile Banking Monica Pellegrino Research Analyst, ABI Lab Consorzio ABI Lab Centro di Ricerca e Innovazione per la Banca
Agenda Le evoluzioni del quadro normativo in materia di sicurezza Lo scenario delle frodi informatiche nel settore bancario italiano Le attività istituzionali e di settore sui temi di sicurezza Azioni di contrasto e sensibilizzazione ABI Lab Centro di Ricerca e Innovazione per la Banca 1
Il quadro di riferimento Crescente attenzioneda parte delle istituzionidi riferimento a livello nazionaleed europeoin merito ai rischi informatici e all esigenza di garantire elevati livelli di sicurezza nella realizzazione di pagamenti da remoto e nella gestione dei dati, come testimoniato dal recente fermento normativo in materia. emanato in corso di emanazione Le principali evoluzioni normative con impatti sulla gestione della sicurezza e del rischio informatico in banca investono principalmente gli ambiti di: Sicurezza degli accessi e dei servizi di pagamento PaymentService Directive e recepimento a livello nazionale Raccomandazioni BCE sulla sicurezza dei pagamenti internet + Assessment Guide BCE Raccomandazioni BCE sulla sicurezza dei servizi di accesso ai conti di pagamento Raccomandazioni BCE sulla sicurezza dei pagamenti Mobile Sicurezza nel trattamento di dati e informazioni bancarie Provvedimento Autorità Garante per la Privacy per la circolazione delle informazioni bancarie e il trattamento dei dati bancari Valutazione del rischio informatico e correlazione con la gestione del rischio operativo Disposizioni di vigilanza prudenziale di Banca d Italia in materia di sistema dei controlli interni, sistema informativo e continuità operativa ABI Lab Centro di Ricerca e Innovazione per la Banca 2
Gli impatti sulle banche e le attività associative a supporto RACCOMANDAZIONI BCE IN TEMA DI PAGAMENTI INTERNET Realizzazione di un assessment specifico dei rischi Ricorso a strumenti di strong authentication in fase di accesso ai servizi Implementazione di procedure efficaci in merito all autorizzazione e monitoraggio delle transazioni per identificare comportamenti anomali e prevenire le frodi Promozione di iniziative di sensibilizzazione della clientela PAYMENT SERVICE DIRECTIVE (PSD) Responsabilità in caso di pagamenti non autorizzati Accesso ai conti di pagamento a opera di terze parti RACCOMANDAZIONI BCE SUI SERVIZI DI ACCESSO AI CONTI DI PAGAMENTO Impatti indiretti sulle banche, in relazione al livello di sicurezza dei soggetti terzi che intervengono Corretta individuazione di compiti e responsabilità in caso di transazioni anomale ABI e ABI Lab hanno rappresentato le esigenze delle banche alle istituzioni competenti attraverso: raccolta di feedbacke osservazioni all interno dei Position Paperinviati in risposta alle consultazioni approfondimenti verticali nei tavoli di lavoro europei (EBF, EPC) sui punti critici evidenziati ABI Lab Centro di Ricerca e Innovazione per la Banca 3
AssessmentGuide BCE in materia di sicurezza dei pagamenti Internet (1/2) Il documento Assessment guide forthe security ofinternet payments è stato pubblicato dal Forum SecurePay il 4 febbraio 2014. http://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinternetpayments201402en.pdf DESTINATARI DELLA GUIDA Autorità locali di vigilanza e di sorveglianza dei sistemi di pagamento incaricati di valutare il rispetto delle Raccomandazioni BCE in materia di sicurezza dei pagamenti Internet. OBIETTIVO GENERALE Supportare i supervisori nel valutare la compliancealle raccomandazioni sulla sicurezza dei pagamenti Internet. Garantire che le valutazioni siano armonizzatee efficienti in tutta l'ue/eeaallo scopo di facilitarele autorità di vigilanza e/o sorveglianza nel confronto e/o aggregazionedei risultatidi tutti gli Stati Membri. ABI Lab Centro di Ricerca e Innovazione per la Banca 4
