Le soluzioni di cybersecurity in ambito bancario
4.2 Le nuove frontiere della cybersecurity a livello nazionale
4.2.3 L’utilizzo dei Big Data per prevenire le frod
Un elemento che ha caratterizzato la rivoluzione 4.0 nel settore bancario è quello dei Big Data: questi ultimi sono figli dell’evoluzione tecnologica in atto nell’era moderna. Infatti, quando si parla di Big Data ci si riferisce ad un’enorme mole di dati che non possono essere trattati con metodologie tradizionali, ma anzi richiedono l’utilizzo di tecnologie avanzate proprio per la loro grande quantità.
I Big Data sono un tema attuale in quanto grazie ad essi le banche sono in grado di raccogliere grandi quantità di informazioni utili ai loro scopi. In particolare le banche stanno prendendo confidenza con la “Big Data Analytics”, vale a dire un processo che consente di raccogliere e analizzare dati riguardo ai propri clienti attraverso la
119
combinazione di informazioni provenienti sia da fonti interne sia esterne all’istituto di credito che effettua l’analisi124.
I dati raccolti possono essere strutturati o non strutturati: i primi si riferiscono ai dati provenienti dalle transazioni delle carte di credito, dal portafoglio di investimento, dall’anagrafica generale interna della banca, mentre i secondi derivano dai post condivisi dai clienti sui social media o dalle immagini digitali, quindi si tratta di dati di carattere più personale e inerenti la vita privata.
Dall’incrocio tra dati interni ed esterni le banche possono ricavare un profilo del soggetto su cui esse hanno puntato l’attenzione al fine di avere un quadro più chiaro riguardo ai suoi comportamenti e abitudini.
I Big Data vengono utilizzati dagli istituti di credito per varie finalità, tra cui:
1) Miglioramento della relazione con il cliente → l’obiettivo primario delle banche si è modificato nel tempo, spostando queste il focus dal prodotto al cliente: nell’epoca della trasformazione digitale e in presenza di concorrenti sempre più attenti alle esigenze dei clienti (come le Fintech), le banche utilizzano i Big Data per ottenere informazioni sulle abitudini e gli hobby dei propri utenti, in modo da conformare la loro offerta di prodotti e servizi alle necessità in un certo momento dei consumatori. Quest’obiettivo di miglioramento della relazione tra banca e cliente può essere facilmente raggiunto poiché la società si sta adeguando ai cambiamenti imposti dalla trasformazione digitale e tramite i device posseduti mette a disposizione una grande quantità di dati.
2) Possibilità di fare previsioni sui trend di consumo dei clienti → tramite l’utilizzo dei Big Data le banche possono capire quale sarà la tendenza dei clienti nell’ambito della propensione al consumo e agli investimenti.
Un esempio può essere ricavato dai dati anagrafici del cliente: nel caso di un cliente giovane, egli sarà maggiormente propenso ad un investimento di lungo termine e con caratteristiche di maggior rischiosità; se invece il cliente appartiene ad una fascia di età più elevata, allora egli sarà portato ad investire in prodotti con un orizzonte temporale di breve termine e con una bassa rischiosità.
Un altro esempio è dato dalle transazioni finanziarie effettuate dai clienti: infatti, se dal conto corrente o dalla carta di credito risultano molti movimenti, allora si può prevedere che per questi soggetti il trend di consumo sarà positivo; la stessa
120
conclusione non si può trarre per i clienti dai quali risultano poche transazioni finanziarie.
3) Individuazione delle frodi finanziarie → dall’incrocio dei dati interni ed esterni alle banche è possibile effettuare una profilazione dei soggetti e individuare quindi quelli sospetti, cioè quelli che potenzialmente possono compiere frodi finanziarie a danno degli istituti di credito.
Le frodi nel settore bancario sono un’emergenza attuale, e gli istituti di credito stanno studiando dei metodi volti a prevenire i crimini informatici. Una possibile soluzione al problema è quella dell’utilizzo dei Big Data nell’ambito della cybersecurity.
