L`andamento delle frodi con carte di credito
Transcript
L`andamento delle frodi con carte di credito
CARTE 2003 Nuovi Servizi e Tecnologie nella Relazione Banca- Cliente Iniziative per la sicurezza delle carte in Italia e in Europa Roma, 6 novembre 2003 Angelo Verzili Settore Sistemi di Pagamento ABI Agenda • Le frodi con carte di credito - Principali tipologie • Iniziative per la prevenzione delle frodi • Le frodi con carte di debito - Principali tipologie • Il “Presidio per la sicurezza Monetica - Cogeban” • Iniziative in materia di sicurezza delle carte – della Commissione Europea – dell’EPC - European Payment Council L’andamento delle frodi con carte di credito Le frodi con carte di credito rappresentano una fattispecie criminale molto ampia e diversificata nelle sue dinamiche. Il tasso di crescita di tali frodi è risultato, negli anni meno recenti, molto elevato: in Europa ha raggiunto incrementi anche di circa il 50%; negli Usa di circa il 25%. Nell’ultimo periodo, le frodi stanno aumentando a un ritmo di circa il 14% l’anno. Frodi con carte di credito Principali tipologie 1) Plastic frauds Interessano le carte in quanto tali, vale a dire nella loro materialità Duplicazione (Skimming) Le informazioni relative alle carte vengono acquisite con apparecchi (skimmer) in grado di copiare i dati delle carte che vi transitano (presso i Pos o presso ATM). Tale tipologia di frode ha avuto un notevole, preoccupante incremento negli ultimi anni. Uso indebito di carta smarrita o rubata L’utilizzo può avvenire prima o dopo la denuncia di furto o smarrimento, quindi prima o dopo che sia scattato il blocco della carta. Prima del blocco: il frodatore compie operazioni di importo elevato, in tempi brevi, vicino al luogo del furto e smarrimento. Dopo il blocco: nei negozi che utilizzano ancora la “stampigliatrice”. Frodi con carte di credito Principali tipologie Never received Consiste nell’intercettazione da parte del frodatore delle tessere spedite ai titolari, attraverso il canale postale. Falsa identità Il frodatore utilizza un documento di identificazione falso, per ottenere una carta di pagamento. Frodi con carte di credito Principali tipologie 2) Card not present frauds Frodi realizzate in assenza della carta, relative quindi all’uso indebito dei soli dati (ad es. utilizzo su Internet). Rappresentano la nuova frontiera, ma le fattispecie tradizionali hanno ancora un ruolo centrale nel complesso delle frodi. Carte di credito Il fenomeno fraudolento per tipologia % di frode per tipologia – anno 2002 Duplicazione 48% % di frode per tipologia – III trim. 2003 Duplicazione 49% Smarrite e rubate 36% Smarrite e rubate 32% Card not present 9% Card not present 14% Never received Never received 3% 5% Iniziative per la prevenzione delle frodi I Circuiti Internazionali (VISA, Mastercard, Amex, Diners) e gli Emittenti/Acquirer hanno nel tempo attivato una serie di iniziative volte a prevenire e contrastare le frodi con carte di credito. A mero titolo di esempio, si ricordano: – l’attivazione di sistemi intelligenti in grado di monitorare eventuali anomalie nell’utilizzo delle carte; – il miglioramento delle caratteristiche di sicurezza fisica e tecnologica delle carte (ologrammi, utilizzo di particolari caratteri tipografici, migrazione EMV, ecc.). Italian Risk Fraud Forum In aggiunta agli incontri realizzati dai singoli Circuiti con i propri Associati, le problematiche della sicurezza vengono affrontate congiuntamente, a livello nazionale, in un apposito “Italian Risk Fraud Forum”, coordinato dall’ABI. Il Forum si propone di analizzare le problematiche relative alle frodi del mercato italiano, con l’obiettivo finale di individuare le soluzioni a breve e medio termine più opportune per contrastare il fenomeno delle frodi con carte di credito. Le frodi con carte di debito • La presenza del PIN, conosciuto unicamente dal legittimo titolare, rende le