Banche tra efficienza e sicurezza


La security sta diventando un asset tecnologico e organizzativo in grado di abilitare nuove opportunità di business. La banca si trova oggi a dover conciliare le esigenze di protezione con quelle di efficienza e di maggiore apertura al cliente

 

La sicurezza nel settore finanziario è un asset strategico che incide in misura sempre maggiore sul business e che diviene determinante nello scenario competitivo attuale. Gestire efficacemente rischi e sicurezza vuol dire rispondere a una richiesta precisa e pressante del mercato che impone alle banche di acquisire una complessa visione d’insieme: le criticità della singola filiale e la tutela del dipendente, le esigenze di interlocutori esterni diversificati e le nuove minacce derivanti dall’evoluzione dei sistemi di pagamento, la difesa del patrimonio informativo e la continuità del servizio, sono alcuni aspetti di questa visione. La banca si trova oggi a dover conciliare le esigenze di protezione con quelle di efficienza e di maggiore apertura al cliente.

Per affrontare il tema, e analizzare le sue complesse conseguenze, i principali attori della sicurezza in banca si sono ritrovati a Romail 10 e 11 giugno scorso, in occasione del convegno “Banche e Sicurezza 2010”: il grande evento di 2 giornate che ha delineato lo stato dell’arte delle strategie di protezione e ha fatto il punto sulle più innovative metodologie e tecnologie per la difesa del patrimonio bancario.

L’obiettivo dell’evento, organizzato dall’ABI – Associazione Bancaria Italiana (www.abi.it)Ossif Osservatorio in materia di sicurezza (www.ossif.it) e ABI Lab (www.abilab.it), è stato proprio quello di rispondere alla crescente attenzione verso tutte le questioni inerenti la tutela del patrimonio da eventi di natura accidentale e non, potenzialmente in grado di colpire le risorse umane, informatiche e strumentali di una banca. Il convegno ha ospitato illustri esponenti del mondo istituzionale, bancario, universitario e della Pubblica Sicurezza, insieme ai più importanti player di mercato.

Ha aperto i lavori Pierfrancesco Gaggi, direttore centrale responsabile area infrastrutture dell’ABI, sottolineando che in Italia, nonostante la “lotta al contante” intrapresa, circolano ancora 143 miliardi di euro in banconote e quasi 4 miliardi in monete, per un totale di 2.491 miliardi di pezzi. Gli strumenti diversi dal contante vengono impiegati solo in 64 operazioni procapite all’anno contro le 243 della Francia. Il costo della gestione del contante ammonta a circa 10 miliardi di euro l’anno in Italia e 50 miliardi nell’eurozona. «Gli investimenti delle banche per la sicurezza – ha sottolineato Gaggi – sono di oltre 772 milioni, prevalentemente spesi in tecnologia, collaborazione con le Forze dell’Ordine, formazione e gestione del contante». In particolare, nel 2009 circa la metà degli investimenti è stata destinata alle strategie antirapina (47%) che sempre più spesso si basano sulla tecnologia e su misure innovative di protezione, quali: sistemi di allarme di ultima generazione (adottati dal 90% delle filiali); videoregistrazione (87,5%); metal detector (54%); dispositivi biometrici (7,7%); videosorveglianza (16%); vigilanza (14,5%); dispositivi ad apertura ritardata (75,5%); tracciabilità delle banconote (2,5%); erogatore automatico di banconote (17,5%).

Dai risultati del convegno e dalla parallela indagine compiuta da Data Manager, con il diretto coinvolgimento dei fornitori di soluzioni, sono state evidenziate talune tendenze principali. La novità più interessante, sostenuta sia da Gaggi che da Enzo Calabria, direttore della Polizia Criminale, è la cosiddetta “sicurezza partecipata”, che vede la collaborazione stretta tra pubblico e privato, tra le Forze dell’Ordine, ABI, banche, Banca d’Italia, istituti di vigilanza e service. Una vera e propria public and private partnership (Ppp) che, come modello, sta avendo grande risonanza a livello delle istituzioni europee in vari settori. La sicurezza partecipata, che ha anche valore sociale, va oltre la valenza tecnica, l’uso coordinato delle informazioni e degli strumenti con modalità di collaborazione mista e richiede un’attenta ridefinizione dei processi e delle attività.

