La frode nel mondo delle carte di pagamento

Torino, 28 maggio 2009
La frode nel mondo delle
carte di pagamento:
come organizzare un efficace
monitoraggio e prevenzione
Franco Fiocco – Responsabile Fraud Management
Quercia Software: Agenda
Presentazione Società
La frode nel mondo issuing & acquiring
Progettazione della soluzione
Un esempio di attacco
Analisi del rischio e definizione delle regole
Ambiente operativo – Organizzazione del servizio
Attività sul fronte acquiring
2
Gruppo UniCredit – Dati principali
Dipendenti: ~174.000
Filiali: ~ 10.200
Operazioni bancarie in 22 paesi
Rete internazionale distribuita in ~ 50 paesi
Operatore globale nell’asset management:
~ €167 miliardi di attività gestite
Leader di mercato nell’Europa centro-orientale
(CEE) facendo leva sulle forze strutturali dell’area
3
Quercia Software: Company Profile
Quercia Software nasce nel
1987 con la mission di
sviluppare soluzioni e servizi
per le banche nel mondo dei
pagamenti elettronici.
Nel 2009 Quercia risulta una
realtà consolidata e leader di
mercato per le soluzioni e i
servizi di:
Corporate Banking
Circa 100 banche, per un totale
di 130.000 aziende
Gestore Terminali
POS
150.000 Terminali POS (service)
119.000.000 transazioni gestite
ƒ Corporate Banking
ƒ Gestione Terminali POS
ƒ Monitoraggio ATM
ƒ Card Risk Management
4
Monitoraggio ATM
Card Risk Management
9.500 ATM gestiti
Debito: ca. 6 mln carte
Credito: ca. 1 mln entro 12/2009
Le due facce della monetica
ISSUING
ISSUING
La
carta
dal
La carta dalpunto
puntodidivista
vistadel
del
Titolare
Titolarecarta
carta
Carte di debito
Carte di credito
Esempi
Esempidi
dicriticità
criticità
5
ACQUIRING
ACQUIRING
L’acquisto / prelievo con la
L’acquisto / prelievo con la
carta
carta
Prelievi ATM
Pagamenti POS
Transazioni internet
ƒ Furto/Smarrimento
ƒ Clonazione/Contraffazione
Rischi nel ciclo di vita delle carte
Richiesta
Rischio:
furto identità
6
Produzione
Rischio:
frode interna
Invio
Rischio:
intercettazione
Utilizzo
Rischio:
clonazione
Ciclo virtuoso della prevenzione
Analisi
del
rischio
Scrittura
regole
Affinamento
regole
Misura
efficacia
7
Linee guida dell’attività
Point of Detection
10
100:1
1
1:1
Riflessi sul conto
economico
8
False Positive
Detection Rate
100%
0%
Dispendio
di risorse
Completezza
della copertura
Progettazione della soluzione
Indirizzi strategici / operativi
Banca / Gruppo
Contact Center
Unit
9
Service
Unit
Prevenzione frodi: un esempio di attacco
10
Definizione di Point Of Compromise
POC
(Point of Compromise)
ATM / POS presso il quale
un numero
“considerevole” di carte
successivamente
contraffatte sono state
utilizzate dai Titolari
carta in un “breve” intervallo
di tempo
Quante più sono le carte e
quanto
più breve l’intervallo
temporale,
tanto maggiore sarà il
sospetto di frode.
La
Lavelocità
velocitàdidireazione
reazione
aiaisegnali
di
frode
è
cruciale
nell’ottica
segnali di frode è cruciale nell’otticadel
delcontenimento
contenimentodei
deidanni
danni
11
Contromisure Interne…
L’approccio
L’approccioreattivo
reattivoèèililrisultato
risultatodidiuna
unasinergica
sinergicacollaborazione
collaborazionetra:
tra:
ƒ Criteri di invio SMS alert
ƒ L’attività della prima linea (contact center)
ƒ Strategia autorizzativa: declinare transazioni “sospette”
ƒ Lavoro di back office per l’individuazione del POC
ƒ Blocco precauzionale delle carte transitate nel POC
12
…ed esterne
Fortunatamente
Fortunatamenteininquesto
questoconfronto
confrontocon
conlaladelinquenza
delinquenzapossiamo
possiamo
contare
su
validissimi
alleati,
a
livello
aziendale,
interbancario,
contare su validissimi alleati, a livello aziendale, interbancario,
Istituzionale
Istituzionaleche
chefacilitano
facilitanol’allestimento
l’allestimentodidicontromisure
contromisureper
perprevenire
prevenire
ooalmeno
contenere
le
conseguenze
delle
frodi:
almeno contenere le conseguenze delle frodi:
ƒ Funzioni di Sicurezza interna
ƒ Circuiti internazionali VISA, MasterCard
ƒ Organi di Polizia
ƒ UCAMP
ƒ ABI – CO.GE.BAN.
