L`andamento delle frodi con carte di credito

CARTE 2003
Nuovi Servizi e Tecnologie nella Relazione Banca- Cliente
Iniziative per la sicurezza delle carte
in Italia e in Europa
Roma, 6 novembre 2003
Angelo Verzili
Settore Sistemi di Pagamento
ABI
Agenda
• Le frodi con carte di credito - Principali tipologie
• Iniziative per la prevenzione delle frodi
• Le frodi con carte di debito - Principali tipologie
• Il “Presidio per la sicurezza Monetica - Cogeban”
• Iniziative in materia di sicurezza delle carte
– della Commissione Europea
– dell’EPC - European Payment Council
L’andamento delle frodi con carte di
credito
Le frodi con carte di credito rappresentano una fattispecie
criminale molto ampia e diversificata nelle sue dinamiche.
Il tasso di crescita di tali frodi è risultato, negli anni meno
recenti, molto elevato: in Europa ha raggiunto incrementi
anche di circa il 50%; negli Usa di circa il 25%.
Nell’ultimo periodo, le frodi stanno aumentando a un ritmo
di circa il 14% l’anno.
Frodi con carte di credito
Principali tipologie
1) Plastic frauds
Interessano le carte in quanto tali, vale a dire nella loro materialità
Duplicazione (Skimming)
Le informazioni relative alle carte vengono acquisite con apparecchi (skimmer) in
grado di copiare i dati delle carte che vi transitano (presso i Pos o presso ATM).
Tale tipologia di frode ha avuto un notevole, preoccupante incremento negli ultimi
anni.
Uso indebito di carta smarrita o rubata
L’utilizzo può avvenire prima o dopo la denuncia di furto o smarrimento, quindi
prima o dopo che sia scattato il blocco della carta.
Prima del blocco: il frodatore compie operazioni di importo elevato, in tempi brevi,
vicino al luogo del furto e smarrimento.
Dopo il blocco: nei negozi che utilizzano ancora la “stampigliatrice”.
Frodi con carte di credito
Principali tipologie
Never received
Consiste nell’intercettazione da parte del frodatore delle tessere spedite ai
titolari, attraverso il canale postale.
Falsa identità
Il frodatore utilizza un documento di identificazione falso, per ottenere una
carta di pagamento.
Frodi con carte di credito
Principali tipologie
2) Card not present frauds
Frodi realizzate in assenza della carta, relative quindi all’uso indebito dei
soli dati (ad es. utilizzo su Internet).
Rappresentano la nuova frontiera, ma le fattispecie tradizionali hanno
ancora un ruolo centrale nel complesso delle frodi.
Carte di credito
Il fenomeno fraudolento per tipologia
% di frode per tipologia – anno 2002
Duplicazione
48%
% di frode per tipologia – III trim. 2003
Duplicazione
49%
Smarrite e rubate 36%
Smarrite e rubate
32%
Card not present 9%
Card not present
14%
Never received
Never received
3%
5%
Iniziative per la prevenzione delle frodi
I Circuiti Internazionali (VISA, Mastercard, Amex, Diners) e gli
Emittenti/Acquirer hanno nel tempo attivato una serie di iniziative
volte a prevenire e contrastare le frodi con carte di credito.
A mero titolo di esempio, si ricordano:
– l’attivazione di sistemi intelligenti in grado di monitorare
eventuali anomalie nell’utilizzo delle carte;
– il miglioramento delle caratteristiche di sicurezza fisica e
tecnologica delle carte (ologrammi, utilizzo di particolari caratteri
tipografici, migrazione EMV, ecc.).
Italian Risk Fraud Forum
In aggiunta agli incontri realizzati dai singoli Circuiti con i
propri Associati, le problematiche della sicurezza vengono
affrontate congiuntamente, a livello nazionale, in un
apposito “Italian Risk Fraud Forum”, coordinato dall’ABI.
Il Forum si propone di analizzare le problematiche relative
alle frodi del mercato italiano, con l’obiettivo finale di
individuare le soluzioni a breve e medio termine più
opportune per contrastare il fenomeno delle frodi con carte
di credito.
Le frodi con carte di debito
•
La presenza del PIN, conosciuto unicamente dal legittimo titolare, rende le
carte di debito meno soggette a frodi rispetto alle carte di credito.
