You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Rischi e Opportunità nella gestione della sicurezza eCommerce<br />
<strong>Andrea</strong> <strong>Gambelli</strong><br />
Head of Functional Analysis, Fraud, Test and Client Service Management<br />
Financial Services Division<br />
Roma, 3 Novembre 2011<br />
© <strong>SIA</strong>
AGENDA<br />
• Introduzione<br />
• eCommerce in Italia<br />
• Principali rischi e soluzioni<br />
• <strong>SIA</strong> e la gestione del rischio<br />
FINANCIAL INSTITUTIONS<br />
© <strong>SIA</strong> 2
Card Not Present (CNP):<br />
Differenti livelli di sicurezza<br />
Una transazione Card Not Present (CNP) è una transazione effettuata senza la<br />
presenza fisica di una carta presso il punto vendita. Si può trattare di un “Mail<br />
Order/Telephone Order (MOTO) oppure di una “Internet transaction”.<br />
Quali sono quindi i principali rischi …………Prima di tutto vanno considerati i diversi<br />
livelli di sicurezza possibili:<br />
• Transazioni effettuate utilizzando solo Primary Account Number (PAN), nome titolare,<br />
data scadenza<br />
• Transazioni effettuate utilizzando Primary Account Number (PAN), nome titolare,<br />
data scadenza, CVV2/CVC2/CAV2/4DBC<br />
• Transazioni effettuate utilizzando “3DS Solutions”. (Questa opzione è applicabile solo<br />
a transazioni internet)<br />
Il rischio principale è dato dalla mancata protezione dei dati utilizzati durante una<br />
transazione CNP.<br />
© <strong>SIA</strong> 3
Gli obiettivi della PCI-DSS<br />
Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato dal “PCI<br />
Council” ed adottato da Visa e MasterCard per aumentare la sicurezza dei dati a<br />
rischio di frode:<br />
Le norme “PCI DSS” si applicano “wherever account data is stored, processed or<br />
transmitted. Account Data consist of Cardholder Data plus Sensitive Data”<br />
• Cardholder Data and Sensitive Data includono:<br />
› Full magnetic stripe data or equivalent on a chip<br />
› Primary Account Number (PAN)<br />
› Cardholder Name<br />
› Expiration Date<br />
› Service Code<br />
› CAV2/CVC2/CVV2<br />
› PINs/PIN blocks<br />
© <strong>SIA</strong> 4
AGENDA<br />
• Introduzione<br />
• eCommerce in Italia<br />
• Principali rischi e soluzioni<br />
• <strong>SIA</strong> e la gestione del rischio<br />
FINANCIAL INSTITUTIONS<br />
© <strong>SIA</strong> 5
La vendita online di prodotti cresce a tassi più<br />
sostenuti della vendita di servizi<br />
7.000<br />
mln di €<br />
eCommerce<br />
Italia: +14%<br />
6.000<br />
5.000<br />
4.000<br />
1.128<br />
1.183<br />
+3%<br />
+22%<br />
1.160<br />
1.439<br />
Altro<br />
Prodotti<br />
3.000<br />
+15%<br />
2.000<br />
3.452<br />
3.983<br />
Servizi<br />
1.000<br />
0<br />
© <strong>SIA</strong><br />
2009 2010<br />
L’eCommerce B2c in Italia<br />
* Source = School of Management Politecnico di Milano<br />
15 Marzo 2011
Quasi l’85% dei pagamenti viene effettuato contestualmente<br />
all’acquisto online tramite Carta di credito e Paypal…<br />
* dati stimati<br />
Ripartizione sul valore delle<br />
vendite<br />
20% 20%<br />
10%<br />
10%<br />
2%<br />
Altro<br />
1%<br />
17% 16% Altro<br />
Vaglia Postale<br />
1% Finanziamento<br />
12%<br />
13%<br />
4% Contrassegno<br />
Paypal<br />
8%<br />
Bonifico Bancario<br />
70%<br />
70%<br />
71%<br />
71%<br />
Carta di Credito<br />
2007 2008 2009 2010*<br />
* Source = School of Management Politecnico di Milano<br />
© <strong>SIA</strong><br />
L’eCommerce B2c in Italia<br />
15 Marzo 2011
Le frodi si riducono sia percentualmente sul totale<br />
transato sia in valore assoluto…<br />
Per frode si intende +14% il disconoscimento<br />
della +0% transazione da parte del cliente<br />
+14%<br />
Frodi<br />
5.032<br />
mln di €<br />
5.754<br />
mln di €<br />
5.763<br />
mln di €<br />
6.582<br />
mln di €<br />
0,23 %<br />
12 mln €<br />
circa<br />
0%<br />
0,2 %<br />
12 mln €<br />
circa<br />
-17%<br />
0,17 %<br />
10 mln €<br />
circa<br />
-5%<br />
0,14 %<br />
9 mln €<br />
circa<br />
2007<br />
2008<br />
2009<br />
2010*<br />
© <strong>SIA</strong><br />
