View
488
Download
2
Category
Preview:
DESCRIPTION
Che differenza c'e' tra una banca retail e un private banking in ambito frodi? Assistiamo a diversi fenomeni nel private banking come l'uso di device mobili (tablet, smartphone, ...) e l'aumento delle frodi dovute al fattore umano. Il mio intervento a Forum Banca 2013 descrive i rischi del private banking e come sono stati risolti. Presentazione in collaborazione con Banca Esperia, gruppo Mediobanca.
Citation preview
La gestione delle identità per il controllo delle frodi bancarie
Luca Sciortino – Information Security, Banca Esperia Giuseppe Paternò – Director Digital, GARL Milano, 24 Settembre 2013
2
Chi siamo?
• Security manager di Banca Esperia Spa
• Ha ricoperto ruoli analoghi per i principali gruppi bancari internazionali nel passato
• Esperto in programmazione, open source e sicurezza informatica
Twitter: @sciortlu LinkedIn: www.linkedin.com/in/sciortlu Web Site: www.gruppoesperia.it
• Director Digital di GARL, «banca digitale» fondata nel 2008 in Svizzera
• Collabora con Canonical e Google • Nel passato Red Hat, Sun
Microsystems, IBM • Ricercatore e professore al Trinity
College Dublin Twitter: @gpaterno LinkedIn: www.linkedin.com/in/gpaterno Web Site: www.garl.ch
Luca Sciortino – Banca Esperia Giuseppe Paternò - GARL
4
Tempo di frodi
Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF
Tentativi di furto di identità ogni giorno in Italia
50 Per scoprire una frode interna
18 MESI
5
Le frodi, quanto ci costano
Circa il 5% dei guadagni è perso in frodi
Frodi scoperte in una delle più grandi Banche Americane nel Marzo 2011
Valutazione di 1/5 delle frodi interne annuali
Perdite non recuperate
Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF, luglio 2013
3 TRILIONI $ ANNUI
10 MILIONI $
1 MILIONE $
50%
7
Frodi esterne vs. Frodi interne
• Numerose • Impatto mediamente basso per la
Banca Es. Skimming carte di credito, Bancomat,
etc, Titoli falsi, False assicurazioni, Frodi online, Furto di identità, Storni.
• Poche • Impatto economicamente molto elevato
per la Banca Es. Insider Trading, Arrotondamenti Passivi, Distrazioni di Capitali, Uscita di informazioni confidenziali
Frodi Esterne Frodi Interne
8
Frodi interne
Maggiore rischio
Maggiore fiducia
Policy Interne di controllo
10
Private banking e frodi: punti di attenzione
Meno clienti
Con capitali elevati
Fiducia nel Banker
L’attività di relazione con i Clienti è incentrata sulla figura del banker Market Speculation
Operazioni speculative personali su acquisti e vendite da parte di operatori interni Reputation
La perdita di fiducia significa perdita di clienti e spesso il danno è maggiore di quello economico diretto della frode stessa
11
Perché il private banking è diverso in ambito frodi ?
Private Banking Meno esposto a frodi esterne (meno esteso delle Retail Bank)
Banche Retail Più a rischio di frodi esterne (accesso esterno dei servizi al pubblico)
12
Il fattore umano nelle frodi
Fuga di informazioni
Ad esempio dati relativi a Clienti famosi, patrimoni e composizioni portafogli Fiducia reciproca tra colleghi
Scambio di password, uso di applicativi non consentiti dalle policy
14
Il ruolo delle identità nelle frodi
Tracciamento delle
transazioni
Accesso frequente a clienti vip o
con patrimoni alti
Controllo degli accessi a
livello fisico e logico
Autorizzazione di accesso agli
applicativi Garanzia
dell’identità
15
Prevenire con la gestione dell’identità
Accessi non consentiti e fuori orario
Documenti dei clienti falsificati
Furto d’identità
16
KPI
Banca Esperia è la boutique di Private Banking di Mediobanca e Mediolanum, nata nel 2001 e dedicata ai Clienti Private e Istituzionali. L’attività del Gruppo Banca Esperia è focalizzata sullo sviluppo di servizi di Consulenza Finanziaria e di Wealth Planning finalizzati all’Organizzazione e alla Protezione del patrimonio complessivo dei Clienti.
Chi è Banca Esperia
Le 12 Filiali
• Dipendenti: 250
• Private Banker: 76
• Filiali: 12
• Asset Totali: € 14,3 mld
(dati a fine giugno 2013)
19
SecurePass per le identità digitali
Garanzia di identificazione Chi accede al dato è veramente la persona che si presenta al sistema (autenticazione multifattore in continuo) Carte EMV Possibilità di uso di carte di identificazione combinate per accesso fisico o transazionale (carte EMV) Compliance Rispetto normativa EU
20
SecurePass per le identità digitali
Gestisce il ciclo di vita degli utenti da un semplice pannello
web
Group management
Audit e controllo
centralizzato
Servizio gestito da GARL
attraverso più datacenter
sparsi in Europa
21
SecurePass per le identità digitali
Piattaforma orientata alle identità digitali
Livelli di sicurezza paragonabili a quelli
militari
Copertura assicurativa a garanzia dei clienti
di SecurePass
Dall’esperienza e in collaborazione con le
Banche Svizzere
22
Architettura di sicurezza
Verifica dell’identità con SecurePass Verifica del contesto lavorativo (es: internet, rete del gruppo o rete interna) Autorizzazione accesso agli applicativi Tracciabilità agli accessi applicativi, utenza, web browser, IP sorgente, sistema operativo e orario di accesso
Controllo centralizzato
Doppio controllo Autorizzativo dell’utente Sull’applicazione e sulle Singole funzioni applicative Tracciabilità delle singole Funzioni e accesso a NDG, Codice conto, ecc…
Applicazioni Interne
24
I benefici per il mondo finance e banking
Delega a terzi della gestione delle
identità
Centralizzazione dell’accesso
Riduzione del rischio operativo
25
La delega a terzi della gestione delle identità
Ridurre i costi nella gestione
Ridurre i tentativi di frode interni
Adottare sistemi di controllo specializzati e
sempre aggiornati
Identificare in maniera univoca il dipendente
Sollevare la responsabilità in carico alla banca
(copertura assicurativa)
Minor rischio legato al fattore umano
26
La centralizzazione dell'accesso
Avere un singolo punto di management
Ridurre i rischi legati alla configurazione delle autorizzazioni
Migliorare la user experience con il Single Sign-On
Rispettare la compliance comprese le nuove direttive del
Garante della Privacy II
27
Riduzione del rischio operativo
Miglior controllo sull’esecuzione delle
transazioni
Mitiga la fuga di informazioni
Doppia autorizzazione del cliente che assicura
la veridicità della transazione
28
Conclusioni?
Frodi e fattore umano nel private banking
Verifica delle identità
Autorizzazione
Audit & Compliance
29
Grazie per l'attenzione
Recommended