È inoltre emersa chiaramente anche la tendenza a investire verso nuovi sistemi di videosorveglianza intelligente o “Computer integrated surveillance” (Cis). La tendenza verso l’integrazione nelle reti Ip unita allo straordinario sviluppo dei sensori (come per esempio le videocamere di nuova generazione) sta introducendo, di fatto, una grande innovazione nei sistemi di sorveglianza.

Secondo i dati raccolti dall’Ossif, le rapine in banca sono comunque diminuite. Nel 2009 sono state 1.744 con un calo del 19,3% rispetto alle 2.160 compiute nel 2008. La diminuzione conferma il trend positivo già registrato alla fine dello scorso anno (-27,3%) e riguarda anche il cosiddetto “indice di rischio”, cioè il numero di rapine ogni 100 sportelli, che è passato da 6,4, a 5,1 il valore più basso registrato dal 1998 a oggi. Tale riduzione poggia prevalentemente sugli investimenti in tecnologie di sicurezza e sulla collaborazione con le istituzioni e le forze di polizia. Durante il convegno è stato sottoscritto un accordo per rafforzare il dialogo, lo scambio di informazioni e il lavoro congiunto tra ABI e Forze dell’Ordine.

 

Il rischio informatico

Se, da una parte, stanno diminuendo gli atti criminali tradizionali, dall’altra però si sta registrando un incremento e uno spostamento dell’attenzione verso i crimini informatici, meno rischiosi e più remunerativi. L’evoluzione verso l’i-finance – intesa come cooperazione dell’istituzione finanziaria, con il suo ruolo specifico, con gli altri attori del processo di creazione del valore, attraverso l’interconnessione informatica diffusa – richiede soluzioni di continuità di servizio e di sicurezza sempre più efficaci. La notevole introduzione dell’Ict nell’interazione con il cliente, privato o impresa, fa sì che la garanzia di un adeguato livello di sicurezza diventi una componente essenziale dell’offerta.

Nei sistemi informativi degli istituti finanziari sono custoditi non solo dati relativi ai conti correnti, ai pagamenti e agli investimenti, ma anche tutte le informazioni personali, che possono essere esposte a un duplice danno, sia sotto forma di furto di denaro, sia sotto forma di furto di identità per effettuare o mascherare ulteriori operazioni illegali e truffe.

Siamo di fronte a minacce sempre più sofisticate. A differenza di qualche anno fa, infatti, gli attacchi sono spinti da finalità economiche e desiderio di rapido guadagno. Phishing, spyware, adware, spam, attacchi DDoS, cavalli di troia che arrivano a impossessarsi dei Pc colpiti fino a creare le cosiddette bot-net di computer zombie finalizzate a sferrare a loro volta attacchi, sono le minacce più attuali. In quest’area sono nate vere e proprie organizzazioni criminali estese che sono in grado di offrire a chiunque, dietro compenso, tutto ciò che serve per un attacco, compreso l’anonimato, oppure veri e propri attacchi su commissione. Prospera inoltre il traffico e la vendita di identità digitali e informazioni economiche. Oltre a queste, altre minacce si stanno diffondendo e sono in grado di propagarsi attraverso applicazioni peer-to‑peer, instant messaging o Ip telephony, sovvertendo i servizi e i protocolli su cui si basano.

