SlideShare une entreprise Scribd logo

La gestione delle identità per il controllo delle frodi bancarie

Giuseppe Paterno'
Giuseppe Paterno'

Che differenza c'e' tra una banca retail e un private banking in ambito frodi? Assistiamo a diversi fenomeni nel private banking come l'uso di device mobili (tablet, smartphone, ...) e l'aumento delle frodi dovute al fattore umano. Il mio intervento a Forum Banca 2013 descrive i rischi del private banking e come sono stati risolti. Presentazione in collaborazione con Banca Esperia, gruppo Mediobanca.

Technologie
1  sur  22
Télécharger pour lire hors ligne
La gestione delle identità per il controllo delle frodi bancarie Luca Sciortino – Information Security, Banca Esperia Giuseppe Paternò – Director Digital, GARL Milano, 24 Settembre 2013
2 Chi siamo? • Security manager di Banca Esperia Spa • Ha ricoperto ruoli analoghi per i principali gruppi bancari internazionali nel passato • Esperto in programmazione, open source e sicurezza informatica Twitter: @sciortlu LinkedIn: www.linkedin.com/in/sciortlu Web Site: www.gruppoesperia.it • Director Digital di GARL, «banca digitale» fondata nel 2008 in Svizzera • Collabora con Canonical e Google • Nel passato Red Hat, Sun Microsystems, IBM • Ricercatore e professore al Trinity College Dublin Twitter: @gpaterno LinkedIn: www.linkedin.com/in/gpaterno Web Site: www.garl.ch Luca Sciortino – Banca Esperia Giuseppe Paternò - GARL
4 Tempo di frodi Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF Tentativi di furto di identità ogni giorno in Italia 50 Per scoprire una frode interna 18MESI
5 Le frodi, quanto ci costano Circa il 5% dei guadagni è perso in frodi Frodi scoperte in una delle più grandi Banche Americane nel Marzo 2011 Valutazione di 1/5 delle frodi interne annuali Perdite non recuperate Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF, luglio 2013 3TRILIONI $ ANNUI 10 MILIONI $ 1 MILIONE $ 50%
7 Frodi esterne vs. Frodi interne • Numerose • Impatto mediamente basso per la Banca Es. Skimming carte di credito, Bancomat, etc, Titoli falsi, False assicurazioni, Frodi online, Furto di identità, Storni. • Poche • Impatto economicamente molto elevato per la Banca Es. Insider Trading, Arrotondamenti Passivi, Distrazioni di Capitali, Uscita di informazioni confidenziali Frodi Esterne Frodi Interne
8 Frodi interne Maggiore rischio Maggiore fiducia Policy Interne di controllo
10 Private banking e frodi: punti di attenzione Meno clienti Con capitali elevati Fiducia nel Banker L’attività di relazione con i Clienti è incentrata sulla figura del banker Market Speculation Operazioni speculative personali su acquisti e vendite da parte di operatori interni Reputation La perdita di fiducia significa perdita di clienti e spesso il danno è maggiore di quello economico diretto della frode stessa
11 Perché il private banking è diverso in ambito frodi ? Private Banking Meno esposto a frodi esterne (meno esteso delle Retail Bank) Banche Retail Più a rischio di frodi esterne (accesso esterno dei servizi al pubblico)
12 Il fattore umano nelle frodi Fuga di informazioni Ad esempio dati relativi a Clienti famosi, patrimoni e composizioni portafogli Fiducia reciproca tra colleghi Scambio di password, uso di applicativi non consentiti dalle policy
14 Il ruolo delle identità nelle frodi Tracciamento delle transazioni Accesso frequente a clienti vip o con patrimoni alti Controllo degli accessi a livello fisico e logico Autorizzazione di accesso agli applicativi Garanzia dell’identità
15 Prevenire con la gestione dell’identità Accessi non consentiti e fuori orario Documenti dei clienti falsificati Furto  d’identità
16 KPI Banca Esperia è la boutique di Private Banking di Mediobanca e Mediolanum, nata nel 2001 e dedicata ai Clienti Private e Istituzionali. L’attività  del  Gruppo  Banca  Esperia  è  focalizzata  sullo   sviluppo di servizi di Consulenza Finanziaria e di Wealth Planning  finalizzati  all’Organizzazione  e  alla  Protezione  del   patrimonio complessivo dei Clienti. Chi è Banca Esperia Le 12 Filiali • Dipendenti: 250 • Private Banker: 76 • Filiali: 12 • Asset Totali: € 14,3 mld (dati a fine giugno 2013)
19 SecurePass per le identità digitali Garanzia di identificazione Chi accede al dato è veramente la persona che si presenta al sistema (autenticazione multifattore in continuo) Carte EMV Possibilità di uso di carte di identificazione combinate per accesso fisico o transazionale (carte EMV) Compliance Rispetto normativa EU
20 SecurePass per le identità digitali Gestisce il ciclo di vita degli utenti da un semplice pannello web Group management Audit e controllo centralizzato Servizio gestito da GARL attraverso più datacenter sparsi in Europa
21 SecurePass per le identità digitali Piattaforma orientata alle identità digitali Livelli di sicurezza paragonabili a quelli militari Copertura assicurativa a garanzia dei clienti di SecurePass Dall’esperienza  e  in   collaborazione con le Banche Svizzere
22 Architettura di sicurezza Verifica dell’identità con SecurePass Verifica del contesto lavorativo (es: internet, rete del gruppo o rete interna) Autorizzazione accesso agli applicativi Tracciabilità agli accessi applicativi, utenza, web browser, IP sorgente, sistema operativo e orario di accesso Controllo centralizzato Doppio controllo Autorizzativo dell’utente Sull’applicazione e sulle Singole funzioni applicative Tracciabilità delle singole Funzioni e accesso a NDG, Codice conto, ecc… Applicazioni Interne
24 I benefici per il mondo finance e banking Delega a terzi della gestione delle identità Centralizzazione dell’accesso     Riduzione del rischio operativo
25 La delega a terzi della gestione delle identità Ridurre i costi nella gestione Ridurre i tentativi di frode interni Adottare sistemi di controllo specializzati e sempre aggiornati Identificare in maniera univoca il dipendente Sollevare la responsabilità in carico alla banca (copertura assicurativa) Minor rischio legato al fattore umano
26 La centralizzazione dell'accesso Avere un singolo punto di management Ridurre i rischi legati alla configurazione delle autorizzazioni Migliorare la user experience con il Single Sign-On Rispettare la compliance comprese le nuove direttive del Garante della Privacy II
27 Riduzione del rischio operativo Miglior controllo sull’esecuzione  delle   transazioni Mitiga la fuga di informazioni Doppia autorizzazione del cliente che assicura la veridicità della transazione
28 Conclusioni? Frodi e fattore umano nel private banking Verifica delle identità Autorizzazione Audit & Compliance
29 Grazie per l'attenzione