In particolare, le banche stanno rivolgendo l’attenzione ai processi di “Forensic Data Analysis”, vale a dire un processo di analisi strutturata dei dati al fine di individuare comportamenti fraudolenti. Le fasi di questo processo si possono riassumere nelle seguenti125:
- Raccolta e caricamento dei dati → il primo step consiste nella raccolta di dati interni ed esterni: i primi derivano dagli storici delle transazioni, dai dati sul rischio di credito, dalle carte di pagamento; i dati esterni sono rilevati tramite indicatori di frodi o crimini finanziari, quali ad esempio la presenza di fallimenti, insolvenze o sanzioni per riciclaggio di denaro.
- Analisi della qualità dei dati → in questa fase si verifica che i dati raccolti ai fini della FDA siano completi, nel senso che non deve mancare nessun campo ai fini dell’analisi, e precisi, cioè devono garantire la possibilità di identificare in maniera efficace le frodi finanziarie.
- Pulizia, sistemazione e miglioramento → questa fase consente di controllare ulteriormente la qualità dei dati raccolti con riferimento in particolare ai dati anagrafici di soggetti e aziende.
- Collegamento, allineamento e visualizzazione → poiché i criminali occultano la propria identità attraverso nomi fasulli, la FDA si avvale di algoritmi avanzati che cercano di cogliere le somiglianze tra il vero nome del frodatore e il nome inventato per mettere in atto la frode (ad esempio Mary/Maria, Mario/Marco). - Analisi dei social network → i social media ricoprono un ruolo chiave
nell’individuazione delle frodi finanziarie, poiché tramite questi è possibile estrapolare informazioni utili a ricostruire il profilo dei soggetti ritenuti sospetti.
121
- Profilaggio e aggregazione → i dati sui clienti vengono raggruppati in categorie omogenee in termini di caratteristiche e di comportamento, in modo da agevolare la rilevazione di segnali ambigui.
- Utilizzo di algoritmi per l’individuazione delle frodi → questa fase può essere condotta in due modi:
a) Utilizzo di algoritmi basati su regole → in questo caso vengono richieste competenze specifiche in tema di indagine sulle frodi; si cercano somiglianze con casi di frode già noti; quest’approccio è poco praticabile a causa della sua rigidità, lentezza e complessità.
b) Utilizzo di algoritmi basati su modelli statistici → si basano sulla ricerca di affinità con serie di dati storici; possono costituire la base per la scoperta di nuove tipologie di frode; riprendono modelli di frode già noti senza necessità di seguire regole specifiche; tutte queste caratteristiche rendono il modello più flessibile rispetto al precedente e dunque più utile per gli investigatori. I Big Data rivestono quindi un ruolo fondamentale nella prevenzione delle frodi informatiche nel settore bancario, anche se non mancano delle criticità nel loro utilizzo: la prima è di natura organizzativa, nel senso che per poter adottare una strategia di prevenzione dei crimini finanziari basata sui Big Data occorre che le banche si dotino di personale altamente qualificato nell’attività di investigazione delle frodi, come i Data Manager, che abbiano anche elevate competenze informatiche.
Un altro problema riscontrato nell’utilizzo dei Big Data nella prevenzione e contrasto delle frodi consiste nella violazione della privacy dei clienti: infatti, anche se l’acquisizione dei dati viene fatta allo scopo di porre fine ad azioni criminali, si pone la questione del limite al trattamento dei dati personali dei soggetti interessati.
Infine, l’uso dei Big Data richiede ingenti investimenti da parte delle banche in tecnologie idonee a supportare il processo dei Big Data Analytics: basti pensare che nel 2016 il settore finanziario ha aumentato gli investimenti in Big Data del 28%126.
Questa spesa si rende necessaria poiché i Big Data stanno rivoluzionando l’economia mondiale, e anche il settore bancario si sta adattando a questa rivoluzione, prevedendo un approccio “data driven”, cioè orientato all’utilizzo dei dati per la creazione di valore.
122
CONCLUSIONI
Nel presente lavoro l’obiettivo è stato quello di indagare gli aspetti più “oscuri” del processo di innovazione tecnologica che sta attraversando il settore bancario.
È ovvio che in un’epoca come quella attuale contraddistinta dalla presenza del fattore digital in ogni aspetto della vita quotidiana ci sia molto entusiasmo e curiosità di fronte ai cambiamenti radicali che le banche stanno lentamente apportando ai propri modelli di business.