Leggi anche:  AI: l’89% dei dipartimenti finanziari deve ancora adottarla

 «L’evoluzione del crimine informatico verso il social engineering mette a rischio la clientela della banca permettendo ai criminali informatici di rilevare i dati senza modificarli – afferma Alexander Moiseev, managing director di Kaspersky Lab Italia (www.kaspersky.it) -. Come conseguenza il Cso deve ragionare anche sulla protezione dall’esportazione dei dati. Un meccanismo importante in questo senso è la sicurezza su ogni singolo endpoint della clientela». Il tutto fa parte del kit di Kaspersky, in cui sono stati inseriti aggiornamenti che rendono la postazione dell’utilizzatore un ambiente “pure”. Il kit include anche componenti che partono dal backup dei dati e arrivano alla sandbox per gli applicativi desiderati.

Gli fa eco Domenico De Angelis, marketing & sales director di Omnitech (www.omnitechweb.it): «Con il phishing evoluto o con attacchi “man in the browser” anche i meccanismi standard di autenticazione basati su Otp (One time programmable), implementati già da qualche anno dalle banche, potrebbero risultare non completamente adeguati». Forse è ancora troppo presto per rivedere il tutto, ma infrastrutture tecnologiche più avanzate di Otp authentication integrate con infrastrutture di Web fraud detection cominciano a essere sempre più richieste e valutate. In ambito bancario Omnitech sta proponendo una soluzione integrata di security governance in grado di fornire in maniera molto concreta ed efficace una visione d’insieme dei rischi di sicurezza delle infrastrutture e dei processi. Partendo dalla classificazione del dato, la soluzione permette l’esecuzione della It risk analysis delle applicazioni e, tramite l’impostazione dei relativi parametri, derivarne una Business impact analysis (Bia) automatizzata. La soluzione inoltre permette di poter gestire centralmente anche la redazione del piano di business continuity.

«Oggi più che mai banche e assicurazioni si rendono conto di come l’interruzione del servizio possa danneggiare la relazione con i clienti, mettendo a repentaglio importanti occasioni di business – sottolinea Emilio Barlocco, amministratore delegato e presidente di Ifm Group (www.ifminfomaster.com) -. In questo contesto si inserisce il ruolo chiave delle tecnologie Ip che consentono di realizzare sistemi di comunicazione che, prima di essere fault-tolerant, sono altamente resilienti». Fault-tolerance e resilienza sono alcune delle funzionalità caratteristiche delle piattaforme di contact center di Ifm Group che, proprio per il fatto di essere multinodali, collaborative e basate su Ip, assicurano alle banche la tanto ricercata continuità del servizio. Fra le feature delle soluzioni Ifm merita particolare attenzione la multinodalità che si contraddistingue perché risponde non solo a esigenze di sicurezza, ma anche di risparmio energetico. L’attivazione dei nodi, nell’ambito delle architetture che stanno dietro questi sistemi, è infatti legata al carico delle attività. In assenza di traffico i nodi vengono quindi spenti in un’ottica di approccio green ai consumi.

Antonio Leoni, direttore divisione finance di Hitachi Data Systems (www.hds.com) mette a fuoco, infine, una verità fondamentale sotto gli occhi di tutti: «Il settore finanziario ha l’esigenza di garantire la continuità dei servizi e l’integrità delle informazioni, rispettando le disposizioni normative». HDS propone, quindi, soluzioni che garantiscono l’efficienza dei data center, l’accesso controllato ai dati e l’encryption dei contenuti, fornendo disponibilità di accesso tramite ridondanza fisica e logica e schemi di business continuity. La protezione fisica dei dati è garantita da replica locale/remota, gestione integrata dei backup e archiviazione sicura. La virtualizzazione introduce inoltre un’ulteriore semplificazione poiché rende i processi a supporto della business continuity indipendenti dalla tecnologia utilizzata e dall’ambiente. Iccrea Banca, per esempio ha sviluppato con HDS un’infrastruttura in grado di supportare efficienti piani di disaster recovery. Il programma di business continuity inizia nel 1997 con l’obiettivo di garantire la protezione dei dati. Successivamente, i progetti di disaster recovery comprendono elementi organizzativi come il rispetto di standard e normative e la gestione delle modifiche a livello hardware e software. In Iccrea sono state implementate anche funzionalità di ripristino dei dati e un’unità di crisi.