Recommandé

6 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n26 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n2Redazione InnovaPuglia
 
Banche e Sicurezza 2018 - Schema delle sessioni e temi
Banche e Sicurezza 2018 - Schema delle sessioni e temiBanche e Sicurezza 2018 - Schema delle sessioni e temi
Banche e Sicurezza 2018 - Schema delle sessioni e temiABIEventi
 
RegTech: opportunities and challenges in an evolving market
RegTech: opportunities and challenges in an evolving marketRegTech: opportunities and challenges in an evolving market
RegTech: opportunities and challenges in an evolving marketMarco Bellezza
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
 
5 malerba . formazione in cyber security
5 malerba . formazione in cyber security5 malerba . formazione in cyber security
5 malerba . formazione in cyber securityRedazione InnovaPuglia
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Dove va la ricerca e dove investono le imprese - Presentazione Barbara Pralio
Dove va la ricerca e dove investono le imprese - Presentazione Barbara PralioDove va la ricerca e dove investono le imprese - Presentazione Barbara Pralio
Dove va la ricerca e dove investono le imprese - Presentazione Barbara PralioCSI Piemonte
 

Recommandé

6 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n26 presentazione lagioia-finale-n2
6 presentazione lagioia-finale-n2Redazione InnovaPuglia
 
Banche e Sicurezza 2018 - Schema delle sessioni e temi
Banche e Sicurezza 2018 - Schema delle sessioni e temiBanche e Sicurezza 2018 - Schema delle sessioni e temi
Banche e Sicurezza 2018 - Schema delle sessioni e temiABIEventi
 
RegTech: opportunities and challenges in an evolving market
RegTech: opportunities and challenges in an evolving marketRegTech: opportunities and challenges in an evolving market
RegTech: opportunities and challenges in an evolving marketMarco Bellezza
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
 
