La gestione delle identità per il controllo delle frodi bancarie

Luca Sciortino – Information Security, Banca Esperia Giuseppe Paternò – Director Digital, GARL Milano, 24 Settembre 2013

2

Chi siamo?

• Security manager di Banca Esperia Spa

• Ha ricoperto ruoli analoghi per i principali gruppi bancari internazionali nel passato

• Esperto in programmazione, open source e sicurezza informatica

Twitter: @sciortlu LinkedIn: www.linkedin.com/in/sciortlu Web Site: www.gruppoesperia.it

• Director Digital di GARL, «banca digitale» fondata nel 2008 in Svizzera

• Collabora con Canonical e Google • Nel passato Red Hat, Sun

Microsystems, IBM • Ricercatore e professore al Trinity

College Dublin Twitter: @gpaterno LinkedIn: www.linkedin.com/in/gpaterno Web Site: www.garl.ch

Luca Sciortino – Banca Esperia Giuseppe Paternò - GARL

4

Tempo di frodi

Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF

Tentativi di furto di identità ogni giorno in Italia

50 Per scoprire una frode interna

18 MESI

5

Le frodi, quanto ci costano

Circa il 5% dei guadagni è perso in frodi

Frodi scoperte in una delle più grandi Banche Americane nel Marzo 2011

Valutazione di 1/5 delle frodi interne annuali

Perdite non recuperate

Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF, luglio 2013

3 TRILIONI $ ANNUI

10 MILIONI $

1 MILIONE $

50%

7

Frodi esterne vs. Frodi interne

• Numerose • Impatto mediamente basso per la

Banca Es. Skimming carte di credito, Bancomat,

etc, Titoli falsi, False assicurazioni, Frodi online, Furto di identità, Storni.

• Poche • Impatto economicamente molto elevato

per la Banca Es. Insider Trading, Arrotondamenti Passivi, Distrazioni di Capitali, Uscita di informazioni confidenziali

Frodi Esterne Frodi Interne

8

Frodi interne

Maggiore rischio

Maggiore fiducia

Policy Interne di controllo

10

Private banking e frodi: punti di attenzione

Meno clienti

Con capitali elevati

Fiducia nel Banker

L’attività di relazione con i Clienti è incentrata sulla figura del banker Market Speculation

Operazioni speculative personali su acquisti e vendite da parte di operatori interni Reputation

La perdita di fiducia significa perdita di clienti e spesso il danno è maggiore di quello economico diretto della frode stessa

11

Perché il private banking è diverso in ambito frodi ?

Private Banking Meno esposto a frodi esterne (meno esteso delle Retail Bank)

Banche Retail Più a rischio di frodi esterne (accesso esterno dei servizi al pubblico)

12

Il fattore umano nelle frodi

Fuga di informazioni

Ad esempio dati relativi a Clienti famosi, patrimoni e composizioni portafogli Fiducia reciproca tra colleghi

Scambio di password, uso di applicativi non consentiti dalle policy

14

Il ruolo delle identità nelle frodi

Tracciamento delle

transazioni

Accesso frequente a clienti vip o

con patrimoni alti

Controllo degli accessi a

livello fisico e logico

Autorizzazione di accesso agli

applicativi Garanzia

dell’identità

15

Prevenire con la gestione dell’identità

Accessi non consentiti e fuori orario

Documenti dei clienti falsificati

Furto  d’identità

16

KPI

Banca Esperia è la boutique di Private Banking di Mediobanca e Mediolanum, nata nel 2001 e dedicata ai Clienti Private e Istituzionali. L’attività  del  Gruppo  Banca  Esperia  è  focalizzata  sullo  sviluppo di servizi di Consulenza Finanziaria e di Wealth Planning  finalizzati  all’Organizzazione  e  alla  Protezione  del  patrimonio complessivo dei Clienti.

Chi è Banca Esperia

Le 12 Filiali

• Dipendenti: 250

• Private Banker: 76

• Filiali: 12

• Asset Totali: € 14,3 mld

(dati a fine giugno 2013)

19

SecurePass per le identità digitali

Garanzia di identificazione Chi accede al dato è veramente la persona che si presenta al sistema (autenticazione multifattore in continuo) Carte EMV Possibilità di uso di carte di identificazione combinate per accesso fisico o transazionale (carte EMV) Compliance Rispetto normativa EU

20

SecurePass per le identità digitali

Gestisce il ciclo di vita degli utenti da un semplice pannello

web

Group management

Audit e controllo

centralizzato

Servizio gestito da GARL

attraverso più datacenter

sparsi in Europa

21

SecurePass per le identità digitali

Piattaforma orientata alle identità digitali

Livelli di sicurezza paragonabili a quelli

militari

Copertura assicurativa a garanzia dei clienti

di SecurePass

Dall’esperienza  e  in  collaborazione con le

Banche Svizzere

22

Architettura di sicurezza

Verifica dell’identità con SecurePass Verifica del contesto lavorativo (es: internet, rete del gruppo o rete interna) Autorizzazione accesso agli applicativi Tracciabilità agli accessi applicativi, utenza, web browser, IP sorgente, sistema operativo e orario di accesso

Controllo centralizzato

Doppio controllo Autorizzativo dell’utente Sull’applicazione e sulle Singole funzioni applicative Tracciabilità delle singole Funzioni e accesso a NDG, Codice conto, ecc…

Applicazioni Interne

24

I benefici per il mondo finance e banking

Delega a terzi della gestione delle

identità

Centralizzazione dell’accesso    

Riduzione del rischio operativo

25

La delega a terzi della gestione delle identità

Ridurre i costi nella gestione

Ridurre i tentativi di frode interni

Adottare sistemi di controllo specializzati e

sempre aggiornati

Identificare in maniera univoca il dipendente

Sollevare la responsabilità in carico alla banca

(copertura assicurativa)

Minor rischio legato al fattore umano

26

La centralizzazione dell'accesso

Avere un singolo punto di management

Ridurre i rischi legati alla configurazione delle autorizzazioni

Migliorare la user experience con il Single Sign-On

Rispettare la compliance comprese le nuove direttive del

Garante della Privacy II

27

Riduzione del rischio operativo

Miglior controllo sull’esecuzione  delle  

transazioni

Mitiga la fuga di informazioni

Doppia autorizzazione del cliente che assicura

la veridicità della transazione

28

Conclusioni?

Frodi e fattore umano nel private banking

Verifica delle identità

Autorizzazione

Audit & Compliance

29

Grazie per l'attenzione