 

Autenticazione forte

Il presidio migliore per la prevenzione del rischio è quello dell’”autenticazione a due fattori”, basata, per esempio, su smart card contenenti certificati digitali e codice Pin o su token e Pin, che sta soppiantando i sistemi meno sicuri. Per contrastare il fenomeno del malware è molto importante assicurare modalità di scambio delle informazioni sicure, efficaci e tempestive tra le istituzioni coinvolte.

«Il riconoscimento certo e univoco dell’utente è un requisito di sicurezza indispensabile imposto anche dalle normative. Il modello è l’approccio integrato per gestire le identità», sostiene Gianni Genta, partner di ATS-Advanced Technology Solutions (www.atscom.it). La soluzione ATS-Enterprise Security mette a disposizione della banca un sistema integrato ed evoluto per riconoscere gli utenti (con meccanismi di strong authentication che vanno dai certificati digitali all’utilizzo delle impronte biometriche), monitorare gli accessi e gestire la riservatezza delle informazioni. Un esempio è la Banca C.R. Asti che ha adottato il sistema ATS che riconosce in modo certo ogni utente, dal momento in cui entra all’interno della banca, fino all’accesso alla postazione di lavoro. Una sola smart card ha funzioni di badge di riconoscimento, rilevazione della presenza e strong authentication, senza password per il login alle applicazioni e contiene anche le chiavi per la firma digitale e la cifratura dei dati, assicurando la riservatezza totale delle informazioni. Con la soluzione ATS-Log Appliance, un’importante banca d’investimento risponde puntualmente alla normativa del garante della privacy in merito al controllo dell’operatività degli amministratori di sistema.

È dello stesso avviso Domenico Fusco, direttore vendite di Panda Software Italia (www.pandasecurity.com): «I canali virtuali come l’home banking, l’utilizzo di certificati digitali per l’autenticazione tra banca e cliente e di messaggi di avviso, attraverso sms o e-mail, che avvertono il cliente di ogni transazione online effettuata sono sempre più utilizzati». È necessario di conseguenza che la sicurezza informatica sia all’avanguardia per garantire la massima protezione e che ci si doti di soluzioni per la prevenzione da frodi e attacchi di phishing per il furto d’identità. Panda Security propone la soluzione SaaS Panda Cloud Protection che offre protezione antispam e antimalware per tutte le e-mail aziendali, firewall e antimalware per la difesa di Pc, laptop e server. Questa soluzione “in the cloud”, permette alle organizzazioni di concentrarsi sul business, ricollocare costi e risorse, senza la necessità di risorse e infrastrutture aggiuntive dedicate.

Leggi anche:  Sulla linea Torino Centro - Aeroporto di Torino i pagamenti sono contactless

