La frode nel mondo delle carte di pagamento - quercia.com · Operazioni bancarie in 22 paesi ......
-
Upload
vuongquynh -
Category
Documents
-
view
217 -
download
0
Transcript of La frode nel mondo delle carte di pagamento - quercia.com · Operazioni bancarie in 22 paesi ......
La frode nel mondo delle carte di pagamento:
come organizzare un efficace monitoraggio e prevenzione
Franco Fiocco – Responsabile Fraud Management
Torino, 28 maggio 2009
2
Quercia Software: Agenda
La frode nel mondo issuing & acquiring
Progettazione della soluzione
Un esempio di attacco
Analisi del rischio e definizione delle regole
Attività sul fronte acquiring
Ambiente operativo – Organizzazione del servizio
Presentazione Società
3
Dipendenti: ~174.000
Filiali: ~ 10.200
Operazioni bancarie in 22 paesi
Rete internazionale distribuita in ~ 50 paesi
Operatore globale nell’asset management:
~ €167 miliardi di attività gestite
Leader di mercato nell’Europa centro-orientale (CEE) facendo leva sulle forze strutturali dell’area
Gruppo UniCredit – Dati principali
4
Quercia Software: Company Profile
Quercia Software nasce nel 1987 con la mission di sviluppare soluzioni e servizi per le banche nel mondo dei pagamenti elettronici.
Nel 2009 Quercia risulta una realtà consolidata e leader di mercato per le soluzioni e i servizi di:
Corporate BankingGestione Terminali POSMonitoraggio ATMCard Risk Management
Gestore TerminaliPOS
150.000 Terminali POS (service) 119.000.000 transazioni gestite
Monitoraggio ATM
9.500 ATM gestiti
Card Risk Management
Debito: ca. 6 mln carte Credito: ca. 1 mln entro 12/2009
Corporate Banking
Circa 100 banche, per un totaledi 130.000 aziende
5
ISSUINGLa carta dal punto di vista del
Titolare carta
ISSUINGLa carta dal punto di vista del
Titolare carta
Carte di debitoCarte di credito
Prelievi ATMPagamenti POSTransazioni internet
ACQUIRINGL’acquisto / prelievo con la
carta
ACQUIRINGL’acquisto / prelievo con la
carta
Esempi di criticitàEsempi di criticità Furto/SmarrimentoClonazione/Contraffazione
Le due facce della monetica
6
Rischi nel ciclo di vita delle carte
Richiesta
Rischio: intercettazione
Rischio: furto identità
Rischio: clonazione
InvioProduzione
Rischio: frode interna
Utilizzo
7
Ciclo virtuoso della prevenzione
Analisi del
rischio
Misura efficacia
Affinamento regole
Scrittura regole
8
Linee guida dell’attività
Point of Detection False Positive Detection Rate
0%
100%
1:1
100:110
1
Riflessi sul conto economico
Dispendio di risorse
Completezza della copertura
9
Indirizzi strategici / operativiBanca / Gruppo
Contact CenterUnit
Progettazione della soluzione
ServiceUnit
11
POC (Point of Compromise)
ATM / POS presso il quale un numero
“considerevole” di carte successivamente
contraffatte sono state utilizzate dai Titolari
carta in un “breve” intervallo di tempo
Quante più sono le carte e quanto
più breve l’intervallo temporale,
tanto maggiore sarà il sospetto di frode.
La velocità di reazioneai segnali di frode è cruciale nell’ottica del contenimento dei danni
La velocità di reazioneai segnali di frode è cruciale nell’ottica del contenimento dei danni
Definizione di Point Of Compromise
12
Contromisure Interne…
Criteri di invio SMS alert
L’attività della prima linea (contact center)
Strategia autorizzativa: declinare transazioni “sospette”
Lavoro di back office per l’individuazione del POC
Blocco precauzionale delle carte transitate nel POC
L’approccio reattivo è il risultato di una sinergica collaborazione tra:L’approccio reattivo è il risultato di una sinergica collaborazione tra:
13
…ed esterne
Funzioni di Sicurezza interna
Circuiti internazionali VISA, MasterCard
Organi di Polizia
UCAMP
ABI – CO.GE.BAN.