carte di debito meno soggette a frodi rispetto alle carte di credito. • Il livello di frodi risulta pertanto molto più contenuto, anche se recentemente se ne sta registrando un certo incremento, in particolare per quanto riguarda le frodi cross border. • Per quanto riguarda il Bancomat (prelievi su ATM - circuito domestico), ad ogni operazione di prelievo viene anche attribuito uno specifico “numero random”, conservato in maniera sicura sia sulla banda magnetica (terza traccia), sia in apposito archivio a livello host. Qualora il truffatore riuscisse a duplicare la carta, il primo prelievo eseguito dal legittimo titolare causerebbe il blocco di entrambe le carte, per numeri random incorretti. Tipologie di frodi con carte di debito Duplicazione di carte presso ATM La frode consiste nell’applicazione sull’ATM di un dispositivo elettronico in grado di duplicare la banda magnetica e di trasferire telematicamente le informazioni raccolte. Il dispositivo viene in genere installato nel corso della notte, nei giorni lavorativi che precedono quelli festivi. Il Pin viene normalmente rilevato da una telecamera miniaturizzata posta in modo da inquadrare le tastiera. Tipologie di frodi con carte di debito Altra tipologia di frode presso ATM • • • Viene realizzata con l’introduzione, nella fessura dell’accettatore delle carte dell’ATM, di una striscia di materiale capace di bloccare la carta. Il truffatore si avvicina al titolare e riesce, spesso con raggiro o avvalendosi di telecamera miniaturizzata, a carpirgli il PIN. Dopo che il titolare si è allontanato dall’ATM, il truffatore recupera la carta ed effettua gli utilizzi fraudolenti. È stato predisposto dalle Società fornitrici degli ATM un apposito kit (software) in grado di evitare tale frode. Presidio per la Sicurezza Monetica - Cogeban Ottobre 1998: è stato attivato il “Presidio per la sicurezza Bancomat PagoBancomat”, quale interlocutore delle banche per tutte le specifiche problematiche di sicurezza relative a tali servizi. L’attività del Presidio ha comportato una rilevante diminuzione del livello delle frodi. È stata recentemente ravvisata l’opportunità di apportare alcuni aggiornamenti al funzionamento di tale organismo, ora denominato “Presidio per la Sicurezza Monetica - Cogeban”, tenendo anche conto delle evoluzioni tecnologiche intervenute che consentono sia di aumentarne l’efficienza, sia di incrementare la velocità e la sicurezza delle comunicazioni in ambito interbancario (cfr. lettera Cogeban del 31 luglio u.s.). Presidio per la Sicurezza Monetica - Cogeban Funzioni Il Presidio, la cui gestione tecnico operativa è delegata alla SIA, svolge le seguenti funzioni: a) raccogliere le segnalazioni provenienti dalle banche relative a sospetti eventi fraudolenti o di frodi perpetrate, nonché tutte le ulteriori informazioni che si dovessero rendere utili; b) analizzare tali segnalazioni al fine di comprendere il meccanismo e l'estensione del fenomeno fraudolento in atto; c) divulgare al sistema, con le necessarie cautele, una tempestiva informativa sulle caratteristiche delle frodi nonché sulle misure da porre in atto; d) identificare le misure di prevenzione strategiche di difesa dalle frodi, sia di carattere logico che fisico, da attuare a livello aziendale e/o a livello centralizzato; Presidio per la Sicurezza Monetica - Cogeban Funzioni (segue) e) segnalare alle banche interessate le informazioni necessarie per intervenire con la massima tempestività in caso di probabili frodi: l'intervento potrà, ad esempio, consistere nel comunicare gli identificativi delle carte potenzialmente duplicate a seguito di riscontrata manomissione di ATM o di POS; f) fornire periodicamente elaborazioni statistiche circa i fenomeni fraudolenti monitorati. L'iniziativa prevede l'obbligo per le banche di segnalare gli eventi fraudolenti o sospetti tali. In futuro verrà previsto che la mancata segnalazione