Che differenza c'e' tra una banca retail e un private banking in ambito frodi? Assistiamo a diversi fenomeni nel private banking come l'uso di device mobili (tablet, smartphone, ...) e l'aumento delle frodi dovute al fattore umano. Il mio intervento a Forum Banca 2013 descrive i rischi del private banking e come sono stati risolti. Presentazione in collaborazione con Banca Esperia, gruppo Mediobanca.
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
La gestione delle identità per il controllo delle frodi bancarie
1. La gestione delle identità
per il controllo delle frodi
bancarie
Luca Sciortino – Information Security, Banca Esperia
Giuseppe Paternò – Director Digital, GARL
Milano, 24 Settembre 2013
2. 2
Chi siamo?
• Security manager di Banca Esperia
Spa
• Ha ricoperto ruoli analoghi per i
principali gruppi bancari internazionali
nel passato
• Esperto in programmazione, open
source e sicurezza informatica
Twitter: @sciortlu
LinkedIn: www.linkedin.com/in/sciortlu
Web Site: www.gruppoesperia.it
• Director Digital di GARL, «banca
digitale» fondata nel 2008 in Svizzera
• Collabora con Canonical e Google
• Nel passato Red Hat, Sun
Microsystems, IBM
• Ricercatore e professore al Trinity
College Dublin
Twitter: @gpaterno
LinkedIn:
www.linkedin.com/in/gpaterno
Web Site: www.garl.ch
Luca Sciortino – Banca Esperia Giuseppe Paternò - GARL
3. 4
Tempo di frodi
Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF
Tentativi di
furto di
identità ogni
giorno in Italia
50 Per scoprire
una frode
interna
18MESI
4. 5
Le frodi, quanto ci costano
Circa il 5% dei guadagni è perso in
frodi
Frodi scoperte in una delle più grandi
Banche Americane nel Marzo 2011
Valutazione di 1/5 delle frodi interne
annuali
Perdite non recuperate
Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF, luglio 2013
3TRILIONI
$ ANNUI
10
MILIONI $
1
MILIONE $
50%
5. 7
Frodi esterne vs. Frodi interne
• Numerose
• Impatto mediamente basso per la
Banca
Es. Skimming carte di credito, Bancomat,
etc, Titoli falsi, False assicurazioni,
Frodi online, Furto di identità, Storni.
• Poche
• Impatto economicamente molto elevato
per la Banca
Es. Insider Trading, Arrotondamenti
Passivi, Distrazioni di Capitali, Uscita di
informazioni confidenziali
Frodi Esterne Frodi Interne
7. 10
Private banking e frodi: punti di attenzione
Meno clienti
Con capitali elevati
Fiducia nel Banker
L’attività di relazione con i Clienti è incentrata sulla
figura del banker
Market Speculation
Operazioni speculative personali su acquisti e vendite
da parte di operatori interni
Reputation
La perdita di fiducia significa perdita di clienti e spesso
il danno è maggiore di quello economico diretto della
frode stessa
8. 11
Perché il private banking è diverso in ambito frodi ?
Private Banking
Meno esposto a
frodi esterne
(meno esteso
delle Retail
Bank)
Banche Retail
Più a rischio di
frodi esterne
(accesso esterno
dei servizi al
pubblico)
9. 12
Il fattore umano nelle frodi
Fuga di informazioni
Ad esempio dati relativi a Clienti famosi,
patrimoni e composizioni portafogli
Fiducia reciproca tra colleghi
Scambio di password, uso di applicativi non
consentiti dalle policy
10. 14
Il ruolo delle identità nelle frodi
Tracciamento
delle
transazioni
Accesso
frequente a
clienti vip o
con patrimoni
alti
Controllo degli
accessi a
livello fisico e
logico
Autorizzazione
di accesso agli
applicativi
Garanzia
dell’identità
11. 15
Prevenire con la gestione dell’identità
Accessi non consentiti
e fuori orario
Documenti dei clienti
falsificati
Furto d’identità
12. 16
KPI
Banca Esperia è la boutique di Private Banking di
Mediobanca e Mediolanum, nata nel 2001 e dedicata ai
Clienti Private e Istituzionali.
L’attività del Gruppo Banca Esperia è focalizzata sullo
sviluppo di servizi di Consulenza Finanziaria e di Wealth
Planning finalizzati all’Organizzazione e alla Protezione del
patrimonio complessivo dei Clienti.
Chi è Banca Esperia
Le 12 Filiali
• Dipendenti: 250
• Private Banker: 76
• Filiali: 12
• Asset Totali: € 14,3 mld
(dati a fine giugno 2013)
13. 19
SecurePass per le identità digitali
Garanzia di identificazione
Chi accede al dato è veramente
la persona che si presenta al
sistema (autenticazione
multifattore in continuo)
Carte EMV
Possibilità di uso di carte di
identificazione combinate per
accesso fisico o transazionale
(carte EMV)
Compliance
Rispetto normativa EU
14. 20
SecurePass per le identità digitali
Gestisce il ciclo di vita degli
utenti da un semplice pannello
web
Group
management
Audit e
controllo
centralizzato
Servizio gestito
da GARL
attraverso più
datacenter
sparsi in Europa
15. 21
SecurePass per le identità digitali
Piattaforma orientata alle identità digitali
Livelli di sicurezza
paragonabili a quelli
militari
Copertura assicurativa
a garanzia dei clienti
di SecurePass
Dall’esperienza e in
collaborazione con le
Banche Svizzere
16. 22
Architettura di sicurezza
Verifica dell’identità con SecurePass
Verifica del contesto lavorativo
(es: internet, rete del gruppo o rete interna)
Autorizzazione accesso agli applicativi
Tracciabilità agli accessi applicativi, utenza,
web browser, IP sorgente,
sistema operativo e orario di accesso
Controllo
centralizzato
Doppio controllo
Autorizzativo dell’utente
Sull’applicazione e sulle
Singole funzioni applicative
Tracciabilità delle singole
Funzioni e accesso a NDG,
Codice conto, ecc…
Applicazioni
Interne
17. 24
I benefici per il mondo finance e banking
Delega a terzi della
gestione delle
identità
Centralizzazione
dell’accesso
Riduzione del
rischio operativo
18. 25
La delega a terzi della gestione delle identità
Ridurre i costi nella
gestione
Ridurre i tentativi di frode
interni
Adottare sistemi di
controllo specializzati e
sempre aggiornati
Identificare in maniera
univoca il dipendente
Sollevare la responsabilità
in carico alla banca
(copertura assicurativa)
Minor rischio legato al
fattore umano
19. 26
La centralizzazione dell'accesso
Avere un singolo punto
di management
Ridurre i rischi legati
alla configurazione
delle autorizzazioni
Migliorare la user
experience con il
Single Sign-On
Rispettare la
compliance comprese
le nuove direttive del
Garante della Privacy II
20. 27
Riduzione del rischio operativo
Miglior controllo
sull’esecuzione delle
transazioni
Mitiga la fuga di
informazioni
Doppia autorizzazione
del cliente che assicura
la veridicità della
transazione