«La normativa Pci (Payment card industry, ndr) ha imposto standard che sono diventati obbligatori per tutta l’attività finanziaria – asserisce Alberto Prandini, regional director Italia, Grecia e Cipro di Radware (www.radware.com) -. Ciò che è diventato fondamentale non è più la sola compliance alle norme: ossia non basta adottare una tecnologia che metta in sicurezza la struttura in base ai parametri Pci. Occorre anche la pianificazione e l’implementazione di un’organizzazione della struttura stessa, per metterla in grado di far “girare” il sistema in modo adeguato a raggiungere gli obiettivi di business e sicurezza, a protezione propria e del cliente». Fino a poco tempo fa, i livelli di sicurezza venivano forniti dai firewall, posizionati all’interno dell’infrastruttura in base ai livelli organizzativi. Oggi invece le banche stanno portando le applicazioni in ambito Soa, per cui la protezione deve essere fatta a livello Xml e non più genericamente per il protocollo http, con conseguenti nuove esigenze di protezione. A ciò si aggiunge il volume crescente di attacchi ibridi, che utilizzano molteplici tipologie di attacco e vettori diversi. È quindi necessario elevare il livello di sicurezza, peraltro richiesto dalla citata Pci, e adottare le più avanzate tecnologie di Web application firewall e di analisi comportamentale, cioè strumenti intelligenti in grado di interagire con applicazioni specifiche. Ormai non si è più in presenza di hacker che creano blocchi, ritardi, confusione o impedimenti al traffico legittimo: il mondo finanziario deve confrontarsi con un cybercrime sempre più evoluto, che usa sistemi di intrusione sempre più sofisticati per mettere in atto frodi od ottenere profitti illeciti. Con APSolute Attack Prevention, Radware ha messo a punto una soluzione di attack mitigation all-inclusive, che integra una varietà di dispositivi/moduli e funzioni gestionali e di reportistica che lavorano in sincrono per l’individuazione e la neutralizzazione di minacce ibride.

 

La sicurezza integrata

A livello strategico rimane centrale l’esigenza di gestire i rischi in un’ottica integrata, che vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa visione d’insieme. È quindi evidente che oggi il tema costituisce una questione di competenza dell’alta direzione in quanto richiede necessariamente di conciliare l’efficacia della prevenzione e delle contromisure con l’ottimizzazione delle risorse da impiegare a livello dell’intera banca.

L’approccio integrato al governo della sicurezza ha proprio l’obiettivo fondamentale di mediare tra le diverse e talora contrapposte esigenze del business evitando situazioni di blocco reciproco e di mancanza di coerenza e consistenza. La realizzazione del modello di “sicurezza integrata” consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di perseguire l’ottimizzazione dei relativi processi.

Ma sicurezza integrata significa anche ridefinire gli stessi processi e attività al fine di unire metodologicamente e operativamente il risk management (nelle sue componenti: strategica, finanziaria, operativa e legale), la business continuity, la sicurezza logica e fisica e la gestione della privacy. Un aspetto sempre più pressante per le banche è oggi, per esempio, la “digital forensics” al fine di documentare opportunamente ogni evento criminoso e attacco malevolo.

«Le banche oggi hanno una struttura di sicurezza orientata all’Ict e il security manager spesso riporta al Cio – afferma Giuseppe Puleo, security & privacy consultant, IBM Italia (www.ibm.com/services/it/security) -. Lo spostamento verso una struttura centralizzata e integrata dove l’Ict non è più l’owner della security, ma contribuisce significativamente alla sua gestione, è dettata dalla necessità di condividere con altre funzioni scelte che hanno un forte impatto sulla clientela, e quindi sull’immagine aziendale». Ciò rappresenta sicuramente un beneficio per l’Ict che può coinvolgere la direzione aziendale e ottenere il livello di attenzione adeguato, migliorando il livello di servizio offerto e percepito in azienda. Tuttavia il salto di qualità si avrà solo quando la sicurezza verrà considerata non solo nel rispetto di norme, ma come strumento che crea valore di business.

«Il modello organizzativo di riferimento, come già indicato dalle principali best practices (Iso 27001, Cobit, Itil, Isf), sarà sempre più verticalizzato, con una funzione di Information security centrale, a riporto diretto del top management, e più referenti di sicurezza nelle varie direzioni aziendali», conclude Puleo. Il settore bancario non può prescindere da un completo allineamento fra gli obiettivi di business e la strategia di sicurezza, avendo questa impatti significativi non soltanto sul controllo del business, ma anche e soprattutto sull’immagine. IBM ha sviluppato un modello per supportare il passaggio dalla It security governance alla Corporate security governance, composto da 3 fasi che danno una vista a livello di business, una vista tecnologica e infine la mappa di soluzioni, che va dai servizi professionali a quelli di sicurezza gestiti fino ai servizi di security sul cloud.