Assessment Guide BCE in materia di sicurezza dei pagamenti Internet (2/2) CONTENUTI DELLA GUIDA Elenco delle domandeda usare per l assessmentdi ogni KC e BPe ulteriori indicazioniper garantire che alla domanda sia data una risposta sufficientemente dettagliata e coerente. Le domandeelencate non sono da considerarsi prescrittive, altre opzionipotrebbero essere altrettanto soddisfacenti per il raggiungimento di un livello accettabile di conformità; Elenco, non esaustivo, dei documenti a supporto che potrebbero essere utilizzati nella valutazione della conformità con le Raccomandazioni; Le situazionidescritte sono generiche: alcuni aspetti potrebbero non essere di rilievo per tutti i PSP o le Autorità di governo. AI DESTINATARI DELLE RACCOMANDAZIONI: È richiesto che rispettino le Raccomandazioni o che siano in grado di spiegare e giustificare ogni cambiamento; È auspicabile che adottino le best practice; È necessario che rispondano alle domande dell assessment riportate nella guida; È richiesto che tutte lerisposte ela documentazione a supporto, una volta che la valutazione è in corso, per quanto possibile, siano presentate in formato elettronico. ABI Lab Centro di Ricerca e Innovazione per la Banca 5
Disposizioni di Vigilanza Prudenziale di Banca d Italia Aggiornamento Titolo V: principali evidenze PRINCIPI DI FONDO DELLA NORMATIVA coinvolgimento vertici aziendali Approfondimenti dei capitoli visione integrata dei rischi 8 e 9 in corso nei tavoli di efficienza ed efficacia dei controlli lavoro ABI Lab applicazione delle norme in funzione della dimensione e della complessità operativa Fonte: Fonte: Comunicato Stampa Banca d Italia http://www.bancaditalia.it/media/comsta/2013/20130703_disp_vig.pdf PRINCIPALI ELEMENTI DI NOVITÀ focus capitoli 8 e 9 Definizione dei compiti e delle responsabilità degli organiaziendali con funzione di supervisione strategica, gestione e controllo. Introduzione di una disciplina in materia di esternalizzazionedelle funzioni aziendali e del sistema informativo Con riferimento al capitolo 8 sui sistemi informativi, la disciplina è stata integralmente rivista, disciplinando: governance e organizzazione del sistema informativo gestione del rischio informatico requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati presidi di sicurezza per l accessoa sistemi e servizi critici tramite il canale internet, recependo le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet Con riferimento al capitolo 9 sulla continuità operativa, la normativa riorganizza le disposizioni attualmente contenute in diverse fonti in un unico titolo del documento, introducendo le seguenti novità: ridefinisce le modalità di gestione delle crisi all interno del sistema finanziario, definendo il processo di escalation formalizza il ruolo del CODISE, quale struttura di coordinamento presieduta da Banca d'italia ABI Lab Centro di Ricerca e Innovazione per la Banca 6
Agenda Le evoluzioni del quadro normativo in materia di sicurezza Lo scenario delle frodi informatiche nel settore bancario italiano Le attività istituzionali e di settore sui temi di sicurezza Azioni di contrasto e sensibilizzazione ABI Lab Centro di Ricerca e Innovazione per la Banca 7
Il fenomeno delle frodi informatiche Il contesto di riferimento *Fonte: ABI Lab e School of Management Politecnico di Milano, Osservatorio Mobile Banking **Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti; elaborazione sul numero medio di accessi per utente attivo Aumento negli ultimi anni dell offerta e dell utilizzo di servizierogati tramite Internet e Mobile Banking: banche che offrono servizi via Mobile: +25% dal 2011 al 2013* accessi ai servizi di Internet Banking**: 873 milioni per clientela Retail (+ 18,4 % rispetto al 2012) Crescente utilizzo dei canali a distanza non sempre accompagnato, da parte della clientela, da una adeguata conoscenzadei rischie delle azioni di prevenzione in grado di ridurli. Evoluzione dello scenario delle frodi informatiche parallelamente al contesto tecnologico di riferimento attacchi sempre più sofisticati (28,1 % di attacchidi tipo man in the browser) È importante evolvere strumentie tecnologie di contrasto e prevenzione dei crimini informatici in funzione dell evoluzione degli attacchi. Necessario rafforzare le azioni di sensibilizzazione della clientela sul tema. ABI Lab Centro di Ricerca e Innovazione per la Banca 8