2007 2008 2009 2010<br />
L’eCommerce B2c in Italia<br />
* Source = School of Management Politecnico di Milano<br />
15 Marzo 2011
… ma crescono le transazioni bloccate per sospetta frode…<br />
… con Turismo ed Informatica i settori più presi di mira<br />
* dati stimati<br />
Transazioni non conformi ai requisiti imposti<br />
dal sistema di controllo<br />
3,3%<br />
Blocchi per sospetta frode nei comparti –<br />
% ordini bloccati<br />
0,41%<br />
1,6 %<br />
Ordini<br />
1,7%<br />
Ordini<br />
0,04%<br />
0,01%<br />
Più che buona la diffusione degli strumenti antifrode…<br />
…così come la valutazione della loro efficacia da parte<br />
dei merchant<br />
* dati stimati<br />
85%<br />
89%<br />
85%<br />
87%<br />
90%<br />
91%<br />
50%<br />
60%<br />
35%<br />
35%<br />
14%<br />
14%<br />
Adozione<br />
% iniziative del<br />
campione<br />
2009 2010*<br />
Verified<br />
By<br />
Visa<br />
4,3<br />
2009 2010*<br />
Mastercard<br />
Secure<br />
code<br />
4,3<br />
2009 2010*<br />
CVV2<br />
CVC2<br />
CVA2<br />
2009 2010*<br />
Paypal<br />
2009 2010*<br />
4DBC<br />
2009 2010*<br />
Bank<br />
Pass<br />
Web<br />
4,1<br />
3,8 3,9<br />
3<br />
Efficacia<br />
Valutazione con una<br />
scala tra 1 e 5<br />
Verified<br />
By<br />
Visa<br />
Mastercard<br />
Secure<br />
code<br />
CVV2<br />
CVC2<br />
CVA2<br />
Paypal<br />
4DBC<br />
Bank<br />
Pass<br />
Web<br />
The © 3-digit <strong>SIA</strong><br />
security code L’eCommerce on the back B2c of in Italia<br />
your credit or debit card: Visa calls it CVV2, * Source MasterCard = School of calls Management it 15 CVC2. Politecnico<br />
Marzo 2011<br />
JCB call it di the<br />
Milano<br />
CAV2.Amex call it 4DBC and it is a 4-digit security code on the front of your credit card.
AGENDA<br />
• Introduzione<br />
• eCommerce in Italia<br />
• Principali rischi e soluzioni<br />
• <strong>SIA</strong> e la gestione del rischio<br />
FINANCIAL INSTITUTIONS<br />
© <strong>SIA</strong> 11
Cross contamination: fraud attack on terminals<br />
Uno dei principali rischi di frodi è legato alla cosiddetta “cross contamination” tra i diversi<br />
canali di utilizzo carte.<br />
I dati infatti possono essere catturati durante una transazione fisica e poi utilizzati in un<br />
ambiente di CNP a bassa o media sicurezza.<br />
Un tipico esempio:<br />
• Durante una transazione EMV uno “shim device” inserito da un truffatore<br />
all’interno del lettore carta del POS, intercetta la comunicazione tra chip carta e<br />
terminale, catturando i dati di traccia2 contenuti nel chip (e anche il PIN, se<br />
viene usata la modalità di PIN Offline in chiaro).<br />
A questo punto il truffatore è in possesso di dati sufficienti per creare una carta<br />
a banda in grado di operare sia su un pos fisico che via internet (non sicuro).<br />
Come ci si può difendere da questo tipo di frode<br />
Ad esempio utilizzando sempre quantità di sicurezza diverse tra dati chip e dati<br />
banda (iCVV/Chip CVC rispetto al CVV/CVC) .<br />
© <strong>SIA</strong> 12
Best practices, full EMV solutions<br />
Gran parte delle frodi avvengono anche perchè gli obblighi/raccomandazioni dei “Card<br />
Payment Schemes” non sono omogenei a livello mondiale o sono implementati con<br />
ritardo a seguito degli elevati impatti di business che comportano. Alcuni esempi:<br />
Issuing Cards<br />
• EMV Chip (and PIN) cards<br />
• iCVV / Chip CVC implementati<br />
• Uso di chip “dinamici” (che consentono l’uso di PIN cifrato al posto del PIN offline in<br />
chiaro, eliminado il rischio di clonazione della firma statica della carta)<br />
Card Authorization<br />
• Non consentire il “Fallback” (uso della banda magnetica quando il chip non funziona):<br />
• Non consentire mai il PIN byPASS<br />
• Altri tipi di attacchi potrebbero essere evitati se tutti i dati chip EMV venissero inviati<br />
all’Issuer (Terminal Verification Result, Card Verification Result, Cardholder<br />
Verification Method results). L’analisi di questi dati durante il processo di<br />
autorizzazione permetterebbero di confermare che carta e terminale hanno la stessa<br />
