Andrea Gambelli - SIA

Rischi e Opportunità nella gestione della sicurezza eCommerce
Andrea Gambelli
Head of Functional Analysis, Fraud, Test and Client Service Management
Financial Services Division
Roma, 3 Novembre 2011
© SIA

AGENDA
• Introduzione
• eCommerce in Italia
• Principali rischi e soluzioni
• SIA e la gestione del rischio
FINANCIAL INSTITUTIONS
© SIA 2

Card Not Present (CNP):
Differenti livelli di sicurezza
Una transazione Card Not Present (CNP) è una transazione effettuata senza la
presenza fisica di una carta presso il punto vendita. Si può trattare di un “Mail
Order/Telephone Order (MOTO) oppure di una “Internet transaction”.
Quali sono quindi i principali rischi …………Prima di tutto vanno considerati i diversi
livelli di sicurezza possibili:
• Transazioni effettuate utilizzando solo Primary Account Number (PAN), nome titolare,
data scadenza
• Transazioni effettuate utilizzando Primary Account Number (PAN), nome titolare,
data scadenza, CVV2/CVC2/CAV2/4DBC
• Transazioni effettuate utilizzando “3DS Solutions”. (Questa opzione è applicabile solo
a transazioni internet)
Il rischio principale è dato dalla mancata protezione dei dati utilizzati durante una
transazione CNP.
© SIA 3

Gli obiettivi della PCI-DSS
Il Payment Card Industry Data Security Standard (PCI DSS) è stato sviluppato dal “PCI
Council” ed adottato da Visa e MasterCard per aumentare la sicurezza dei dati a
rischio di frode:
Le norme “PCI DSS” si applicano “wherever account data is stored, processed or
transmitted. Account Data consist of Cardholder Data plus Sensitive Data”
• Cardholder Data and Sensitive Data includono:
› Full magnetic stripe data or equivalent on a chip
› Primary Account Number (PAN)
› Cardholder Name
› Expiration Date
› Service Code
› CAV2/CVC2/CVV2
› PINs/PIN blocks
© SIA 4

AGENDA
• Introduzione
• eCommerce in Italia
• Principali rischi e soluzioni
• SIA e la gestione del rischio
FINANCIAL INSTITUTIONS
© SIA 5

La vendita online di prodotti cresce a tassi più
sostenuti della vendita di servizi
7.000
mln di €
eCommerce
Italia: +14%
6.000
5.000
4.000
1.128
1.183
+3%
+22%
1.160
1.439
Altro
Prodotti
3.000
+15%
2.000
3.452
3.983
Servizi
1.000
0
© SIA
2009 2010
L’eCommerce B2c in Italia
* Source = School of Management Politecnico di Milano
15 Marzo 2011

Quasi l’85% dei pagamenti viene effettuato contestualmente
all’acquisto online tramite Carta di credito e Paypal…
* dati stimati
Ripartizione sul valore delle
vendite
20% 20%
10%
10%
2%
Altro
1%
17% 16% Altro
Vaglia Postale
1% Finanziamento
12%
13%
4% Contrassegno
Paypal
8%
Bonifico Bancario
70%
70%
71%
71%
Carta di Credito
2007 2008 2009 2010*
* Source = School of Management Politecnico di Milano
© SIA
L’eCommerce B2c in Italia
15 Marzo 2011

Le frodi si riducono sia percentualmente sul totale
transato sia in valore assoluto…
Per frode si intende +14% il disconoscimento
della +0% transazione da parte del cliente
+14%
Frodi
5.032
mln di €
5.754
mln di €
5.763
mln di €
6.582
mln di €
0,23 %
12 mln €
circa
0%
0,2 %
12 mln €
circa
-17%
0,17 %
10 mln €
circa
-5%
0,14 %
9 mln €
circa
2007
2008
2009
2010*
© SIA
2007 2008 2009 2010
L’eCommerce B2c in Italia
* Source = School of Management Politecnico di Milano
15 Marzo 2011

… ma crescono le transazioni bloccate per sospetta frode…
… con Turismo ed Informatica i settori più presi di mira
* dati stimati
Transazioni non conformi ai requisiti imposti
dal sistema di controllo
3,3%
Blocchi per sospetta frode nei comparti –
% ordini bloccati
0,41%
1,6 %
Ordini
1,7%
Ordini
0,04%
0,01%

Più che buona la diffusione degli strumenti antifrode…
…così come la valutazione della loro efficacia da parte
dei merchant
* dati stimati
85%
89%
85%
87%
90%
91%
50%
60%
35%
35%
14%
14%
Adozione
% iniziative del
campione
2009 2010*
Verified
By
Visa
4,3
2009 2010*
Mastercard
Secure
code
4,3
2009 2010*
CVV2
CVC2
CVA2
2009 2010*
Paypal
2009 2010*
4DBC
2009 2010*
Bank
Pass
Web
4,1
3,8 3,9
3
Efficacia
Valutazione con una
scala tra 1 e 5
Verified
By
Visa
Mastercard
Secure
code
CVV2
CVC2
CVA2
Paypal
4DBC
Bank
Pass
Web
The © 3-digit SIA
security code L’eCommerce on the back B2c of in Italia
your credit or debit card: Visa calls it CVV2, * Source MasterCard = School of calls Management it 15 CVC2. Politecnico
Marzo 2011
JCB call it di the
Milano
CAV2.Amex call it 4DBC and it is a 4-digit security code on the front of your credit card.