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti Il fenomeno delle frodi informatiche Furto di credenziali e danno economico ambito Retail Anticipazione primi risultati del 2013: Stima di 873 milioni di accessiall Internet Banking A livello complessivo, riduzionedi episodi di furto di credenziali di accesso ai servizi di Internet Banking. Non si registrano per il 2013 casi di sottrazione delle credenziali di accesso ai servizidi Mobile Banking. % clienti attivi Retail che hanno subito un danno economico (trend 2005-2012) 1 caso ogni 1.000.000 accessi % clienti attivi Retail vittima di furto di credenziali (trend 2005 2012) Anticipazione primi risultati del 2013: Lieve incremento della percentuale di clientivittima di frode e che conseguentemente ha perso denaro. Il rapporto tra numero di clienti che hanno perso denaro e che hanno perso le credenziali è di 2,48%, a conferma di un efficace azione di blocco e contrasto. ABI Lab Centro di Ricerca e Innovazione per la Banca 9
Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti Il fenomeno delle frodi informatiche Furto di credenziali e danno economico ambito Corporate Anticipazione primi risultati per il 2013: Stima di circa 281 milioni di accessi. A livello del campione complessivo, si registra un aumentodella percentuale dei clienti attivi Corporate che hanno perso le credenziali, a conferma dell attenzione crescente dei criminali verso tale segmento di clientela. Non si registrano per il 2013 casi di sottrazione delle credenziali di accesso ai servizispecifici di Mobile Banking. % clienti attivi Corporate che hanno subito un danno economico (trend 2005 2012) % clienti attivi Corporate vittima di furto di credenziali (trend 2005 2012) Anticipazione primi risultati per il 2013: Al contrario, risulta nel 2013 in lieve diminuzionela percentuale relativa dei clienti che hanno perso denaro maggiore efficacia delle azioni di contrasto e prevenzione I maggiori volumi economici perduti sono relativi a frodi verso la clientela Corporate ABI Lab Centro di Ricerca e Innovazione per la Banca 10
Agenda Le evoluzioni del quadro normativo in materia di sicurezza Lo scenario delle frodi informatiche nel settore bancario italiano Le attività istituzionali e di settore sui temi di sicurezza Azioni di contrasto e sensibilizzazione ABI Lab Centro di Ricerca e Innovazione per la Banca 11
Le attività di ricerca e approfondimento di ABI Lab Business Continuity Sicurezza e Frodi Informatiche PROMUOVERE L INNOVAZIONE Back office bancari Documento elettronico Intranet Processi e Organizzazione Green Banking Mercati dell Energia Energie Rinnovabili ABI Lab approfondisce i principali temi di interesse delle banche attraverso tavoli di confronto tra referenti di banche e aziende consorziate. Contact Center Mobile Banking Architetture IT Information Governance Telecomunicazioni Supporto standard fondi ABI Lab - Centro di Ricerca e Innovazione per la Banca 12