Tecnologia
Fortunatamente in questo confronto con la delinquenza possiamo contare su validissimi alleati, a livello aziendale, interbancario, Istituzionale che facilitano l’allestimento di contromisure per prevenireo almeno contenere le conseguenze delle frodi:
Fortunatamente in questo confronto con la delinquenza possiamo contare su validissimi alleati, a livello aziendale, interbancario, Istituzionale che facilitano l’allestimento di contromisure per prevenireo almeno contenere le conseguenze delle frodi:
14
Analisi del Rischio Distribuzione delle frodi su carte di debito
Priorità assoluta ai prelievi ATM in ItaliaApprofondimento di analisi sui prelievi ATM all’estero
Anno 2008Anno 2008
POS 1,11%ATM 98,89%
ITALIA 68,03%ESTERO 31,97%
IMPORTO FRODI per CanaleIMPORTO FRODI per Canale IMPORTO FRODI per PaeseIMPORTO FRODI per Paese
15
La situazione è solo apparentemente bilanciata
Canale ATM – Numero delle frodi
50,0050,00TOTALE40,092,18> = 250 €
2,358,96tra 200 € e 249 €
3,087,45tra 100 € e 200 €
4,4831,41tra 0 € e 100 €
Distribuzione perImporto del prelievo
Distribuzione per PaeseESTERO % ITALIA %
16
90,17Oltre 250€
4,15tra 200€ e 249€
3,44tra 100€ e 200€
2,24tra 0€ e 100€
Distribuzione perImporto del prelievo fraudolento ITALIA
PRELIEVO di 250€da ATM in ITALIA
OBIETTIVOOBIETTIVO
Canale ATM – Paese ItaliaDistribuzione per importo delle frodi
17
18,70RESTO del MONDO
5,72BULGARIA
6,41BRASILE
7,55FRANCIA
10,76SUD AFRICA
50,86ROMANIA
Distribuzione perPaese Estero %
I prelievi ATM in Romania costituiranno la principale priorità tra le transazioni all’Estero!
ATTENZIONEATTENZIONE
Canale ATM – Paesi EsteriDistribuzione degli importi frodati per Paese
18
Alla datala maggior
AREA DI RISCHIOè data da:
ATTENZIONEATTENZIONE
Considerata la presenza del servizio di SMS Alerts, pare ragionevole dare la priorità
all’analisi di transazioni fatte da Titolari carta dei quali non abbiamo il numero di telefono cellulare.
Conclusione: Il problema principale (mondo debito)
Prelievi ATM
Di importo superiore o uguale a 250€
Fatti in Italia
Con lettura della strip magnetica
Su circuito internazionale Maestro / VPay
19
Solo il 3 % delle transazioni avranno
priorità massima
Analisi giornata campione – Prelievi ATM su Circuito Internazionale (Maestro, VPay) in banda magnetica
Numero TotaleTransazioni
Numero TotaleTransazioni
Italia: 32 %Italia: 32 % Estero: 68 %Estero: 68 %
>= 250 euro: 23 % >= 250 euro: 23 % <250 euro: 77 % <250 euro: 77 % TOP Ten (prossima slide)
TOP Ten (prossima slide)
Tel.cellulare SI: 63 %
Tel.cellulare NO: 37 %
20
Resto del MONDO
BULGARIA
BRASILE
FRANCIA
SUDAFRICA
ROMANIA
83,71
0,46
3,67
6,24
0,98
4,94
18,70
5,72
6,41
7,55
10,76
50,86
NO PROBLEM0,22
HIGH12,43
MEDIUM1,75
LOW1,21
HIGH10,98
HIGH10,30
Distribuzione Frodi per Paese
Distribuzione Frodi per Paese
Misura della Probabilità di Frode (*): rapporto tra i valori nella prima e nella seconda tabella, a livello di Paese
Misura della Probabilità di Frode (*): rapporto tra i valori nella prima e nella seconda tabella, a livello di Paese