È dello stesso avviso Paolo Ardemagni, regional director southern europe di Check Point Software Technologies (www.checkpoint.com): «Se prima era sufficiente proteggere una rete locale, ora si fa ampio uso anche di collegamenti wireless e telefonici (per Pda e smartphone), che debbono essere protetti in maniera adeguata. Le aziende si trovano di fronte a una Babilonia di soluzioni tecnologiche, che possono trovare un denominatore comune solo con una gestione unificata e centralizzata, come quella che offre Check Point». Sono diverse le tecnologie che possono ricoprire un ruolo importante nell’ottica di una sicurezza realmente integrata. Per esempio: l’encryption dei dati per evitare che informazioni sensibili vadano in cattive mani; le Vpn che permettono di collegarsi in mobilità alla rete e alle risorse aziendali; le tecnologie di Data loss prevention (Dlp) che consentono di evitare la trasmissione di dati confidenziali a destinatari, interni o esterni, non autorizzati; l’Intrusion prevention, per rendere la propria rete sicura dalle minacce esterne. Tutte debbono essere integrate e gestite in maniera centralizzata e, soprattutto, aggiornate in modo automatizzato.

«In questo contesto VeriFone abbraccia il concetto di innovazione nella sicurezza, come elemento che fornisce flessibilità, apertura, linguaggio completamente customizzato, in linea con la propria utenza – afferma Imanuel Baharier, direttore generale VeriFone Italia (www.verifone.it) -. Se pensiamo alla filiale, oggi sappiamo che le banche stanno cercando di creare, all’interno dei propri spazi, aree in cui l’utente possa dialogare autonomamente tramite sportelli o chioschi self service dotati di interfaccia semplice e facile da gestire, per svolgere le proprie operazioni tradizionali e lasciare che il contatto tra utente e il personale di banca si focalizzi su consulenze a competenze specialistiche». L’uso di tecnologia nella sicurezza, con certificazioni comprovate come Pci Ped ed Emv 1 e 2, browser protetto, sistema operativo facile da gestire e programmare a supporto della filiale, agevola sia l’utente che la banca. «Quello che noi chiamiamo terminale – conclude Baharier – andrebbe in realtà ribattezzato “iniziale”: il Pos è uno strumento che si trova nel punto di ultimo scambio della catena di valore, in cui si entra in contatto diretto con il cliente. Non è solo un punto terminale, ma anche il luogo in cui può iniziare un nuovo processo di comunicazione».

Leggi anche:  Digital money. Verso un nuovo ecosistema globale?

Gli risponde Paolo Lossa, regional sales manager di Brocade Italia (www.brocade.com): «Sfruttando le potenzialità della nuova generazione di soluzioni di networking (virtualizzazione, consolidamento, protezione dei dati), le banche sono sempre più in grado di dare risposta alle richieste dei loro clienti in tempi rapidi e con grande efficacia». Brocade è presente, infatti, in più del 90% dei data center di istituti finanziari. Un esempio è la banca F. van Lanschot Bankiers NV, uno degli storici istituti dei Paesi Bassi. La sfida in questo caso è stata di consentire la più alta qualità di memorizzazione dei dati consolidando gli switch in un’architettura complessa. La scelta di utilizzare i prodotti Brocade per il cuore del centro di elaborazione dati, ha aiutato la banca a rafforzare lo storage networking esistente e a ridurre il numero degli switch necessari, facilitandone la gestione.

Conclude Stefano Sinigallia, technical marketing director di Riello UPS (www.riello-ups.com): «Dal punto di vista di Riello UPS, gli operatori finanziari devono accertarsi di disporre di impianti e apparati ridondanti e affidabili al 100%. Per questo motivo Riello UPS dispone di soluzioni ottimali, per far fronte alle diverse esigenze, dalla filiale al grande data center della sede centrale, in grado di assicurare la massima efficienza anche ai bassi livelli di carico». Riello Ups sta lavorando sia in ambito internazionale, con la realizzazione di grandi impianti a protezione dei ced centrali (Banca Centrale della Malaisya), che nazionale realizzando progetti per data center di più modeste dimensioni per piccoli gruppi bancari o fornendo i suoi prodotti di piccola potenza per l’alimentazione dei singoli server di filiale (Banca Sella, Unicredit Banca) sempre con il supporto dei propri partner.