Le attività operative e di ricerca in materia di Sicurezza e Frodi Informatiche OSSERVATORIO SICUREZZA E FRODI INFORMATICHE Presidio continuativosui temi di sicurezza informatica e fraudmanagementin banca, con particolare attenzione ai canali di Internet e Mobile Banking, realizzato attraverso: Attività di ricerca SURVEY e REPORT ANNUALE Collaborazioni istituzionali BOLLETTINO TECNICO MENSILE Workshop e attività di comunicazione Riunioni del tavolo tecnico composto da: 44 banche/outsourcer + Poste Italiane Partner ICT Polizia Postale e delle Comunicazioni COMMUNITY PRESIDIO.INTERNET Community interbancaria, avviata con lettera circolare ABI dell 11 marzo 2009,per lo scambio di informazioni e per la collaborazione informale con le Forze dell Ordine Comunicazioni: 1 a 1 1 a molti 1 a tutti Community costituita da: 370 referenti banche/outsourcer + Poste Italiane Polizia Postale e delle Comunicazioni Operatori TLC mobili LE COLLABORAZIONI A LIVELLO INTERNAZIONALE IT FraudWorkingGroup (Federazione Bancaria Europea) European FI-ISAC Financial Institutions Information Sharing and Analysis Centre (ENISA) ISSG/CISEG Information Security Support Group/Cybercrime Information Sharing Expert Group (European Payments Council) EECTF EuropeanElectronic Crime Task Force (Poste Italiane, Polizia Postale, USSS) Altri network: -Membri di AntiphishingWG -Europol -Partecipazione a DCC & Progetti Europei ABI Lab Centro di Ricerca e Innovazione per la Banca 13
La collaborazione ABI Banche Polizia di Stato 13 Dicembre 2010 Sottoscrizione della Convenzione ABI Polizia di Stato per la prevenzione dei crimini informatici nel settore bancario italiano, per la definizione di un piano di collaborazione per il contrasto del crimine informatico, prevedendo lo scambio in tempo reale delle informazioni rilevanti. 14 Aprile 2011 Lettera Circolare ABI Azioni di sistema in materia di frodi informatiche che descrive le modalità di partecipazionedelle banche al processo di scambio informativo (modulo di accettazione e schema generale di accordo) OBIETTIVI Scambio efficace delle informazioni Condivisione del quadro normativo Strutturazionedelle segnalazionisecondo schemi condivisi Analisi aggregatedelle segnalazioni a scopi investigativi e repressivi ATTIVITÁ partecipazione attivamediante la definizione di un unico presidio telematico di riferimento segnalazione tempestiva attivazione delle azioni di contrastopiù opportune Ad oggila collaborazione è stata formalizzatadai principali gruppi bancari. Altre banche si sono attivate per siglare la convenzione che avrà efficacia nei prossimi mesi. Nell ambito della collaborazione ABI-Banche Polizia di Polizia Postale, si inserisce la partecipazione attiva di ABI Lab nel progetto europeoof2cen, attraverso un contributo rilevante in fase di analisi dei requisiti tecnologici e operativi della piattaforma e di coinvolgimento delle banche. ABI Lab Centro di Ricerca e Innovazione per la Banca 14
Azioni di contrasto e prevenzione Strumenti di monitoraggio e controllo * Campione variabile Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti Monitoraggio e dotazione tecnologica (segmento Retail)* 100% 80% 60% 40% 20% 0% 62,5% Strumenti per il monitoraggio transazioni anomale (24 rispondenti) 41,7% Analisi automatica dei log di accesso all'internet banking (24 rispondenti) 65,2% Monitoraggio della Rete per identificazione siti contraffatti (23 rispondenti) Diffusione superiore al 60% di strumenti di monitoraggio delle transazioni e della rete; si prevede un aumentonei prossimi mesi del livello di diffusione, anche alla luce di quanto previsto dalle raccomandazioni BCE in materia. Si registra inoltre un generale incrementorispetto al passato di attività di monitoraggio preventivo della rete, con particolare riferimento alle iniziative associative per la collaborazione intersettoriale, cui aderisce l 83,3% del campione. Si conferma l elevato livello di consapevolezza del fenomeno del cybercrime da parte delle banche, che si accompagna a un impegno sempre crescente volto a massimizzare il blocco e il contrastodelle frodi informatiche. 100% Monitoraggio preventivo della rete (segmento Retail, 24 rispondenti) 62,5% MIGLIORAMENTO DELLA SICUREZZA DI INTERNET BANKING TRAMITE MONITORAGGIO, CONTROLLO E COOPERAZIONE 80% 60% 40% 20% 0% Servizio di segnalazione e di early warning acquisito dall'esterno 70,8% Partecipazione diretta a community di information sharing 83,3% Partecipazione a iniziative associative per la collaborazione intersettoriale ABI Lab Centro di Ricerca e Innovazione per la Banca 15
