Rischi e frodi informatiche: intelligence per la sicurezza digitale

Il crescente utilizzo della tecnologia digitale schiude nuove opportunità legate ai processi di innovazione che guidano il cambiamento nei modelli operativi e di business, ponendo inevitabilmente l’attenzione del management aziendale su una gestione strutturata e sistematica dei rischi.

Lock with credit cards and wallet on a laptop

Crescono i rischi legati all’evoluzione del mondo digitale 

Il crescente utilizzo della tecnologia digitale apre a nuove opportunità legate ai processi di innovazione dei modelli operativi e di business, ponendo inevitabilmente l’attenzione del management aziendale su una gestione strutturata e sistematica dei rischi. Le frodi, in particolare, sono destinate ad acquisire sempre più importanza all’interno delle aziende con la crescita del digitale (tra 2020 e 2021 le transazioni e-commerce B2C sono cresciute del 21%, i Contactless e Innovative payments sono cresciuti rispettivamente del 84% e del 67% annuo tra il 2016 e 2020, secondo un'elaborazione del team Advisory a partire dai dati di Osservatori.net).

L’associazione tra implementazione degli strumenti tecnologici e rischi per la sicurezza digitale è un tema rilevante, soprattutto dopo l’accelerazione all’utilizzo impressa dalla pandemia di COVID-19. Nella nuova edizione 2022 del Global Risks Report, sviluppato dal World Economic Forum e Marsh McLennan, nel Ranking dei “Top 10 Risks” rientrano i rischi connessi alla tecnologia.  

Nel “Global Risks Report” viene evidenziato come la crescita nell’utilizzo dei servizi digitali e la conseguente dipendenza da questi strumenti porteranno a un’intensificazione dei rischi, connessi ad esempio al furto e all’esfiltrazione di dati, che implicheranno conseguenze in termini di mancanza di sicurezza digitale e frodi informatiche.

La stretta connessione tra rischi digitali e illeciti economici per frode informatica

Se è vero che il progresso in campo digitale crea opportunità per le aziende, lo stesso succede nel mondo del crimine informatico.  Le nuove tecnologie mettono infatti a disposizione dei criminali strumenti in grado di sfruttare le vulnerabilità per portare a termine i propri attacchi: social engineering (forme di attacco che sfruttano la fallibilità dell’elemento umano per carpire informazioni confidenziali), deepfake (soluzioni basate sull’implementazione dell’Intelligenza Artificiale), furti di credenziali per l’accesso alle piattaforme di home banking, furti di chiavi private per wallet e cryptovalute e di numeri di carte di credito, i fenomeni di phishing, smishing e vishing (tecniche utilizzate per appropriarsi di dati personali e bancari, che nel nostro Paese sono incrementati del 27%, secondo i dati 2021 della Polizia Postale), costituiscono un pericolo tangibile per privati e aziende. 

Dai rilevamenti delle autorità emerge come la matrice criminale di questi attacchi sia, nella maggioranza dei casi, finalizzata al conseguimento  profitti illeciti: basti pensare, ad esempio, che in un caso di frode informatica recentemente rilevato, i criminali informatici hanno clonato la voce di un direttore di banca per autorizzare il trasferimento illecito di 35 milioni di dollari.

Guardando alle aziende, in Italia, sono stati rilevati 126 attacchi ai sistemi finanziari di grandi e medie imprese, per un ammontare complessivo di oltre 36 milioni di euro. In particolare, nell’ambito dei pagamenti digitali, per quanto riguarda le frodi sulle carte di pagamento su Internet, nel periodo 2012-19, sembrano essere più contenute rispetto al passato; ciò potrebbe essere imputabile anche ai programmi di implementazione dei presidi di sicurezza, ad esempio per soglie di importo e tipologie di strumento utilizzato. In particolare, il tasso di frode è diminuito gradualmente per le carte di credito a partire dal 2017, mentre per le prepagate le transazioni frodate online hanno iniziato a ridursi a partire dal 2019; questi presidi sono stati anche rafforzati dall’emanazione delle normative di riferimento

Proteggersi dalle frodi informatiche e dai rischi digitali: le soluzioni di Marsh

L’interconnessione sempre più fitta tra innovazione tecnologica e crimini informatici comporta implicazioni in termini di perdite finanziarie, aziendali e personali che impongono al management scelte di investimento sempre più orientate all’evoluzione dei servizi di prevenzione e detection dei rischi digitali.