La digitalizzazione è un’opportunità per le banche per svilupparsi e accrescere la propria competitività, tutto questo a vantaggio della relazione con i clienti e della vita di questi ultimi: basti pensare alla notevole semplificazione che la tecnologia ha prodotto per quanto riguarda le operazioni bancarie, che possono essere effettuate dagli utenti tramite app bancarie o addirittura sfruttando il canale social, senza essere vincolati dagli orari di apertura delle filiali e con costi di transazione contenuti.
Nonostante i molteplici benefici che la trasformazione digitale delle banche sta producendo, essa ha anche dei risvolti negativi, soprattutto in tema di sicurezza. Mentre in passato i pericoli maggiori per le banche derivavano dalle possibili rapine agli sportelli, oggi, poiché l’operatività bancaria si è spostata dalle filiali al web, il “luogo” percepito come più pericoloso per le banche è diventato il cyberspace.
Dunque il percorso verso la digitalizzazione del settore bancario non è privo di ostacoli, in quanto esistono dei rischi legati all’attività digitale che fino ad un recente passato venivano sottovalutati, ma che oggi si mostrano in tutta la loro pericolosità.
Infatti, da quando le banche hanno iniziato a includere nella propria offerta prodotti e servizi orientati al digitale, si sono moltiplicati gli attacchi informatici da parte di hacker, i quali sfruttano le falle presenti nei sistemi di sicurezza informatici degli istituti di credito.
La crescita degli attacchi informatici nei confronti delle banche rappresenta un segnale evidente del fatto che l’attenzione finora rivolta ad una corretta gestione del cyber risk non sia stata sufficiente a frenare l’ondata di data breach che si è verificata di recente. La sottovalutazione delle conseguenze negative dell’interconnessione tra oggetti, dell’utilizzo dei Big Data e della possibilità di effettuare operazioni bancarie tramite app e online banking ha inevitabilmente attirato i criminali informatici che hanno potuto agire indisturbati entrando nei sistemi delle banche per compiere frodi.
123
Di fronte alla frequenza di tali attacchi, si sono resi necessari alcuni interventi normativi volti a rafforzare la cybersecurity nel settore bancario: il GDPR ha consentito una maggiore regolamentazione nell’ambito del trattamento dei dati personali rispetto al passato, mentre la Direttiva PSD2 ha agito dal lato dei servizi di pagamento.
Anche le autorità europee si sono mosse nella direzione del miglioramento della cyber resilience del settore finanziario, attraverso l’adozione di strategie e regole armonizzate a livello europeo.
Nonostante queste iniziative la sensazione è che ancora resti molto da fare all’interno del settore bancario per contrastare il cyber risk: le banche nel prossimo futuro dovranno incrementare gli investimenti in ICT, soprattutto per quanto riguarda l’aspetto della security.
Secondo uno studio di ABI Lab, tra le priorità di investimento nel settore ICT rientrano i progetti di potenziamento delle infrastrutture tecnologiche (67%), la gestione del rischio cyber (63%) e il potenziamento di Internet e Mobile Banking con particolare attenzione agli aspetti di sicurezza (48%).
Oltre agli investimenti in infrastrutture tecnologiche innovative, le banche possono rafforzare la cybersecurity attraverso l’impiego di personale altamente qualificato e specializzato in materie informatiche: a tal proposito, una tendenza sempre più frequente nel mondo bancario è il ricorso agli “ethical hacker”, vale a dire a soggetti che in passato sono stati dei veri e propri hacker, i quali, pentiti delle azioni criminose compiute, mettono a disposizione la loro esperienza e le loro competenze per effettuare verifiche sulla sicurezza dei sistemi delle banche e per svolgere simulazioni di attacchi in modo da controllare l’esposizione delle infrastrutture IT ad eventuali minacce.