Contromisure tecnologiche di contrasto Ambito Retail * Ciascun rispondente può prevedere più strumenti di II fattore Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti II livello di autenticazione: messo a disposizione dal 100% del campione II fattore di autenticazione: messo a disposizione dal 100% del campione OTP via hardware disconnesso dal pc II fattore Tecnologie (24 rispondenti)* OTP via SMS Tessera a combinazione OTP via numero verde Mobile strong authentication Certificato di firma digitale Certificato digitale Token card 4,2% 4,2% 8,3% 8,3% 25,0% 20,8% 37,5% 66,7% 0% 20% 40% 60% 80% 100% Il 91,8% dei rispondenti rende obbligatoria l adozione di almeno una delle tecnologie messe a disposizione della clientela Retail Il 58%del campione mette a disposizione due tecnologie Il 13% del campione mette a disposizione tre tecnologie II fattore Disponibilità (24 rispondenti)* Adozione obbligatoria per segmenti specifici di clientela 4,1% Adozione facoltativa per tutta la clientela 4,1% Adozione obbligatoria di almeno una tecnologia per tutta la clientela 91,8% ABI Lab Centro di Ricerca e Innovazione per la Banca 16
Azioni di contrasto e prevenzione Sensibilizzazione della clientela 1/2 Fonte: Cyber Security Report 2013 In leggera diminuzione la % di utenti che dichiara di non essere informato a sufficienza sul cybercrime (52% nel 2013, 59% nel 2012). In Italia il 33% degli utilizzatori dei servizi internet non ha nessuna conoscenza del cybercrime(superiore alla media europea, ma in diminuzione rispetto al 2012). Fonte: Fonte: ABI Lab, Osservatorio Sicurezza e Frodi Informatiche, Rilevazione sulle Frodi Identitarie 2014, 25 rispondenti Molto diffuse presso le banche attività di carattere informativo verso la clientela (100% via Internet Banking). Nelle campagne sensibilizzazione sono di solito rappresentati: i rischi e le principali minacce informatiche; gli strumenti di protezione messi a disposizione dalle banche; regole e comportamenti per l utente. 100% 80% 60% 40% 20% 0% 100% Informativa sul portale di internet banking (25 rispondenti) Attività informativa verso la clientela 52% 50% Informativa presso le filiali (25 rispondenti) Informativa contrattualistica (24 rispondenti) 4% Informativa via posta tradizionale (24 rispondenti) 25% Informativa via e-mail (24 rispondenti) ABI Lab Centro di Ricerca e Innovazione per la Banca 17
Azioni di contrasto e prevenzione Sensibilizzazione della clientela Retail 2/2 Dal 2007 ABI Lab, in collaborazione con banche, Polizia Postale e delle Comunicazioni e alcune Associazioni dei Consumatori, ha realizzato una doppia iniziativa di comunicazione verso i clienti per incrementare il livello di consapevolezza in merito al fenomeno delle frodi informatiche: un corso di formazione on line reso disponibile su una web area dedicata e un guida cartacea da distribuire ai consumatori. ~ 1.000.000 copie cartacee distribuite nel 2007/ 2008 53 Banche 6 Associazioni dei Consumatori Nell ambito dell iniziativa I 30 Impegni per la Qualità, PattiChiari ha definito una guida sulla sicurezza per illustrare le principali opportunità e minacce associate all utilizzo dei servizi remoti offerti attraverso i canali diretti con l obiettivo di innalzare ulteriormente la consapevolezza della clientela bancaria sul tema. ~ 1.400.000 copie cartacee distribuite nel 2010 103 Banche 13 Associazioni dei Consumatori MAGGIORI INFORMAZIONI SUL CORRETTO UTILIZZO DEGLI STRUMENTI ABI Lab Centro di Ricerca e Innovazione per la Banca 18