•
Il livello di frodi risulta pertanto molto più contenuto, anche se recentemente
se ne sta registrando un certo incremento, in particolare per quanto riguarda le
frodi cross border.
•
Per quanto riguarda il Bancomat (prelievi su ATM - circuito domestico), ad
ogni operazione di prelievo viene anche attribuito uno specifico “numero
random”, conservato in maniera sicura sia sulla banda magnetica (terza
traccia), sia in apposito archivio a livello host. Qualora il truffatore riuscisse a
duplicare la carta, il primo prelievo eseguito dal legittimo titolare causerebbe il
blocco di entrambe le carte, per numeri random incorretti.
Tipologie di frodi con carte di debito
Duplicazione di carte presso ATM
La frode consiste nell’applicazione sull’ATM di un dispositivo
elettronico in grado di duplicare la banda magnetica e di trasferire
telematicamente le informazioni raccolte.
Il dispositivo viene in genere installato nel corso della notte, nei giorni
lavorativi che precedono quelli festivi.
Il Pin viene normalmente rilevato da una telecamera miniaturizzata
posta in modo da inquadrare le tastiera.
Tipologie di frodi con carte di debito
Altra tipologia di frode presso ATM
•
•
•
Viene realizzata con l’introduzione, nella fessura dell’accettatore delle
carte dell’ATM, di una striscia di materiale capace di bloccare la carta.
Il truffatore si avvicina al titolare e riesce, spesso con raggiro o
avvalendosi di telecamera miniaturizzata, a carpirgli il PIN.
Dopo che il titolare si è allontanato dall’ATM, il truffatore recupera la
carta ed effettua gli utilizzi fraudolenti.
È stato predisposto dalle Società fornitrici degli ATM un apposito kit
(software) in grado di evitare tale frode.
Presidio per la Sicurezza Monetica - Cogeban
Ottobre 1998: è stato attivato il “Presidio per la sicurezza Bancomat PagoBancomat”, quale interlocutore delle banche per tutte le specifiche
problematiche di sicurezza relative a tali servizi.
L’attività del Presidio ha comportato una rilevante diminuzione del livello
delle frodi.
È stata recentemente ravvisata l’opportunità di apportare alcuni aggiornamenti
al funzionamento di tale organismo, ora denominato “Presidio per la Sicurezza
Monetica - Cogeban”, tenendo anche conto delle evoluzioni tecnologiche
intervenute che consentono sia di aumentarne l’efficienza, sia di incrementare
la velocità e la sicurezza delle comunicazioni in ambito interbancario (cfr.
lettera Cogeban del 31 luglio u.s.).
Presidio per la Sicurezza Monetica - Cogeban
Funzioni
Il Presidio, la cui gestione tecnico operativa è delegata alla SIA, svolge
le seguenti funzioni:
a) raccogliere le segnalazioni provenienti dalle banche relative a
sospetti eventi fraudolenti o di frodi perpetrate, nonché tutte le
ulteriori informazioni che si dovessero rendere utili;
b) analizzare tali segnalazioni al fine di comprendere il meccanismo
e l'estensione del fenomeno fraudolento in atto;
c) divulgare al sistema, con le necessarie cautele, una tempestiva
informativa sulle caratteristiche delle frodi nonché sulle misure
da porre in atto;
d) identificare le misure di prevenzione strategiche di difesa dalle
frodi, sia di carattere logico che fisico, da attuare a livello
aziendale e/o a livello centralizzato;
Presidio per la Sicurezza Monetica - Cogeban
Funzioni (segue)
e) segnalare alle banche interessate le informazioni necessarie per
intervenire con la massima tempestività in caso di probabili frodi:
l'intervento potrà, ad esempio, consistere nel comunicare gli
identificativi delle carte potenzialmente duplicate a seguito di
riscontrata manomissione di ATM o di POS;
f) fornire periodicamente elaborazioni statistiche circa i fenomeni
fraudolenti monitorati.
L'iniziativa prevede l'obbligo per le banche di segnalare gli eventi
fraudolenti o sospetti tali. In futuro verrà previsto che la mancata
segnalazione di frode determini l’impossibilità per la banca di
usufruire del Sistema di Garanzia (delibera da assumere da parte dei
competenti Organi Cogeban).