Per concludere, si può affermare come l’evoluzione tecnologica nel settore bancario debba essere accompagnata da una parallela evoluzione della cybersecurity, poiché, come si è visto nel lavoro, soltanto un’adeguata gestione del cyber risk può consentire alle banche di fare il salto di qualità necessario a mantenere una posizione competitiva all’interno del settore. In un periodo delicato come quello attuale caratterizzato da un’intensa attività criminale cibernetica è importante considerare la sicurezza e la tutela dei clienti e degli stessi istituti bancari come una priorità, poiché i clienti utilizzano sempre di più quale criterio per la scelta di una banca la sua affidabilità, condizione questa essenziale per mantenere un rapporto di fiducia duraturo nel tempo.
124
BIBLIOGRAFIA
ABI Lab, “Rapporto ABI Lab 2012”, Aprile 2012. ABI-KPMG, “Banche e social media”, Ottobre 2016.
Arner Douglas W., Barberis Janos Nathan, Buckley Ross P., “The evolution of Fintech: a new post crisis paradigm?”, Ottobre 2015.
Article 29 data protection working party, “Guidelines on Personal data breach notification under Regulation 2016/679”, Ottobre 2017.
Banca d’Italia, “Recepimento della nuova regolamentazione prudenziale internazionale. Rischi operativi (Metodi avanzati-AMA)”, Luglio 2006.
Bancaforte.it, “Verso la Cyber Physical Security”, Maggio 2016.
Bianchi D., “Internet e il danno alla persona: i casi e le ipotesi risarcitorie”, 2012.
Blockchain4Innovation, “Blockchain: cos’è, come funziona e gli ambiti applicativi in Italia”, Marzo 2017.
Blockchain4Innovation, “Le banche mondiali credono nella Blockchain”, Ottobre 2016.
CaixaBank, “CaixaBank supports «wearable banking» with the launch of applications for SmartWatch and Google Glass devices”, Febbraio 2014.
Cajani F., Costabile G., Mazzaraco G., “Phishing e furto d’identità digitale. Indagini informatiche e sicurezza bancaria”, 2008.
Capgemini-Efma, “World Retail Banking Report”, Aprile 2016. Cassazione, sentenza n°10638, Maggio 2016.
Cebula J. James, Young R. Lisa, “A Taxonomy of Operational Cyber Security Risks”, Dicembre 2010.
CERT nazionale Italia, “DoubleLocker: nuovo ransomware per Android cifra i dati e blocca il dispositivo”, Ottobre 2017.
CERT nazionale Italia, “LokiBot: il primo trojan bancario per Android con capacità di ransomware”, Ottobre 2017.
CeTIF, “L’evoluzione dello Sportello bancario. Modelli distributivi, innovazione tecnologica e supporto multicanale”, Aprile 2015.
Check Point Software Technologies Ltd, “2016 H2 Global Threat Intelligence Trends”, Febbraio 2017.
125
CIPA, “Rilevazione tecnologica. Il Cloud e le banche”, 2015.
Consiglio d’Europa, “Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali”, Novembre 1950.
CPMI-IOSCO, “Guidance on cyber resilience in financial market infrastructures”, Giugno 2016.
Deloitte, “Ransomware. Holding Your Data Hostage”, Agosto 2016.
Deloitte, “The derivative effect: How financial services can make IoT technology pay off”, Ottobre 2015.
Deloitte-EFMA, “Out of the blocks. Blockchain: from hype to prototype”, Maggio 2016.
EBA, “Draft Recommendations on outsourcing to cloud service providers under Article 16 of Regulation (EU) N° 1093/2010”, Maggio 2017.
EBA, “Final Report on Draft RTS on SCA and common and secure communication under Article 98 of Directive 2015/2366”, Febbraio 2017. EBA, “Orientamenti sulla valutazione dei rischi ICT a norma del processo
SREP”, Settembre 2017.
European Commission, “Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace”, Febbraio 2013.
FiLOdiritto, “Phishing-Cassazione Civile: è responsabilità dell’istituto bancario dimostrare di avere adottato tutte le misure idonee a garantire la sicurezza del servizio telematico a disposizione del cliente”, Febbraio 2017.
Focus.it, “L’intelligenza artificiale indovina le password”, Settembre 2017. G-7, “G7 Fundamental Elements of Cybersecurity for the Financial Sector”,
Ottobre 2016.
Garante per la protezione dei dati personali, “Cloud Computing. Proteggere i dati per non cadere dalle nuvole”, Maggio 2012.