AGENDA
• Introduzione
• eCommerce in Italia
• Principali rischi e soluzioni
• SIA e la gestione del rischio
FINANCIAL INSTITUTIONS
© SIA 11

Cross contamination: fraud attack on terminals
Uno dei principali rischi di frodi è legato alla cosiddetta “cross contamination” tra i diversi
canali di utilizzo carte.
I dati infatti possono essere catturati durante una transazione fisica e poi utilizzati in un
ambiente di CNP a bassa o media sicurezza.
Un tipico esempio:
• Durante una transazione EMV uno “shim device” inserito da un truffatore
all’interno del lettore carta del POS, intercetta la comunicazione tra chip carta e
terminale, catturando i dati di traccia2 contenuti nel chip (e anche il PIN, se
viene usata la modalità di PIN Offline in chiaro).
A questo punto il truffatore è in possesso di dati sufficienti per creare una carta
a banda in grado di operare sia su un pos fisico che via internet (non sicuro).
Come ci si può difendere da questo tipo di frode
Ad esempio utilizzando sempre quantità di sicurezza diverse tra dati chip e dati
banda (iCVV/Chip CVC rispetto al CVV/CVC) .
© SIA 12

Best practices, full EMV solutions
Gran parte delle frodi avvengono anche perchè gli obblighi/raccomandazioni dei “Card
Payment Schemes” non sono omogenei a livello mondiale o sono implementati con
ritardo a seguito degli elevati impatti di business che comportano. Alcuni esempi:
Issuing Cards
• EMV Chip (and PIN) cards
• iCVV / Chip CVC implementati
• Uso di chip “dinamici” (che consentono l’uso di PIN cifrato al posto del PIN offline in
chiaro, eliminado il rischio di clonazione della firma statica della carta)
Card Authorization
• Non consentire il “Fallback” (uso della banda magnetica quando il chip non funziona):
• Non consentire mai il PIN byPASS
• Altri tipi di attacchi potrebbero essere evitati se tutti i dati chip EMV venissero inviati
all’Issuer (Terminal Verification Result, Card Verification Result, Cardholder
Verification Method results). L’analisi di questi dati durante il processo di
autorizzazione permetterebbero di confermare che carta e terminale hanno la stessa
“visione” della modalità di transazione.
© SIA 13

Best practices, Fraud Tools e SMS alert
Elemento fondamentale per combattere le frodi è poi un efficiente sistema di
prevenzione frodi.
Un sistema efficiente è quello che permette un giusto equilibrio tra la prevenzione
delle frodi (massimizzandola) e l’impatto di business per l’esercente
(minimizzandolo).
Per ottenere il giusto mix, l’utilizzo di sistemi di fraud prevention in modalità “real
time” abbinati al servizio di SMS alert è fortemente raccomandato.
A questo vanno associati costanti programmi di education verso gli
esercenti/acquirers (sia negozi fisici che virtuali) e campagne di positiva
sensibilizzazione verso i titolari.
Il costo di tali sistemi/programmi è sicuramente elevato ma la possibilità di farne un
utilizzo consortile e i benefici in termini di frodi risparmiate, garantiscono un ritorno
dell’investimento nel breve/medio periodo.
© SIA 14

eCommerce Networks Solutions: 3DS
La risposta di Visa e MasterCard all’aumento delle transazioni internet e di
conseguenza del rischio di frode è il sistema 3DSecure.
Verified by Visa (VbV) e Secure Code (SC) sono i due nomi commerciali
rispettivamente di Visa e MasterCard ed entrambi si basano su un protocollo
chiamato 3D Secure.
Di seguito sono rappresentate le tipiche fasi di una transazione VbV/SC effettuata da
parte di un titolare di carta.
© SIA 15

Soluzioni di pagamento per portali Internet
Architettura della Soluzione – fase 1
La registrazione del Titolare
2
1
Banca
3
4
1) Il titolare accede al portale della propria
banca e sceglie di abilitare la carta al
servizio VbV/SecureCode
2) Il portale della banca autentica il titolare
che viene re-indirizzato verso
l’enrollment server dell’Issuer/Provider
3) Il titolare inserisce i dati richiesti per il
completamento della fase di enrollment
4) A conclusione della registrazione al
servizio, il titolare ottiene le informazioni
per poter utilizzare la propria carta su
internet
SSB
© SIA