“visione” della modalità di transazione.<br />
© <strong>SIA</strong> 13
Best practices, Fraud Tools e SMS alert<br />
Elemento fondamentale per combattere le frodi è poi un efficiente sistema di<br />
prevenzione frodi.<br />
Un sistema efficiente è quello che permette un giusto equilibrio tra la prevenzione<br />
delle frodi (massimizzandola) e l’impatto di business per l’esercente<br />
(minimizzandolo).<br />
Per ottenere il giusto mix, l’utilizzo di sistemi di fraud prevention in modalità “real<br />
time” abbinati al servizio di SMS alert è fortemente raccomandato.<br />
A questo vanno associati costanti programmi di education verso gli<br />
esercenti/acquirers (sia negozi fisici che virtuali) e campagne di positiva<br />
sensibilizzazione verso i titolari.<br />
Il costo di tali sistemi/programmi è sicuramente elevato ma la possibilità di farne un<br />
utilizzo consortile e i benefici in termini di frodi risparmiate, garantiscono un ritorno<br />
dell’investimento nel breve/medio periodo.<br />
© <strong>SIA</strong> 14
eCommerce Networks Solutions: 3DS<br />
La risposta di Visa e MasterCard all’aumento delle transazioni internet e di<br />
conseguenza del rischio di frode è il sistema 3DSecure.<br />
Verified by Visa (VbV) e Secure Code (SC) sono i due nomi commerciali<br />
rispettivamente di Visa e MasterCard ed entrambi si basano su un protocollo<br />
chiamato 3D Secure.<br />
Di seguito sono rappresentate le tipiche fasi di una transazione VbV/SC effettuata da<br />
parte di un titolare di carta.<br />
© <strong>SIA</strong> 15
Soluzioni di pagamento per portali Internet<br />
Architettura della Soluzione – fase 1<br />
La registrazione del Titolare<br />
2<br />
1<br />
Banca<br />
3<br />
4<br />
1) Il titolare accede al portale della propria<br />
banca e sceglie di abilitare la carta al<br />
servizio VbV/SecureCode<br />
2) Il portale della banca autentica il titolare<br />
che viene re-indirizzato verso<br />
l’enrollment server dell’Issuer/Provider<br />
3) Il titolare inserisce i dati richiesti per il<br />
completamento della fase di enrollment<br />
4) A conclusione della registrazione al<br />
servizio, il titolare ottiene le informazioni<br />
per poter utilizzare la propria carta su<br />
internet<br />
SSB<br />
© <strong>SIA</strong>
Architettura della soluzione – fase 2<br />
La fase di autenticazione e pagamento<br />
1) il titolare effettua l’acquisto su un sito di un<br />
esercente abilitato al VbV/SecureCode e<br />
inserisce i dati della carta nella pagina di<br />
pagamento;<br />
2) il sito dell’esercente si collega attraverso la<br />
componente Merchant Plug-In (MPI) al<br />
Directory Server di Visa/MasterCard<br />
3) se la carta aderisce al servizio, l’MPI invia una<br />
richiesta d’autenticazione del titolare all’ACS<br />
(Access Control Server) dell’Issuer attraverso<br />
una redirect del browser del titolare;<br />
4) l’ACS richiede la password al titolare e la<br />
verifica;<br />
5) l’ACS restituisce un identificativo univoco<br />
della transazione (AVV) e l’esito<br />
dell’autenticazione all’MPI attraverso una<br />
redirect del browser del titolare;<br />
6) il Merchant Server Plug-in verifica la risposta<br />
dell’ACS;<br />
7) se l’autenticazione ha avuto esito positivo, il<br />
sito dell’esercente prosegue con il normale<br />
processo autorizzativo.<br />
© <strong>SIA</strong>
AGENDA<br />
• Introduzione<br />
• eCommerce in Italia<br />
• Principali rischi e soluzioni<br />
• <strong>SIA</strong> e la gestione del rischio<br />
FINANCIAL INSTITUTIONS<br />
© <strong>SIA</strong> 18
Un gruppo al centro del processing europeo<br />
Dati 2010<br />
Competenze internazionali<br />
Dati Societari<br />
Personale Gruppo <strong>SIA</strong> 1,482<br />
Ricavi Gruppo <strong>SIA</strong> 334 Millioni €<br />
Transactions<br />
operazioni su carte (debito/credito)<br />
operazioni di incasso e di pagamento<br />
Carte/Esercenti<br />
Carte<br />
Merchants<br />
Dati trasportati sulla rete<br />
4,9 miliardi<br />
2,6 miliardi<br />
62,4 millioni<br />
1 millione<br />