Gazzetta ufficiale dell’Unione Europea, “Direttiva (UE) 2015/2366 del Parlamento europeo e del consiglio”, Novembre 2015.
Gianluca Sapienza, “Le 4 fasi della social Engineering”, Giugno 2017. Governing Council of the ECB, “Eurosystem’s cyber resilience strategy for
FMIs”, Marzo 2017.
Gruppo di lavoro articolo 29 per la protezione dei dati, “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità
126
che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679”, Ottobre 2017.
Gruppo di lavoro articolo 29 per la protezione dei dati, “Linee guida sul diritto alla portabilità dei dati”, Aprile 2017.
Haddad Christian, Hornuf Lars, “The emergence of the Global Fintech Market: Economic and Technological determinants”, Agosto 2016.
Il Giornale delle PMI, “Frodi informatiche bancarie: il correntista va tutelato”, Ottobre 2016.
Il Sole 24 Ore, “Cloud computing e trattamento dei dati: il risk assessment secondo le nuove prospettive europee, Dicembre 2016.
Il Sole 24 Ore, “Cos’è e come funziona lo smishing”, Novembre 2012.
Il Sole 24 Ore, “In banca arriva la firma digitale garantita dai dati biometrici”, Aprile 2013.
Il Sole 24 Ore, “In Italia investimenti per oltre un miliardo nei big data”, Novembre 2017.
Il Sole 24 Ore, “Mediolanum scommette su blockchain ed entra in R3”, Ottobre 2017.
Istat, “Cittadini, imprese e ICT”, Dicembre 2016.
Kapersky Lab, “Financial Cyberthreats in 2016”, Febbraio 2017. Kapersky Lab, “Il Ransomware nel periodo 2016-2017”, Giugno 2017.
KPMG, “I bisogni e le aspettative dei clienti delle banche italiane”, Marzo 2016. KPMG, “L’era della customer experience”, Giugno 2017.
Linkedin, “Big Data nel futuro digitale delle banche”, Gennaio 2016.
Livanis E., “Financial Aspects of Cyber Risks and Taxonomy for the Efficient Handling of These Risks”, Maggio 2016.
Mell P., Grance T., “The NIST Definition of Cloud Computing. Recommendations of the National Institute of Standards and Technology”, Settembre 2011.
Osservatorio Internet of Things, “Internet of Things: il futuro è già presente!”, Aprile 2016.
Parlamento Europeo e Consiglio dell’Unione Europea, “Direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, Luglio 2016.
127
Parlamento Europeo, Consiglio dell’Unione Europea, “Regolamento Europeo per la protezione dei dati personali”, Aprile 2016.
Personetics, “AI and ChatBots: a brave new world for banking”, Aprile 2017. Pwc, “Global Economic Crime Survey Addendum Italiano 2016”, 2016. Pwc, “The Global Economic Crime Survey Italia”, Novembre 2011.
Randstad, “La Robotic Process Automation rivoluziona il back office”, Settembre 2016.
Repubblica.it, “Operazione Icarus: Anonymous attacca le banche centrali in mezzo mondo”, Maggio 2016.
Sklaroff Jeremy M., “Smart Contracts and the Cost of Inflexibility”, Settembre 2017.
SWIFT, “SWIFT tests show blockchain has potential for global liquidity optimisation”, Ottobre 2017.
Tata Consultancy Services, “Banking and Financial Services: Pleasing Customers, Fighting Fraud”, 2017.
Techeconomy, “Pochi controlli di sicurezza su dispositivi IoT contribuiscono a raddoppiare cyber attacchi DoS e DDoS”, Maggio 2017.
The New York Times, “JPMorgan Chase Hacking Affects 76 Million Households”, Ottobre 2014.
Tribunale di Roma, sentenza n°16221/16, Agosto 2016.
Unicredit&Universities, “The reputational risk impact of internal frauds on bank customers: a case study on Unicredit Group”, Maggio 2011.
Villani F., “I chatbot nel settore bancario”, Febbraio 2017.
SITOGRAFIA
www.istat.it www.bancaforte.it www.abi.it www.cipa.it www.ecb.europa.eu www.bancaditalia.it128
www.fideuram.it
www.pwc.com
129