di frode determini l’impossibilità per la banca di usufruire del Sistema di Garanzia (delibera da assumere da parte dei competenti Organi Cogeban). Presidio per la Sicurezza Monetica - Cogeban È stato inoltre: – creato un nuovo sito Internet riservato (https://pfb.sia.it.); – aggiornato l’archivio dei referenti incaricati, dalla singola banca, dei rapporti con il Presidio stesso. La struttura del sito consente ai referenti di mettersi in contatto mediante comunicazione di posta elettronica non visibile da parte del Presidio stesso - con i referenti delle altre banche. In considerazione degli impedimenti connessi alla legge n. 675 del 31 dicembre 1996 (legge sulla privacy), il “Presidio” può allo stato attuale gestire le segnalazioni relative alle frodi Bancomat (funzioni domestiche coperte da PIN). Presidio per la Sicurezza Monetica - Cogeban Contatti presso SIA Marina Cherubini Tel. 02.6084.2536 mail: [email protected] Angelo Gallo Tel. 02.6084.2534 mail: [email protected] Gianluigi Bonazzoli Tel. 02.6084.2610 mail: [email protected] Fax: 02.6084.2624 SEPA – Single European Payment Area Obiettivi • Mercato dei pagamenti europeo = mercato domestico • Promuovere l’efficienza e la sicurezza degli strumenti e dei sistemi di pagamento • Aumentare la fiducia per tutti gli strumenti di pagamento • La prevenzione delle frodi come priorità Commissione Europea – Le iniziative Decisione quadro del Consiglio adottata nel 2001 Tutti i comportamenti volti a commettere frodi e a contraffare gli strumenti di pagamento diversi dal contante devono essere considerati un “crimine” negli Stati Membri europei. Obbligo di recepimento da parte delle legislazioni nazionali entro il 2 giugno 2003. Commissione Europea – Le iniziative (segue) Fraud Prevention Action Plan 2001 - 2003 • Realizzazione di misure antifrode non legislative per i mezzi di pagamento diversi dal contante; • approccio pan europeo per la prevenzione delle frodi. Per gestire l’implementazione dell’Action plan è stato creato un “EU Fraud Prevention Expert Group” al quale partecipano: schemi internazionali, banche, Europol, Interpol, settore retail, consumatori. (http://europa.eu.int/comm/internal_market/en/finances/payment/fraud/index.htm) Iniziative nell’ambito del Fraud Prevention Action Plan • Convegni (ad es. “Payments and confidence”, rivolto agli utenti - settembre 2003) • Seminari formativi per le Forze dell’Ordine (ad es. EU card Fraud Forum - marzo 2003) • Studio su e-payments (settembre 2003) (http://europa.eu.int/comm/internal_market/payments/conference_en.htm) Iniziative nell’ambito del Fraud Prevention Action Plan (segue) • Guidelines su “data protection” Partendo dal presupposto che lo scambio di informazioni è essenziale per ogni strategia di prevenzione delle frodi, il Gruppo di lavoro ha avviato approfondimenti volti ad ottenere che l’art. 29 della “Data Protection Directive” venga interpretato in maniera uniforme in tutti i Paesi, consentendo eventualmente, pur nel rispetto dei diritti dei cittadini, lo scambio di notizie utili per la prevenzione della frodi con carte. Sono stati anche avviati incontri e approfondimenti con le Autorità Garanti della privacy dei singoli Paesi. E.P.C – European Payments Council Towards our Single Payment Area European Payments Council Towards our Single Payment Area Nell’ambito dell’EPC è stato creato un apposito Gruppo di Lavoro denominato “Card Fraud Prevention Task Force” attivato nel 2003 “Card Fraud Prevention Task Force” Iniziative • Convegno “Fighting card Fraud across Europe” - ottobre 2003 • Battle plan: presentato nel mese di ottobre u. s., prevede varie iniziative, alcune da realizzarsi in collegamento con la Commissione Europea. Tra l’altro: – attivazione sito internet riservato; – realizzazione materiale comunicazionale comune; – studio di fattibilità di una banca dati a livello europeo; – formazione per le Forze dell’Ordine.