11,1 terabyte<br />
Azionisti Principali<br />
Gruppo Intesa San Paolo 30,6%<br />
Gruppo Unicredit 24.1%<br />
Gruppo MPS 5.8%<br />
BNP Paribas 4.2%<br />
Il Gruppo opera prevalentemente in Europa e<br />
ha recentemente acquisito importanti clienti in:<br />
Africa, Sud America, Medio Oriente.<br />
La copertura geografica complessiva si estende<br />
in 40 Paesi.<br />
© <strong>SIA</strong><br />
19
the Network of Excellence<br />
<strong>SIA</strong> Il gruppo si compone di sette società con specializzazioni proprie e presidi europei ed extra-europei.<br />
© <strong>SIA</strong><br />
20
L’offerta <strong>SIA</strong> per l’eCommerce<br />
Il processing per le<br />
carte<br />
Servizi di issuing e<br />
acquiring modulari,<br />
flessibili e personalizzati<br />
per la gestione delle carte<br />
a partire dalla fase di<br />
allineamento archivio carte<br />
alla fase autorizzativa.<br />
VbV/ SecureCode<br />
Issuing<br />
Il servizio 3D Secure<br />
offerto da <strong>SIA</strong> consente a<br />
un titolare di carta Visa o<br />
Mastercard di acquistare in<br />
piena sicurezza presso un<br />
esercente online<br />
@POS La soluzione<br />
di POS virtuale<br />
E’ la soluzione di Pos<br />
virtuale, multicanale<br />
realizzata da <strong>SIA</strong> al fine di<br />
fornire alla propria clientela<br />
un prodotto sicuro e<br />
innovativo, dotato di servizi<br />
competitivi e a valore<br />
aggiunto.<br />
VAS per le frodi<br />
Nell’ambito della propria esperienza, <strong>SIA</strong> mette a disposizione della Clientela soluzioni<br />
complete per la prevenzione delle frodi e le successive attività di contrasto.<br />
© <strong>SIA</strong>
I valori della soluzione <strong>SIA</strong><br />
• La soluzione è valida sia per le carte di debito/credito che prepagate<br />
• Soluzione complementare ed integrata ai servizi di processing carte<br />
già in essere<br />
• Offerta modulare e personalizzabile in funzione delle necessità della<br />
banca in modalità white-label<br />
• Soluzione non invasiva rispetto alle procedure in uso presso la Banca<br />
• Soluzione 3D Secure completa sia lato Issuing sia lato Acquiring<br />
© <strong>SIA</strong>
<strong>SIA</strong> propone un offerta “Full Service” , integrando le<br />
soluzioni IT per la gestione delle frodi con una proposta<br />
di back office<br />
Il Call Center Fraud è<br />
una struttura in grado di<br />
contattare direttamente<br />
il titolare su delega<br />
Cliente al fine di<br />
indagare sull’operatività<br />
delle carte, Servizio di<br />
Blocco Carte tramite Call<br />
Center opera 24 ore su<br />
24, 7 giorni su 7<br />
Call Center<br />
Services<br />
Authorisation<br />
Strategy<br />
Lo “Scudo Autorizzativo”<br />
consente di negare le<br />
autorizzazioni i cui<br />
parametri ricadano in<br />
quelli identificati come<br />
potenzialmente<br />
fraudolenti<br />
Il competence center di<br />
<strong>SIA</strong> è in grado di gestire<br />
le diverse segnalazioni<br />
provenienti dai Sistemi<br />
di Fraud Prevention e<br />
Detection e di mettere<br />
in atto tempestivamente<br />
le contromisure<br />
necessarie<br />
Il servizio di “Dispute<br />
Management” è una<br />
soluzione con la quale<br />
l’Issuer delega al<br />
competence center di<br />
<strong>SIA</strong> gli aspetti legati al<br />
rapporto con le<br />
controparti e con i<br />
Circuiti Internazionali<br />
Fraud Analysis<br />
Services<br />
Dispute<br />
Management<br />
Advanced<br />
Detection of<br />
Fraud<br />
Alerting &<br />
Reporting<br />
Diverse soluzioni di<br />
“Fraud Detection” :<br />
soluzioni “Rule Based” e<br />
“Neurali”, in modalità<br />
“Real Time” e “Near Real<br />
Time” fornite a decine di<br />
Clienti nazionali ed<br />
internazionali<br />
Servizi dedicati di<br />
“Alerting & Reporting”<br />
per l’inoltro di messaggi<br />
SMS e soluzioni “webbased”<br />
per le funzioni di<br />
Inquiry relative alla<br />
movimentazione delle<br />
Carte.<br />
© <strong>SIA</strong>
www.sia.eu - info@sia.eu<br />
andrea.gambelli@sia.eu - +39 02 6084 4371<br />
© <strong>SIA</strong>