5 malerba . formazione in cyber security
5 malerba . formazione in cyber security5 malerba . formazione in cyber security
5 malerba . formazione in cyber securityRedazione InnovaPuglia
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Dove va la ricerca e dove investono le imprese - Presentazione Barbara Pralio
Dove va la ricerca e dove investono le imprese - Presentazione Barbara PralioDove va la ricerca e dove investono le imprese - Presentazione Barbara Pralio
Dove va la ricerca e dove investono le imprese - Presentazione Barbara PralioCSI Piemonte
 
La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieGARL
 
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015Claudio Tancini
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniDI.TECH - Innovazione per la distribuzione
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
 
Il furto di identità nell'era digitale
Il furto di identità nell'era digitaleIl furto di identità nell'era digitale
Il furto di identità nell'era digitaleEmanuele Cisbani
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitaleWSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitaleProfesia Srl, Lynx Group
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Par-Tec S.p.A.
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2SMAU
 
Penelope
PenelopePenelope
PenelopeGiorgio Fraiegari
 
2FA contro il furto di identità
2FA contro il furto di identità2FA contro il furto di identità
2FA contro il furto di identitàEmanuele Cisbani
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU
 
OpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITOpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITGiuseppe Paterno'
 
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...Giuseppe Paterno'
 

Contenu connexe

Similaire à La gestione delle identità per il controllo delle frodi bancarie

La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieGARL
 
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015Claudio Tancini
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Bit4id1
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazionemichelemanzotti
 
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
 
Il furto di identità nell'era digitale
Il furto di identità nell'era digitaleIl furto di identità nell'era digitale
Il furto di identità nell'era digitaleEmanuele Cisbani
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitaleWSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitaleProfesia Srl, Lynx Group
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Par-Tec S.p.A.
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2SMAU
 
2FA contro il furto di identità
2FA contro il furto di identità2FA contro il furto di identità
2FA contro il furto di identitàEmanuele Cisbani
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneInfoCert S.p.A.
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU
 

Similaire à La gestione delle identità per il controllo delle frodi bancarie (20)

La gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarieLa gestione delle identità per il controllo delle frodi bancarie
La gestione delle identità per il controllo delle frodi bancarie
 
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
Introduzione alla Digital identity e al Digital trust - Tancini - Maggio 2015
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Perché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioniPerché oggi è importante tutelare le informazioni
Perché oggi è importante tutelare le informazioni
 
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
Go Passwordless_La piattaforma FIDO2 per l’autenticazione multifattore SafeAc...
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazione
 
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...
 
Il furto di identità nell'era digitale
Il furto di identità nell'era digitaleIl furto di identità nell'era digitale
Il furto di identità nell'era digitale
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitaleWSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
WSO2 ITALIA SMART TALK #6 - Autenticazione User Centric: Identità digitale
 
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
Forum ICT Security 2019 - L’Identity Governance come difesa dagli insider thr...
 
Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2Smau Milano 2018 - CSIG Ivrea-Torino_2
Smau Milano 2018 - CSIG Ivrea-Torino_2
 
Penelope
PenelopePenelope
Penelope
 
2FA contro il furto di identità
2FA contro il furto di identità2FA contro il furto di identità
2FA contro il furto di identità
 
Contaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazioneContaminazione della Digital transformation: dalla banca all'assicurazione
Contaminazione della Digital transformation: dalla banca all'assicurazione
 
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
SMAU PADOVA 2019 Marco Bozzetti (AIPSI)
 

Plus de Giuseppe Paterno'

OpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITOpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITGiuseppe Paterno'
 
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...Giuseppe Paterno'
 
Let's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudLet's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudGiuseppe Paterno'
 
OpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsOpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsGiuseppe Paterno'
 
Remote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxRemote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxGiuseppe Paterno'
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 
How the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersHow the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersGiuseppe Paterno'
 
Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Giuseppe Paterno'
 
Creating OTP with free software
Creating OTP with free softwareCreating OTP with free software
Creating OTP with free softwareGiuseppe Paterno'
 
Protecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxProtecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxGiuseppe Paterno'
 
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiComparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiGiuseppe Paterno'
 
Secure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadSecure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadGiuseppe Paterno'
 
Identity theft in the Cloud and remedies
Identity theft in the Cloud and remediesIdentity theft in the Cloud and remedies
Identity theft in the Cloud and remediesGiuseppe Paterno'
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediGiuseppe Paterno'
 

Plus de Giuseppe Paterno' (15)

OpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture ITOpenStack e le nuove Infrastrutture IT
OpenStack e le nuove Infrastrutture IT
 
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...OpenStack Explained: Learn OpenStack architecture and the secret of a success...
OpenStack Explained: Learn OpenStack architecture and the secret of a success...
 
