Le tentazioni insite nel settore bancario e, più in generale, nelle istituzioni finanziarie, le pongono in una battaglia eterna e sempre più tecnologica per proteggersi dalle minacce interne ed esterne. Hanno anche la responsabilità di proteggere i loro clienti e i loro dati da accessi non autorizzati, e poiché le filiali bancarie sono essenzialmente aziende, stanno cercando di migliorare l’esperienza del cliente in modo simile al settore retail.
Per affrontare tutti questi problemi è necessario un approccio altamente integrato che utilizzi le tecnologie di sicurezza all’avanguardia in tutti i settori. Abbiamo chiesto a IDEMIA, Cathexis Africa e CA Southern Africa come le loro particolari aree di competenza vengono sfruttate nel settore finanziario.
“Negli ultimi anni abbiamo assistito ad un cambiamento significativo tra le maggiori istituzioni finanziarie del mondo, verso la tecnologia biometrica senza attrito, guidato da diversi fattori chiave”, commenta Nicolas Garcia, direttore regionale delle vendite di IDEMIA SA. Questi fattori includono la conformità agli standard di sicurezza e le conseguenti pressioni di audit, che sono aumentate drasticamente in tutto il mondo negli ultimi anni (sia per la sicurezza fisica che per quella logica). Questo è stato determinato in parte dal gran numero di violazioni/attacchi di alto profilo da parte di insider e outsider che si sono verificati negli ultimi cinque anni.
Inoltre, le principali istituzioni finanziarie del mondo sono in competizione sia per i migliori clienti che per i migliori dipendenti. Sono sempre alla ricerca di modi per attrarre i migliori talenti, e sono
concentrandosi molto sui luoghi di lavoro ad alta tecnologia, sicuri e attraenti per i dipendenti. Inoltre, la tecnologia di controllo degli accessi è ben visibile a tutti i visitatori che entrano nell’atrio, e svolge un ruolo significativo nel rafforzare il messaggio della serietà della banca in materia di sicurezza.
Identità aumentata
Sul posto di lavoro, la stessa tecnologia senza attrito si estende regolarmente alla rilevazione delle presenze, ai pagamenti della mensa, all’accesso alla palestra, al parcheggio e ad altri servizi. Questo si inserisce nel concetto di ‘identità aumentata’ di IDEMIA, il cui fulcro è l’idea che l’utilizzo della nostra identità debba essere non solo un processo sicuro, ma anche naturale e conveniente. Questo si estende ben oltre le tradizionali applicazioni di controllo degli accessi e di sicurezza, in altre aree come l’eKYC, i sistemi di voto, i programmi di identificazione civile, il controllo delle frontiere e la facilitazione dei passeggeri, tra gli altri.
“Le soluzioni di riconoscimento facciale e di analisi di IDEMIA forniscono un ulteriore livello di sicurezza, progettato per integrare i punti di accesso tradizionali, estendendo la portata della sicurezza ben oltre le porte e le barriere fisiche. Combinando il rilevamento e la localizzazione di persone o oggetti con algoritmi accurati di riconoscimento facciale, si ottiene un potente sistema di allerta precoce e uno strumento investigativo che garantisce un ROI (ritorno sull’investimento) molto più elevato dell’infrastruttura di sorveglianza esistente del cliente”, afferma Garcia. La tecnologia può fornire avvisi basati su un numero qualsiasi di liste di controllo per una varietà di scopi che vanno dall’individuazione di rapinatori noti all’identificazione di clienti VIP.
La tecnologia biometrica di IDEMIA svolge un ruolo chiave nel garantire una maggiore sicurezza sia alle banche che ai loro clienti. La biometria può essere utilizzata per verificare l’identità di un cliente al momento dell’apertura di un conto bancario e/o per rilevare se quello stesso cliente è esistito in precedenza nel sistema con un nome diverso. Questa tecnologia biometrica è integrata anche nei bancomat e nelle soluzioni di sportello delle filiali in tutto il mondo, per fornire un’autenticazione sicura dei clienti.
IDEMIA offre anche una carta bancaria sicura con sensore di impronte digitali incorporato, nota come FCode. Questo permette al cliente di scansionare la propria impronta digitale direttamente sulla carta bancaria per autorizzare una transazione, invece di affidarsi al PIN tradizionale o alla firma.
“Un numero maggiore di banche e fornitori di credito sta integrando la tecnologia biometrica di IDEMIA nell’esperienza di pagamento”, afferma Garcia. “I pagamenti sicuri che utilizzano la biometria offrono un’importante combinazione di maggiore convenienza e sicurezza allo stesso tempo. Le aspettative del cliente bancario tipico di oggi sono molto diverse rispetto a 10 o 20 anni fa.
“I clienti di oggi sono cresciuti con un diverso livello di accessibilità tecnologica e la maggior parte di loro è già completamente a proprio agio nell’utilizzare la biometria sul proprio telefono per un’ampia gamma di casi d’uso di autenticazione, compresi i pagamenti. Il cliente di oggi si aspetta che la stessa capacità si estenda al di là del proprio telefono e nello spazio di vendita al dettaglio, che si tratti di un centro commerciale, di un concerto o di una stazione ferroviaria”.
Sfruttare l’analisi video
Lo specialista di software di gestione video (VMS), Cathexis Technologies, lavora con diverse entità del settore finanziario. Sebbene il suo coinvolgimento si sia esteso a istituzioni come la Borsa di Londra, la componente più importante è rappresentata dalle banche e dalle loro filiali, secondo il direttore generale di Cathexis Africa, Gus Brecher.