Azioni di sensibilizzazione Documenti di raccomandazioni clientela Corporate Il Consorzio ABI Lab, con il contributo del Consorzio CBI,ha realizzato due documenti di raccomandazioni per un utilizzo sicuro dei servizi di Internet Banking, in fase di prossima veicolazione alle banche. Nel dettaglio: Azioni di contrasto e prevenzione delle frodi nei confronti della Clientela Corporate che utilizza i servizi di Internet Banking -Elementi di attenzione per le banche Documento contenente alcuni consigli che si ritiene possano essere di ausilio alle banche nel rafforzamento delle attività di presidio, contrastoe prevenzionedelle frodi, da adottare, in particolare, nei rapporti con la clientela Corporate che utilizza i servizi di Internet Banking. Azioni di sensibilizzazione della Clientela Corporate per un utilizzo sicuro dei servizi di Internet Banking Documento rivolto direttamente alle aziende Corporate, condiviso anche con la Polizia Postale e delle Comunicazioni e strutturato in tre sezioni: policy aziendali indicazioni per la protezione delle postazioni dalle quali viene svolta l attività di Internet Banking (PC utente) buone pratiche di comportamento dell utilizzatore dei servizi di Internet Banking ABI Lab Centro di Ricerca e Innovazione per la Banca 19
Azioni di sensibilizzazione Documento di raccomandazioni verso la clientela Corporate Particolare attenzione merita il documento di raccomandazioni indirizzate alle aziende, così strutturato: Policy aziendali Adottare una policy in materia di sicurezza informatica condivisaall interno di tutta l azienda Individuare preventivamente i dipendenti e le postazioni dalle quali vengono svolte le operazioni di IB Svolgere periodicamente iniziative di formazione interna all azienda in materia di sicurezza informatica Utilizzare il canale alternativo di comunicazione e gli strumenti di II fattore messi a disposizione dalla banca Modificare costantemente le password di accesso ai servizi di IB Indicazioni per la protezione delle postazioni (PC utente) Installare e aggiornare opportuni antivirus e impostare adeguati firewall Aggiornare periodicamente i sistemi operativi utilizzati sui PC utente Limitare la navigazione sul web e/o l installazione di programmi non certificati Differenziare i profili degli utenti in base alle specifiche esigenze operative Se necessario per tutelare la sicurezza dell azienda, svolgere le operazioni di IB da una postazione dedicata Buone pratiche di comportamento rivolte all utilizzatore dei servizi di IB Assumere un comportamento diligente relativamente alla conservazione di dati relativi a carte di pagamento, chiavi di accesso e altre informazioni dell IB Collegarsi all indirizzo internet della banca digitando l indirizzo sul browser e non cliccando su link esterni ABI Lab Centro di Ricerca e Innovazione per la Banca 20
Conclusioni e prospettive future È sempre più importante per le banche mantenere presidi di sicurezza molto elevati che sappiano adeguarsi alle nuove tipologie di minacce presenti sulla scena del cybercrimee che tengano conto delle peculiarità dei diversi segmenti di clientela oggetto di frode; Si ritiene utile concentrare l attenzione, per il comparto Retail, sui nuovi attacchi che mirano a compromettere i devicemobili e le soluzioni di protezione per le transazioni su carte (sia prepagate sia di credito in modalità Card NotPresent), mentre, per la clientela Corporate sulle azioni di rilevazione e contrasto delle transazioni anomale; Sarà necessario monitorare l evoluzione del quadro normativo al fine di porre in essere le opportune attività di adeguamento, sempre più attente alle problematiche di sicurezza e alla lotta al crimine informatico; A livello generale e di sistema Paese si evidenzia la necessità di inquadrare opportune procedure di cooperazione e information sharingtra i diversi soggetti interessati nel percorso di attuazione della frode, a livello nazionale e internazionale. ABI Lab Centro di Ricerca e Innovazione per la Banca 21
GRAZIE PER L ATTENZIONE