 

Direzione centrale sicurezza

Nel sistema finanziario è in atto un mutamento radicale nella concezione della sicurezza, che diventa sempre più attiva e, tramite servizi avanzati di monitoraggio, tende a prevenire piuttosto che reprimere e gestire la crisi. La realizzazione del modello di “sicurezza integrata” consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale. La maggiore sensibilità dell’alto vertice sta portando anche alla costituzione di una “direzione centrale sicurezza”, con la nomina del Cso.

All’esterno della banca è importante attuare la “sicurezza partecipata”, che vede la collaborazione stretta tra pubblico e privato con un modello Ppp. In termini di investimenti tecnologici ci si sta orientando verso i nuovi sistemi di videosorveglianza intelligente o “Computer integrated surveillance”.

L’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. La sicurezza, almeno in linea di principio, non è più considerata solo come voce di costo, ma come una vera e propria leva di business, e intorno a tale concetto si avviano a essere definite soluzioni, metodologie e strumenti operativi.

Q-Card: la monetica sicura di Quercia Software

 

Quercia Software (www.quercia.com) nell’ambito dei servizi connessi alla monetica propone Q-Card, un servizio di card risk management, attivato a tutela del sistema dei pagamenti via carta. L’obiettivo di questo servizio di fraud prevention è dare protezione sia ai titolari carta sia agli esercenti dotati di Pos che accettano le carte come sistema di pagamento. Tale obiettivo viene perseguito agendo essenzialmente su tre leve: rapidità di individuazione della frode in atto (per limitare il danno sulla carta); riduzione del numero di falsi positivi (che si traduce in un modo più efficiente di lavorare); completezza di individuazione delle frodi (per ricercare la massima tutela). «Questi tre capisaldi sono il primo driver di Quercia Software a tutela dell’investimento del cliente e devono necessariamente guidare in modo armonico l’attività», afferma Franco Fiocco, responsabile del card risk management di Quercia Software. Per quanto riguarda le iniziative a tutela dei titolari carta, Quercia Software propone in prima battuta un servizio di analisi dei rischi, finalizzato a individuare la griglia di regole che permettono di evidenziare le situazioni di potenziale rischiosità: ognuna di queste viene quindi esaminata, al suo rilevarsi, con l’obiettivo di scoprire con la massima celerità eventuali transazioni fraudolente. Un processo analogo di analisi dei rischi e attivazione di alert al rilevamento di eventi “eccezionali” viene proposto a tutela degli esercenti dotati di Pos, sia fisico sia virtuale. Questo servizio integra un sistema articolato che prevede per esempio messaggi Sms, per la notifica di richieste di autorizzazione di talune operazioni considerate particolarmente a rischio. Un’ulteriore caratteristica del sistema è la veloce attivazione del processo di ricerca di eventuali punti di compromissione nei quali possano essere passate carte successivamente bloccate per transazioni fraudolente. Gli strumenti a supporto sono i sistemi neurali Visor ed EMS, rispettivamente di Visa e MasterCard, e il software PRM (Proactive Risk Manager) di ACI che opera come data base integrato. Q-Card è arricchito da una componente di contact center che mette a disposizione dei titolari carta un esperto, disponibile 24 ore su 24, per risolvere problemi o dubbi che si dovessero presentare nell’utilizzo delle carte. «Tale servizio di contact center – conclude Fiocco – risulta essere molto apprezzato dagli utenti che si sentono maggiormente tutelati nell’utilizzo delle carte di pagamento».