L’integrazione è un fattore importante nel settore bancario, dice Brecher: “Abbiamo molti clienti bancari e in questo settore facciamo molte integrazioni con i loro sistemi antincendio, pannelli di allarme e controllo degli accessi. A seconda della banca, molte di esse preferiscono avere un monitoraggio centrale.
quindi hanno uno scenario ibrido in cui hanno registrazioni distribuite sul posto, una struttura di monitoraggio centralizzata per gli allarmi e la possibilità di visualizzare e archiviare i video fuori sede su richiesta”.
Oltre ai sistemi di controllo degli accessi implementati nelle aree di back-office, Brecher afferma che le banche fanno sempre più uso di analisi video. Un modo in cui questo può essere utilizzato è quello di notificare al direttore della filiale se qualcuno è entrato nell’area del servizio clienti e non è stato servito entro un certo periodo di tempo, per consentire alla filiale di migliorare i livelli di servizio al cliente. Il conteggio delle persone può essere utilizzato anche per ottenere maggiori informazioni sull’andirivieni delle persone.
Gli algoritmi di analisi che identificano il comportamento di chi si aggira per strada vengono impiegati anche all’esterno delle banche e presso i bancomat. “Abbiamo anche realizzato alcune integrazioni con gli ATM, dove i bancomat autonomi sono dotati di piccoli dispositivi di registrazione che possono essere messi in relazione con le transazioni del bancomat. Tuttavia, a causa dei problemi di privacy affrontati da leggi come il PoPI (Protection of Personal Information) Act e il GDPR (General Data Protection Regulation), questo è tipicamente limitato a dettagli come l’ora e il tipo di transazione, piuttosto che a dettagli sulla persona che esegue la transazione”, afferma Brecher.
La cybersecurity non deve essere ignorata
Che il crimine sia commesso con un piede di porco o con un computer, la motivazione numero uno per un attaccante è l’avidità, sottolinea Gregory Dellas, security presales di CA Southern Africa. “È per questo motivo che le istituzioni bancarie e finanziarie affrontano la minaccia più persistente da parte dei criminali informatici di tutto il mondo. Sebbene i dati abbiano un valore e possano essere violati e venduti, sono i sistemi che gestiscono il vero obiettivo del criminale – il denaro – a costituire i bersagli migliori”, afferma.
Secondo SABRIC, da gennaio 2018 ad agosto 2018 sono stati segnalati 16.296 incidenti con perdite pari a oltre R183 milioni per il settore bancario. Si tratta di un aumento del 64,3% i
n numero di incidenti nello stesso periodo dell’anno precedente. Su una scala più ampia, nel PwC 2018 Global Economic Crime and Fraud Survey, il Sudafrica si è classificato al primo posto a livello globale per quanto riguarda le aziende che hanno subito una qualche forma di crimine economico, con un enorme 77% di tutte le organizzazioni sudafricane colpite.
Gli aumenti maggiori nel settore sono stati registrati nelle assicurazioni, nei prestiti al consumo e negli investimenti al dettaglio. Un fattore che contribuisce a questa tendenza è il presupposto che le imprese consolidate siano le più a rischio, quando in realtà anche le nuove entità, tra cui i servizi basati sul cloud e le banche digitali, sono altamente prese di mira. Le organizzazioni giovani che cercano di crescere rapidamente e di costruire la sicurezza in un secondo momento costituiscono la maggior parte di queste violazioni segnalate.
Consapevolezza contro allerta
“La consapevolezza di questi fatti è un passo importante verso una sicurezza forte, ma non è sufficiente”, insiste Dellas. “L’attaccante è vigile, preparato e concentrato al 100% quando sfrutta i sistemi. Il personale di una società di servizi finanziari può essere consapevole della sicurezza, ma agisce in base alla routine, è distratto e non prevede, ad esempio, una telefonata di social engineering potenzialmente fatale.
“Questa carenza di attenzione può essere superata solo con gli strumenti giusti e con un’ampia strategia di sicurezza. La banca DBS, con sede a Singapore, fornisce un buon caso di studio, dove una piattaforma di gestione automatizzata dell’identità e degli accessi di CA Technologies, implementata di recente, ha ridotto il rischio di frode, aumentato l’efficienza e migliorato la soddisfazione dei clienti”.
Ulteriori livelli di difesa includono strumenti che gestiscono le credenziali privilegiate, che sono l’equivalente delle chiavi del caveau di una banca fisica. L’autenticazione intelligente basata sul rischio può colmare il gap di allerta nel caso in cui gli aggressori dovessero accedere ai sistemi o entrare in possesso delle credenziali dei dipendenti; possono essere bloccati in base a migliaia di ore di profilazione comportamentale.
“Molte istituzioni finanziarie traggono vantaggio dal benchmarking con aziende di pari livello come DBS. Un buon forum di settore che aiuta ad affrontare il rischio di cybersecurity è il Financial Services Information Sharing and Analysis Centre (FS-ISAC). Conducono frequenti esercitazioni di cyber-gamma e pubblicano raccomandazioni. Un’altra iniziativa eccellente è il Financial Data Exchange, che cerca di creare uno standard comune per la condivisione dei dati nel settore finanziario.
“Rivolgersi a colleghi e partner che hanno familiarità con l’avanguardia della cybersecurity è un passo importante per incrementare la postura di sicurezza complessiva. Aggiungendo continuamente ulteriori livelli di sicurezza, che si tratti di strumenti, processi o iniziative di collaborazione, le best practice manterranno le istituzioni finanziarie sicure e protette”, conclude Dellas.