Grazie al supporto del team Advisory di Marsh, le aziende possono affrontare in modo olistico i rischi legati alle frodi informatiche e ai rischi digitali, attraverso l’utilizzo di soluzioni per:

  • definire sistemi anti-frode ex-novo da un punto di vista strategico, attraverso l’analisi delle caratteristiche della clientela e dei comportamenti transazionali;
  • sviluppare assessment e individuare le possibili aree per rafforzare i presidi anti-frode eventualmente esistenti;
  • implementare servizi tecnologici per la prevenzione e il rilevamento dei potenziali casi fraudolenti. 

Quali sono i vantaggi offerti delle soluzioni di Marsh? 

I servizi digitali in ambito anti-frode di Marsh consentono di:

  • offrire una soluzione data-driven di prevenzione e rilevamento delle potenziali frodi;
  • eseguire analisi di segmentazione sui dati transazionali per individuare possibili profili fraudolenti;
  • definire e incrementare le performance di eventuali sistemi anti-frode esistenti;
  • incrementare l’affidabilità delle informazioni nell’elaborazione dei dati, a supporto dei processi decisionali;
  • migliorare l’efficienza, eliminando eventuali gestioni con dati processati manualmente.

Le soluzioni possono essere sviluppate in linea con le esigenze architetturali dell’azienda cliente: si tratta di un servizio in continua evoluzione, articolato su 4 caratteristiche principali integrate tra loro: 

  1. autonomia degli utenti nella configurazione del sistema anti-frode (reportistica, indicatori);
  2. semplicità nell’interfacciamento con i flussi informativi aziendali (ad esempio tramite API);
  3. integrazione con tecnologie open source per beneficiare degli sviluppi della comunità scientifica (ad esempio nell’ambito dell’Intelligenza Artificiale);
  4. costruzione di una vista unica per cliente (come nel caso del retail banking) che integra l’operatività su diversi prodotti/servizi. 

Machine Learning e sicurezza digitale

L’integrazione di tecnologie innovative, come il Machine Learning, può supportare concretamente i processi decisionali e organizzativi delle aziende per fronteggiare il rischio di frodi. L’implementazione del Machine Learning può costituire un supporto valido per le organizzazioni, in particolare può aiutare:

  • ad articolare meglio il sistema di indicatori tradizionale basato su rilevazione “a soglie”;
  • a ottimizzare i valori delle soglie dei suddetti indicatori;
  • a diminuire in modo rilevante i falsi positivi usualmente individuati dal sistema di indicatori.

Marsh è quindi in grado di offrire, a supporto delle aziende, una soluzione digitale in grado, da un lato, di dispiegare un sistema di prevenzione e rilevamento tramite sistema di indicatori con regole di calcolo deterministiche, utili ai fini operativi e di compliance; dall’altro, di arricchire la rilevazione delle potenziali anomalie con i risultati derivanti dall’applicazione di modelli di analisi di Machine Learning. Attraverso l’integrazione di questi sistemi, gli specialisti possono beneficiare di un sistema di selezione delle priorità e di valutazione della rischiosità delle potenziali frodi.

Tramite l’utilizzo di fonti informative varie e con volumi rilevanti, questo tipo di soluzione consente di intercettare potenziali comportamenti fraudolenti anche sui dati di tipo interazionale, oltre che transazionale. In tal senso, attraverso l’analisi di dati tecnici (come i log tracking delle login alle applicazioni), di dati di tipo geografico (localizzazione degli indirizzi IP) e di dati esterni (grey, black list) è possibile costruire un sistema solido, sia da un punto di vista di conoscenza dei comportamenti potenzialmente fraudolenti (grazie alla completezza dei dati analizzabili) sia da un punto di vista di applicazione di tecnologie innovative sull’analisi dei dati.