Let's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloudLet's sleep better: programming techniques to face new security attacks in cloud
Let's sleep better: programming techniques to face new security attacks in cloud
 
SecurePass at OpenBrighton
SecurePass at OpenBrightonSecurePass at OpenBrighton
SecurePass at OpenBrighton
 
OpenStack: Security Beyond Firewalls
OpenStack: Security Beyond FirewallsOpenStack: Security Beyond Firewalls
OpenStack: Security Beyond Firewalls
 
Remote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise LinuxRemote security with Red Hat Enterprise Linux
Remote security with Red Hat Enterprise Linux
 
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identità nelle infrastrutture Cloud e possibili rimedi
 
How the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacentersHow the Post-PC era changed IT Ubuntu for next gen datacenters
How the Post-PC era changed IT Ubuntu for next gen datacenters
 
Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2Filesystem Comparison: NFS vs GFS2 vs OCFS2
Filesystem Comparison: NFS vs GFS2 vs OCFS2
 
Creating OTP with free software
Creating OTP with free softwareCreating OTP with free software
Creating OTP with free software
 
Protecting confidential files using SE-Linux
Protecting confidential files using SE-LinuxProtecting confidential files using SE-Linux
Protecting confidential files using SE-Linux
 
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s GanetiComparing IaaS: VMware vs OpenStack vs Google’s Ganeti
Comparing IaaS: VMware vs OpenStack vs Google’s Ganeti
 
Secure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and EtherpadSecure real-time collaboration with SecurePass and Etherpad
Secure real-time collaboration with SecurePass and Etherpad
 
Identity theft in the Cloud and remedies
Identity theft in the Cloud and remediesIdentity theft in the Cloud and remedies
Identity theft in the Cloud and remedies
 
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimediIl problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
Il problema dei furti di identita' nelle infrastrutture Cloud e possibili rimedi
 