TOP 5 Paesi Esteri a rischio
Probabilitàdi Frode
Probabilitàdi Frode
Transaz. all’estero Giornata campione
Transaz. all’estero Giornata campione
Livello di rischioLivello
di rischio
21
Transazioni con carta
UniCredit Group Information Systems
UniCredit Group Information Systems
Sistema Autorizzativo
Sistema Autorizzativo
T O O L S
SW
REGOLE
ALERTS
Banche
Service Unit
Contact Center Unit
Titolari Carte
L’ambiente operativo di riferimento
22
Analisi del Rischio
Definizione regole
Attivazione regole
Affinamento regole
Produzione statistiche
Gestione alerts
Analisi alerts
Contatto Titolari carta
Blocco carte
Informativa alle Banche
Organizzazione funzionale
Service Unit
Contact Center Unit
23
Strumenti a supporto dell’attività
Proactive Risk Manager (basato su regole)
ACI / PRMACI / PRM
Visa Intelligent Scoring Of Risk(basato su motori neurali)
VISA / VISORVISA / VISOR
Expert Monitoring System(basato su motori neurali)
MasterCard / EMSMasterCard / EMS
+Elaborazioni ad hoc sviluppate in autonomia su una struttura di MIS
24
Performance delle singole regole
Per ogni singola regola la Service Unit analizza periodicamente le performance
comparando diversi indicatori che fanno riferimento principalmente a:
•Numero di singole transazioni che hanno generato alerts
•Numero di carte che hanno avuto alerts
•Numero di carte bloccate
•Carte bloccate senza sia stato generato alcun alert
NELL’OTTICA DI
•INTERVENIRE RAPIDAMENTE
•RIDURRE I FALSI POSITIVI
•AUMENTARE IL GRADO DI COPERTURA
Per ogni singola regola la Service Unit analizza periodicamente le performance
comparando diversi indicatori che fanno riferimento principalmente a:
•Numero di singole transazioni che hanno generato alerts
•Numero di carte che hanno avuto alerts
•Numero di carte bloccate
•Carte bloccate senza sia stato generato alcun alert
NELL’OTTICA DI
•INTERVENIRE RAPIDAMENTE
•RIDURRE I FALSI POSITIVI
•AUMENTARE IL GRADO DI COPERTURA
25
La Service Unit opera nell’ambito delle policiesconcordate e definite con la
banca, con la quale mantiene uno stretto rapporto anche grazie ad incontri periodici e su richiesta.
La Service Unit opera nell’ambito delle policiesconcordate e definite con la
banca, con la quale mantiene uno stretto rapporto anche grazie ad incontri periodici e su richiesta.
Service Unit
Da un punto di vista operativo la Banca può decidere di individuare un Focal Point al proprio interno, che costituirà la controparte con cui rapportarsi prioritariamente
- opera in modalità 24x7x365;
- è pianificata attraverso un sistema di Work Force Management;
- ogni operatore ha una pluralità di skills;
- opera in modalità 24x7x365;
- è pianificata attraverso un sistema di Work Force Management;
- ogni operatore ha una pluralità di skills;
Contact CenterUnit Secondo quanto deciso dalla Banca
la Contact Center Unit può
Modelli di servizio diversificati
Gestire direttamente il contatto con i clienti della Banca.
Fare esclusivamente riferimento a strutture indicate dalla Banca.