ƒ Tecnologia
13
Analisi del Rischio
Distribuzione delle frodi su carte di debito
Anno
Anno2008
2008
IMPORTO
IMPORTOFRODI
FRODIper
perCanale
Canale
POS
ATM
1,11%
98,89%
IMPORTOFRODI
FRODIper
perPaese
Paese
IMPORTO
ITALIA
ESTERO
68,03%
31,97%
Priorità assoluta ai prelievi ATM in Italia
Approfondimento di analisi sui prelievi ATM all’estero
14
Canale ATM – Numero delle frodi
Distribuzione per
Importo del prelievo
tra
Distribuzione per Paese
ESTERO %
ITALIA %
0 € e 100 €
31,41
4,48
tra 100 € e 200 €
7,45
3,08
tra 200 € e 249 €
8,96
2,35
>=
250 €
2,18
40,09
TOTALE
50,00
50,00
La situazione è solo
apparentemente bilanciata
15
Canale ATM – Paese Italia
Distribuzione per importo delle frodi
Distribuzione per
Importo del prelievo fraudolento
tra
ITALIA
0€ e 100€
2,24
tra 100€ e 200€
3,44
tra 200€ e 249€
4,15
Oltre 250€
90,17
OBIETTIVO
OBIETTIVO
PRELIEVO di 250€
da ATM in ITALIA
16
Canale ATM – Paesi Esteri
Distribuzione degli importi frodati per Paese
Distribuzione per
Paese Estero
ROMANIA
50,86
SUD AFRICA
10,76
FRANCIA
7,55
BRASILE
6,41
BULGARIA
5,72
RESTO del MONDO
17
%
18,70
ATTENZIONE
ATTENZIONE
I prelievi ATM in Romania
costituiranno la principale
priorità tra le transazioni
all’Estero!
Conclusione: Il problema principale (mondo debito)
ƒ Prelievi ATM
ƒ Di importo superiore o uguale a 250€
ATTENZIONE
ATTENZIONE
Alla data
la maggior
AREA DI RISCHIO
è data da:
ƒ Fatti in Italia
ƒ Con lettura della strip magnetica
ƒ Su circuito internazionale Maestro / VPay
Considerata la presenza del servizio di SMS Alerts,
pare ragionevole dare la priorità
all’analisi di transazioni fatte da Titolari carta
dei quali non abbiamo il numero di telefono cellulare.
18
Analisi giornata campione – Prelievi ATM su Circuito
Internazionale (Maestro, VPay) in banda magnetica
Numero
NumeroTotale
Totale
Transazioni
Transazioni
Italia:
Italia:32
32%
%
>=
>=250
250euro:
euro:23
23%
%
<250
<250euro:
euro:77
77%
%
Estero:
Estero:68
68%
%
TOP
TOPTen
Ten
(prossima
(prossimaslide)
slide)
Tel.cellulare SI: 63 %
Tel.cellulare NO: 37 %
19
Solo il 3 % delle
transazioni avranno
priorità massima
TOP 5 Paesi Esteri a rischio
Distribuzione
DistribuzioneFrodi
Frodi
per
Paese
per Paese
Transaz.