La gestione delle identità per il controllo delle frodi bancarie

  • 1. La gestione delle identità per il controllo delle frodi bancarie Luca Sciortino – Information Security, Banca Esperia Giuseppe Paternò – Director Digital, GARL Milano, 24 Settembre 2013
  • 2. 2 Chi siamo? • Security manager di Banca Esperia Spa • Ha ricoperto ruoli analoghi per i principali gruppi bancari internazionali nel passato • Esperto in programmazione, open source e sicurezza informatica Twitter: @sciortlu LinkedIn: www.linkedin.com/in/sciortlu Web Site: www.gruppoesperia.it • Director Digital di GARL, «banca digitale» fondata nel 2008 in Svizzera • Collabora con Canonical e Google • Nel passato Red Hat, Sun Microsystems, IBM • Ricercatore e professore al Trinity College Dublin Twitter: @gpaterno LinkedIn: www.linkedin.com/in/gpaterno Web Site: www.garl.ch Luca Sciortino – Banca Esperia Giuseppe Paternò - GARL
  • 3. 4 Tempo di frodi Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF Tentativi di furto di identità ogni giorno in Italia 50 Per scoprire una frode interna 18MESI
  • 4. 5 Le frodi, quanto ci costano Circa il 5% dei guadagni è perso in frodi Frodi scoperte in una delle più grandi Banche Americane nel Marzo 2011 Valutazione di 1/5 delle frodi interne annuali Perdite non recuperate Fonti: Association of Certified Fraud Examiners, Clusit, Unicredit Group, CRIF, luglio 2013 3TRILIONI $ ANNUI 10 MILIONI $ 1 MILIONE $ 50%
  • 5. 7 Frodi esterne vs. Frodi interne • Numerose • Impatto mediamente basso per la Banca Es. Skimming carte di credito, Bancomat, etc, Titoli falsi, False assicurazioni, Frodi online, Furto di identità, Storni. • Poche • Impatto economicamente molto elevato per la Banca Es. Insider Trading, Arrotondamenti Passivi, Distrazioni di Capitali, Uscita di informazioni confidenziali Frodi Esterne Frodi Interne
  • 7. 10 Private banking e frodi: punti di attenzione Meno clienti Con capitali elevati Fiducia nel Banker L’attività di relazione con i Clienti è incentrata sulla figura del banker Market Speculation Operazioni speculative personali su acquisti e vendite da parte di operatori interni Reputation La perdita di fiducia significa perdita di clienti e spesso il danno è maggiore di quello economico diretto della frode stessa
  • 8. 11 Perché il private banking è diverso in ambito frodi ? Private Banking Meno esposto a frodi esterne (meno esteso delle Retail Bank) Banche Retail Più a rischio di frodi esterne (accesso esterno dei servizi al pubblico)
  • 9. 12 Il fattore umano nelle frodi Fuga di informazioni Ad esempio dati relativi a Clienti famosi, patrimoni e composizioni portafogli Fiducia reciproca tra colleghi Scambio di password, uso di applicativi non consentiti dalle policy
  • 10. 14 Il ruolo delle identità nelle frodi Tracciamento delle transazioni Accesso frequente a clienti vip o con patrimoni alti Controllo degli accessi a livello fisico e logico Autorizzazione di accesso agli applicativi Garanzia dell’identità
  • 11. 15 Prevenire con la gestione dell’identità Accessi non consentiti e fuori orario Documenti dei clienti falsificati Furto  d’identità
  • 12. 16 KPI Banca Esperia è la boutique di Private Banking di Mediobanca e Mediolanum, nata nel 2001 e dedicata ai Clienti Private e Istituzionali. L’attività  del  Gruppo  Banca  Esperia  è  focalizzata  sullo   sviluppo di servizi di Consulenza Finanziaria e di Wealth Planning  finalizzati  all’Organizzazione  e  alla  Protezione  del   patrimonio complessivo dei Clienti. Chi è Banca Esperia Le 12 Filiali • Dipendenti: 250 • Private Banker: 76 • Filiali: 12 • Asset Totali: € 14,3 mld (dati a fine giugno 2013)
  • 13. 19 SecurePass per le identità digitali Garanzia di identificazione Chi accede al dato è veramente la persona che si presenta al sistema (autenticazione multifattore in continuo) Carte EMV Possibilità di uso di carte di identificazione combinate per accesso fisico o transazionale (carte EMV) Compliance Rispetto normativa EU
  • 14. 20 SecurePass per le identità digitali Gestisce il ciclo di vita degli utenti da un semplice pannello web Group management Audit e controllo centralizzato Servizio gestito da GARL attraverso più datacenter sparsi in Europa
  • 15. 21 SecurePass per le identità digitali Piattaforma orientata alle identità digitali Livelli di sicurezza paragonabili a quelli militari Copertura assicurativa a garanzia dei clienti di SecurePass Dall’esperienza  e  in   collaborazione con le Banche Svizzere
  • 16. 22 Architettura di sicurezza Verifica dell’identità con SecurePass Verifica del contesto lavorativo (es: internet, rete del gruppo o rete interna) Autorizzazione accesso agli applicativi Tracciabilità agli accessi applicativi, utenza, web browser, IP sorgente, sistema operativo e orario di accesso Controllo centralizzato Doppio controllo Autorizzativo dell’utente Sull’applicazione e sulle Singole funzioni applicative Tracciabilità delle singole Funzioni e accesso a NDG, Codice conto, ecc… Applicazioni Interne
  • 17. 24 I benefici per il mondo finance e banking Delega a terzi della gestione delle identità Centralizzazione dell’accesso     Riduzione del rischio operativo
  • 18. 25 La delega a terzi della gestione delle identità Ridurre i costi nella gestione Ridurre i tentativi di frode interni Adottare sistemi di controllo specializzati e sempre aggiornati Identificare in maniera univoca il dipendente Sollevare la responsabilità in carico alla banca (copertura assicurativa) Minor rischio legato al fattore umano
  • 19. 26 La centralizzazione dell'accesso Avere un singolo punto di management Ridurre i rischi legati alla configurazione delle autorizzazioni Migliorare la user experience con il Single Sign-On Rispettare la compliance comprese le nuove direttive del Garante della Privacy II
  • 20. 27 Riduzione del rischio operativo Miglior controllo sull’esecuzione  delle   transazioni Mitiga la fuga di informazioni Doppia autorizzazione del cliente che assicura la veridicità della transazione
  • 21. 28 Conclusioni? Frodi e fattore umano nel private banking Verifica delle identità Autorizzazione Audit & Compliance