26
Che non sia contraffatta (grazie alle quantità di sicurezza previste: ologramma, CVV2, CVC2, ultimi 4 numeri)
Che sia firmata
Che non sia fisicamente alterata
Può osservare il comportamento del Titolare, se lo ritiene opportuno può verificarne l’identità…
…alla fine legge la carta sul POS per ottenere l’autorizzazione alla spesa
Riceve la carta dal Titolare e deve verificare:
ESERCENTEESERCENTE
Le tipologie di frodi viste sul lato Issuing vengono ovviamente monetizzate sul lato Acquiring, p.e. utilizzando carte originali intercettate durante l’invio al destinatario, o smarrite dal titolare carta, oppure utilizzando carte contraffatte o semplicemente in modo “virtuale” con transazioni in internet….
Nell’ambiente Card Presentè la prima linea di difesa:
La frode dal punto di vista ACQUIRING
27
lampada UV, verifica identità, quantità di sicurezza
Il monitoraggio degli esercenti
Regole in Near Real Timeper individuare potenziali anomalie
Regole in Near Real Timeper individuare potenziali anomalie
Analisi delle frodiTC40 & SAFE (rapporto Frodi / Fatturato)
Analisi delle frodiTC40 & SAFE (rapporto Frodi / Fatturato)
Analisi di trend del fatturatosu diverse scale temporali
Analisi di trend del fatturatosu diverse scale temporali
Confronti a livello diMerchant Category Code
Confronti a livello diMerchant Category Code
se il piano di mitigazione non funziona o si sospetta collusione
CONTROMISURECONTROMISURE
Merchant educationMerchant education
Merchant terminationMerchant termination
Il monitoraggio e la prevenzionedelle frodi lato esercenti si basano su combinazioni di tecniche, alcune delle quali specifiche per l’ambiente Card Not Present, che necessariamente richiede un approccio “mirato”
28
L’esercente può contribuire ad un’efficace prevenzione anche in caso di mancanza fisica della carta
L’esercente può contribuire ad un’efficace prevenzione anche in caso di mancanza fisica della carta
Tipicheinformazioni da
analizzare attentamente:
indirizzi IP da cui è stato impartito l’ordine
email dichiarata dal compratore
nome del titolare carta
indirizzo per la consegna (nel caso di beni fisici)
concentrazione di richieste di autorizzazione
Ambiente Card Not Present
29
Michele Paoletti
5424xxxxxxxx2980
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.41
Michele Paoletti
4692xxxxxxxx3080
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.39
Michele Paoletti
4616xxxxxxxx8930
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.33
Michele Paoletti
4692xxxxxxxx3087
m.au
71.163.68.86NOT SUFFICIENT FUNDS
KO2462008-09-06-16.28
TenilleWashington
4616xxxxxxxx8939
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.26
TERESA A PARSONS
4610xxxxxxxx2580
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.23
Guillermo F Morales
4744xxxxxxxx1068
m.au
71.163.68.86CARTA NON ACCETTATA DALLA
COMPAGNIA
KO2462008-09-06-16.21
Titolare CARTA
PANE_mailCompratore
IP Acquirente
Descrizione ESITO
STATOIMPORTODATA / ORA
Esempio di un attacco in ambiente CNP
30
I record SAFE e TC40
Nel momento in cui un Titolare cartadiviene consapevole
del fatto che alcune transazionifatte con la sua
carta non sono state da luiordinate, informa
di questo fatto la propriaBanca (issuer).
Nel momento in cui un Titolare cartadiviene consapevole
del fatto che alcune transazionifatte con la sua
carta non sono state da luiordinate, informa
di questo fatto la propriaBanca (issuer).
La Banca (issuer) quindi provvede acondividere questa
informazione con la Banca (acquirer)che ha convenzionato l’esercente
presso cui è statacompletata la transazione fraudolenta.
La Banca (issuer) quindi provvede acondividere questa
informazione con la Banca (acquirer)che ha convenzionato l’esercente
presso cui è statacompletata la transazione fraudolenta.
I record Safe e TC40 sono flussi di dati che i circuiti MasterCard e Visa rendono disponibili per informare ciascun Acquirer delle
frodi con carta presso gli esercenti che ha convenzionato.
La modalità di condivisione di questaimportante informazione costituiscel’essenza dei record Safe e TC40.