Transaz.all’estero
all’estero
Giornata
campione
Giornata campione
Probabilità
Probabilità
didiFrode
Frode
Livello
Livello
didirischio
rischio
ROMANIA
50,86
4,94
10,30
HIGH
SUDAFRICA
10,76
0,98
10,98
HIGH
FRANCIA
7,55
6,24
1,21
LOW
BRASILE
6,41
3,67
1,75
MEDIUM
BULGARIA
5,72
0,46
12,43
18,70
83,71
0,22
Resto del MONDO
HIGH
NO PROBLEM
Misura
Misuradella
dellaProbabilità
ProbabilitàdidiFrode
Frode(*):
(*):
rapporto
tra
i
valori
nella
prima
rapporto tra i valori nella primaeenella
nellaseconda
secondatabella,
tabella,aalivello
livellodi
diPaese
Paese
20
L’ambiente operativo di riferimento
Banche
Sistema
Sistema
Autorizzativo
Autorizzativo
Transazioni con carta
T
O
O
L
S
S
W
UniCredit
UniCreditGroup
Group
Information
Systems
Information Systems
REGOLE
Service Unit
Contact Center Unit
ALERTS
Titolari Carte
21
Organizzazione funzionale
Service
Unit
22
Contact Center
Unit
Analisi del Rischio
Gestione alerts
Definizione regole
Analisi alerts
Attivazione regole
Contatto Titolari carta
Affinamento regole
Blocco carte
Produzione statistiche
Informativa alle Banche
Strumenti a supporto dell’attività
ACI
ACI/ /PRM
PRM
Proactive Risk Manager
(basato su regole)
VISA
VISA/ /VISOR
VISOR
Visa Intelligent Scoring Of Risk
(basato su motori neurali)
MasterCard
MasterCard/ /EMS
EMS
Expert Monitoring System
(basato su motori neurali)
+
Elaborazioni ad hoc sviluppate in autonomia su una struttura di MIS
23
Performance delle singole regole
Per
Perogni
ognisingola
singolaregola
regolalalaService
ServiceUnit
Unitanalizza
analizzaperiodicamente
periodicamenteleleperformance
performance
comparando
comparandodiversi
diversiindicatori
indicatoriche
chefanno
fannoriferimento
riferimentoprincipalmente
principalmentea:
a:
•Numero
•Numerodi
disingole
singoletransazioni
transazioniche
chehanno
hannogenerato
generatoalerts
alerts
•Numero
•Numerodi
dicarte
carteche
chehanno
hannoavuto
avutoalerts
alerts
•Numero
•Numerodi
dicarte
cartebloccate
bloccate
•Carte
•Cartebloccate
bloccatesenza
senzasia
siastato
statogenerato
generatoalcun
alcunalert
alert
NELL’OTTICA
NELL’OTTICADI
DI
•INTERVENIRE
•INTERVENIRERAPIDAMENTE
RAPIDAMENTE
•RIDURRE
•RIDURREI IFALSI
FALSIPOSITIVI
POSITIVI
•AUMENTARE
•AUMENTAREIL
ILGRADO
GRADODI
DICOPERTURA
COPERTURA
24
Modelli di servizio diversificati
Service
Unit
La
LaService
ServiceUnit
Unitopera
opera
nell’ambito
delle
policies
nell’ambito delle policies
concordate
concordateeedefinite
definitecon
conlala
banca,
banca,con
conlalaquale
qualemantiene
mantieneuno
unostretto
stretto
rapporto
anche
grazie
ad
incontri
rapporto anche grazie ad incontri
periodici
periodicieesu
surichiesta.
richiesta.
Da un punto di vista operativo la Banca può decidere di individuare un Focal Point al proprio interno,
che costituirà la controparte con cui rapportarsi prioritariamente
Contact Center
Unit
- -opera
operaininmodalità
modalità24x7x365;
24x7x365;
- -èèpianificata
pianificataattraverso
attraversoun
unsistema
sistemadidi
Work
WorkForce
ForceManagement;
Management;
- -ogni
ognioperatore
operatoreha
hauna
unapluralità
pluralitàdidiskills;
skills;
25
Secondo quanto deciso dalla Banca
la Contact Center Unit può
Gestire direttamente il contatto
con i clienti della Banca.
Fare esclusivamente riferimento
a strutture indicate dalla Banca.
La frode dal punto di vista ACQUIRING
Le tipologie di frodi viste sul lato Issuing vengono ovviamente monetizzate sul lato Acquiring,
p.e. utilizzando carte originali intercettate durante l’invio al destinatario, o smarrite dal titolare carta,
oppure utilizzando carte contraffatte o semplicemente in modo “virtuale” con transazioni in internet….