Architettura della soluzione – fase 2
La fase di autenticazione e pagamento
1) il titolare effettua l’acquisto su un sito di un
esercente abilitato al VbV/SecureCode e
inserisce i dati della carta nella pagina di
pagamento;
2) il sito dell’esercente si collega attraverso la
componente Merchant Plug-In (MPI) al
Directory Server di Visa/MasterCard
3) se la carta aderisce al servizio, l’MPI invia una
richiesta d’autenticazione del titolare all’ACS
(Access Control Server) dell’Issuer attraverso
una redirect del browser del titolare;
4) l’ACS richiede la password al titolare e la
verifica;
5) l’ACS restituisce un identificativo univoco
della transazione (AVV) e l’esito
dell’autenticazione all’MPI attraverso una
redirect del browser del titolare;
6) il Merchant Server Plug-in verifica la risposta
dell’ACS;
7) se l’autenticazione ha avuto esito positivo, il
sito dell’esercente prosegue con il normale
processo autorizzativo.
© SIA

AGENDA
• Introduzione
• eCommerce in Italia
• Principali rischi e soluzioni
• SIA e la gestione del rischio
FINANCIAL INSTITUTIONS
© SIA 18

Un gruppo al centro del processing europeo
Dati 2010
Competenze internazionali
Dati Societari
Personale Gruppo SIA 1,482
Ricavi Gruppo SIA 334 Millioni €
Transactions
operazioni su carte (debito/credito)
operazioni di incasso e di pagamento
Carte/Esercenti
Carte
Merchants
Dati trasportati sulla rete
4,9 miliardi
2,6 miliardi
62,4 millioni
1 millione
11,1 terabyte
Azionisti Principali
Gruppo Intesa San Paolo 30,6%
Gruppo Unicredit 24.1%
Gruppo MPS 5.8%
BNP Paribas 4.2%
Il Gruppo opera prevalentemente in Europa e
ha recentemente acquisito importanti clienti in:
Africa, Sud America, Medio Oriente.
La copertura geografica complessiva si estende
in 40 Paesi.
© SIA
19

the Network of Excellence
SIA Il gruppo si compone di sette società con specializzazioni proprie e presidi europei ed extra-europei.
© SIA
20

L’offerta SIA per l’eCommerce
Il processing per le
carte
Servizi di issuing e
acquiring modulari,
flessibili e personalizzati
per la gestione delle carte
a partire dalla fase di
allineamento archivio carte
alla fase autorizzativa.
VbV/ SecureCode
Issuing
Il servizio 3D Secure
offerto da SIA consente a
un titolare di carta Visa o
Mastercard di acquistare in
piena sicurezza presso un
esercente online
@POS La soluzione
di POS virtuale
E’ la soluzione di Pos
virtuale, multicanale
realizzata da SIA al fine di
fornire alla propria clientela
un prodotto sicuro e
innovativo, dotato di servizi
competitivi e a valore
aggiunto.
VAS per le frodi
Nell’ambito della propria esperienza, SIA mette a disposizione della Clientela soluzioni
complete per la prevenzione delle frodi e le successive attività di contrasto.
© SIA

I valori della soluzione SIA
• La soluzione è valida sia per le carte di debito/credito che prepagate
• Soluzione complementare ed integrata ai servizi di processing carte
già in essere
• Offerta modulare e personalizzabile in funzione delle necessità della
banca in modalità white-label
• Soluzione non invasiva rispetto alle procedure in uso presso la Banca
• Soluzione 3D Secure completa sia lato Issuing sia lato Acquiring
© SIA

SIA propone un offerta “Full Service” , integrando le
soluzioni IT per la gestione delle frodi con una proposta
di back office
Il Call Center Fraud è
una struttura in grado di
contattare direttamente
il titolare su delega
Cliente al fine di
indagare sull’operatività
delle carte, Servizio di
Blocco Carte tramite Call
Center opera 24 ore su
24, 7 giorni su 7
Call Center
Services
Authorisation
Strategy
Lo “Scudo Autorizzativo”
consente di negare le
autorizzazioni i cui
parametri ricadano in
quelli identificati come
potenzialmente
fraudolenti
Il competence center di
SIA è in grado di gestire
le diverse segnalazioni
provenienti dai Sistemi
di Fraud Prevention e
Detection e di mettere
in atto tempestivamente
le contromisure
necessarie
Il servizio di “Dispute
Management” è una
soluzione con la quale
l’Issuer delega al
competence center di
SIA gli aspetti legati al
rapporto con le
controparti e con i
Circuiti Internazionali
Fraud Analysis
Services
Dispute
Management
Advanced
Detection of
Fraud
Alerting &
Reporting
Diverse soluzioni di
“Fraud Detection” :
soluzioni “Rule Based” e
“Neurali”, in modalità
“Real Time” e “Near Real
Time” fornite a decine di
Clienti nazionali ed
internazionali
Servizi dedicati di
“Alerting & Reporting”
per l’inoltro di messaggi
SMS e soluzioni “webbased”
per le funzioni di
Inquiry relative alla
movimentazione delle
Carte.
© SIA

www.sia.eu - info@sia.eu
andrea.gambelli@sia.eu - +39 02 6084 4371
© SIA