Gli sviluppi in corso: l’autenticazione biometrica per la lotta alle frodi informatiche

L’analisi dei dati può costituire uno strumento utile a individuare i possibili comportamenti fraudolenti e come tale apre la discussione sull’opportunità di implementare nei processi di analisi diverse tecnologie innovative, a oggi caratterizzate da diversi gradi di maturità.

Quando si parla di controlli transazionali online integrati nella customer journey e che interagiscono quindi direttamente con gli utenti, tra le tecnologie più studiate rientra sicuramente l’autenticazione biometrica: si tratta di un modello di identificazione e di controllo degli accessi basato sull’analisi di alcune caratteristiche fisiche del soggetto, i fattori biometrici: l’analisi delle impronte digitali, della retina e il riconoscimento facciale sono alcuni degli esempi di cui si parla da alcuni anni. Tra le forme di identificazione biometrica di sicuro interesse in ambito anti-frode – in ottica di prossimi sviluppi – rientra la biometria vocale (o, più semplicemente, il riconoscimento della voce).

La biometria vocale conta sul fatto che la voce di ciascuno di noi è diversa da qualsiasi altra, se esaminata in dettaglio per intensità, altezza e timbro; è il frutto infatti della conformazione fisica degli organi che intervengono nella modulazione del linguaggio, ovviamente le corde vocali ma anche il palato, il tratto vocale, la lingua e molti altri. Data la complessità nei tentativi di ricostruzione della voce, i relativi sistemi di classificazione e riconoscimento costituiscono la nuova frontiera applicativa per contrastare i rischi frode derivanti dall’uso del digitale.

Un esempio di utilizzo di queste tecnologie è quello offerto da un importante player bancario, che ha visto ridursi del 50% le frodi tramite canale telefonico grazie all'introduzione di un sistema di sicurezza biometrica che offre l’autenticazione attraverso la voce dei clienti. La banca ha stimato che l’introduzione del sistema di “Voice ID” come livello di sicurezza aggiuntivo ai meccanismi esistenti abbia impedito, nell’arco di 12 mesi, che un importo pari a circa 300 milioni di euro finisse nelle mani dei criminali.

In tale contesto, la continua evoluzione tecnologica spingerà un’innovazione, oltre che dei modelli di business e operativi come dicevamo sopra, anche dei modelli di controllo. In tal senso, i trend che si potranno sviluppare andranno, da un lato, a rendere i controlli sempre più profondi e, quindi, adattivi rispetto alle interazioni e comportamenti transazionali degli utenti; dall’altro ad arricchire sempre di più i sistemi sottostanti alle interfacce digitali per contrastare online, tramite controlli di linea “embedded”, potenziali fenomeni fraudolenti in un’ottica di controlli “Self-Service”.

A tal proposito, come dovranno muoversi le linee di difesa per adeguarsi a questa evoluzione? Di seguito alcuni challenge che chi gestisce il rischio in azienda dovrà affrontare per adeguare l’evoluzione dei controlli all’evoluzione del business:

  • processi strutturati e continui di Case Management e Root Cause analysis per arricchire costantemente la knowledge base disponibile;
  • accessibilità e tempestività nella fruizione delle informazioni che consentano di disporre in tempo reale dei dati adeguati a prendere determinate decisioni immediate di remediation o tattiche per l’improvement;
  • integrazione di approcci sempre più data-driven nelle analisi di Risk Managament, attraverso applicazione di modelli di analisi avanzate.

Per attuare il cambiamento, risulterà di cruciale importanza per i Risk Manager:

  • agire sulla cultura aziendale, per diffondere sempre di più un approccio al rischio più pervasivo rispetto alle strategie e operations aziendali, attraverso il digitale;
  • investire sull’acquisizione di nuove competenze, adeguando di conseguenza l’organizzazione con funzioni che possano fornire costantemente insight e informazioni per le decisioni delle attività in ambito Rischio.

Autori

Image placeholder

Bruno Rodà

Practice Leader | Digital Risk Advisory

  • Italy

Image placeholder

Andrea Dammacco

Digital Risk Solutions Implementation Consultant

  • Italy

Image placeholder

Marta Valentini

Digital Risk Transformation Manager

  • Italy