Nell’ambiente Card Present
è la prima linea di difesa:
Che non sia contraffatta (grazie alle quantità di sicurezza
previste: ologramma, CVV2, CVC2, ultimi 4 numeri)
ESERCENTE
ESERCENTE
Riceve la carta dal
Titolare e deve verificare:
Che sia firmata
Che non sia fisicamente alterata
Può osservare il comportamento del Titolare, se lo
ritiene opportuno può verificarne l’identità…
…alla fine legge la carta sul POS per ottenere
l’autorizzazione alla spesa
26
Il monitoraggio degli esercenti
Il monitoraggio e la prevenzione
delle frodi lato esercenti
si basano su combinazioni
di tecniche, alcune delle
quali specifiche per l’ambiente
Card Not Present,
che necessariamente richiede
un approccio “mirato”
Regole
Regolein
inNear
NearReal
RealTime
Time
per
perindividuare
individuarepotenziali
potenzialianomalie
anomalie
Analisi
Analisidelle
dellefrodi
frodi
TC40
&
SAFE
(rapporto
Frodi
TC40 & SAFE (rapporto Frodi/ /Fatturato)
Fatturato)
Analisi
Analisidi
ditrend
trenddel
delfatturato
fatturato
su
diverse
scale
temporali
su diverse scale temporali
Confronti
Confrontiaalivello
livellodidi
Merchant
MerchantCategory
CategoryCode
Code
Merchant
Merchanteducation
education
lampada UV, verifica identità, quantità di sicurezza
CONTROMISURE
CONTROMISURE
Merchant
Merchanttermination
termination
se il piano di mitigazione non funziona o si sospetta collusione
27
Ambiente Card Not Present
L’esercente
L’esercentepuò
puòcontribuire
contribuiread
ad
un’efficace
un’efficaceprevenzione
prevenzioneanche
ancheinincaso
caso
didimancanza
mancanzafisica
fisicadella
dellacarta
carta
Tipiche
informazioni da
analizzare attentamente:
28
ƒ
indirizzi IP da cui è stato impartito l’ordine
ƒ
email dichiarata dal compratore
ƒ
nome del titolare carta
ƒ
indirizzo per la consegna (nel caso di beni fisici)
ƒ
concentrazione di richieste di autorizzazione
Esempio di un attacco in ambiente CNP
DATA / ORA
IMPORTO
STATO
Descrizione
ESITO
IP
Acquirente
E_mail
Compratore
PAN
Titolare
CARTA
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
4744xxxxx
xxx1068
Guillermo F
Morales
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
4610xxxxx
xxx2580
TERESA A
PARSONS
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
4616xxxxx
xxx8939
Tenille
Washington
246
KO
NOT SUFFICIENT
FUNDS
71.163.68.86
gregory_house
[email protected]
m.au
4692xxxxx
xxx3087
Michele
Paoletti
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
4616xxxxx
xxx8930
Michele
Paoletti
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
4692xxxxx
xxx3080
Michele
Paoletti
246
KO
CARTA NON
ACCETTATA DALLA
COMPAGNIA
71.163.68.86
gregory_house
[email protected]
m.au
5424xxxxx
xxx2980
Michele
Paoletti
2008-09-0616.21
2008-09-0616.23
2008-09-0616.26
2008-09-0616.28
2008-09-0616.33
2008-09-0616.39
2008-09-0616.41
29
I record SAFE e TC40
I record Safe e TC40 sono flussi di dati che i circuiti MasterCard
e Visa rendono disponibili per informare ciascun Acquirer delle
frodi con carta presso gli esercenti che ha convenzionato.
Nel
Nelmomento
momentoinincui
cuiun
unTitolare
Titolarecarta
carta
diviene
consapevole
diviene consapevole
del
fatto
del fattoche
chealcune
alcunetransazioni
transazioni
fatte
con
la
sua
fatte con la sua
carta
non
carta nonsono
sonostate
stateda
dalui
lui
ordinate,
informa
ordinate, informa
didiquesto
questofatto
fattolalapropria
propria
Banca
(issuer).
Banca (issuer).
La
LaBanca
Banca(issuer)
(issuer)quindi
quindiprovvede
provvedeaa
condividere
condividerequesta
questa
informazione
con
la
Banca
informazione con la Banca(acquirer)
(acquirer)
che
ha
convenzionato
l’esercente
che ha convenzionato l’esercente
presso
pressocui
cuièèstata
stata
completata
la
transazione
completata la transazionefraudolenta.
fraudolenta.
La modalità di condivisione di questa
importante informazione costituisce
l’essenza dei record Safe e TC40.
30
Torino, 28 maggio 2009
La frode nel mondo delle carte di
pagamento:
come organizzare un efficace
monitoraggio e prevenzione
grazie per l’attenzione
Franco Fiocco – Responsabile Fraud Management