Presidio per la Sicurezza Monetica - Cogeban
È stato inoltre:
– creato un nuovo sito Internet riservato (https://pfb.sia.it.);
– aggiornato l’archivio dei referenti incaricati, dalla singola banca,
dei rapporti con il Presidio stesso.
La struttura del sito consente ai referenti di mettersi in contatto mediante comunicazione di posta elettronica non visibile da parte del
Presidio stesso - con i referenti delle altre banche.
In considerazione degli impedimenti connessi alla legge n. 675 del 31
dicembre 1996 (legge sulla privacy), il “Presidio” può allo stato attuale
gestire le segnalazioni relative alle frodi Bancomat (funzioni
domestiche coperte da PIN).
Presidio per la Sicurezza Monetica - Cogeban
Contatti presso SIA
Marina Cherubini
Tel. 02.6084.2536
mail: [email protected]
Angelo Gallo
Tel. 02.6084.2534
mail: [email protected]
Gianluigi Bonazzoli
Tel. 02.6084.2610
mail: [email protected]
Fax: 02.6084.2624
SEPA – Single European Payment Area
Obiettivi
• Mercato dei pagamenti europeo = mercato domestico
• Promuovere l’efficienza e la sicurezza degli strumenti e dei
sistemi di pagamento
• Aumentare la fiducia per tutti gli strumenti di pagamento
• La prevenzione delle frodi come priorità
Commissione Europea – Le iniziative
Decisione quadro del Consiglio adottata nel 2001
Tutti i comportamenti volti a commettere frodi e a
contraffare gli strumenti di pagamento diversi dal contante
devono essere considerati un “crimine” negli Stati Membri
europei.
Obbligo di recepimento da parte delle legislazioni
nazionali entro il 2 giugno 2003.
Commissione Europea – Le iniziative (segue)
Fraud Prevention Action Plan 2001 - 2003
• Realizzazione di misure antifrode non legislative per i
mezzi di pagamento diversi dal contante;
• approccio pan europeo per la prevenzione delle frodi.
Per gestire l’implementazione dell’Action plan è stato creato
un “EU Fraud Prevention Expert Group” al quale
partecipano: schemi internazionali, banche, Europol,
Interpol, settore retail, consumatori.
(http://europa.eu.int/comm/internal_market/en/finances/payment/fraud/index.htm)
Iniziative nell’ambito del
Fraud Prevention Action Plan
• Convegni (ad es. “Payments and confidence”,
rivolto agli utenti - settembre 2003)
• Seminari formativi per le Forze dell’Ordine (ad es.
EU card Fraud Forum - marzo 2003)
• Studio su e-payments (settembre 2003)
(http://europa.eu.int/comm/internal_market/payments/conference_en.htm)
Iniziative nell’ambito del
Fraud Prevention Action Plan (segue)
• Guidelines su “data protection”
Partendo dal presupposto che lo scambio di informazioni è
essenziale per ogni strategia di prevenzione delle frodi, il
Gruppo di lavoro ha avviato approfondimenti volti ad
ottenere che l’art. 29 della “Data Protection Directive”
venga interpretato in maniera uniforme in tutti i Paesi,
consentendo eventualmente, pur nel rispetto dei diritti dei
cittadini, lo scambio di notizie utili per la prevenzione
della frodi con carte.
Sono stati anche avviati incontri e approfondimenti con le
Autorità Garanti della privacy dei singoli Paesi.
E.P.C – European Payments Council
Towards our Single Payment Area
European Payments Council
Towards our Single Payment Area
Nell’ambito dell’EPC è stato creato un apposito Gruppo di
Lavoro denominato “Card Fraud Prevention Task Force”
attivato nel 2003
“Card Fraud Prevention Task Force”
Iniziative
• Convegno “Fighting card Fraud across Europe” - ottobre
2003
• Battle plan: presentato nel mese di ottobre u. s., prevede
varie iniziative, alcune da realizzarsi in collegamento con
la Commissione Europea. Tra l’altro:
– attivazione sito internet riservato;
– realizzazione materiale comunicazionale comune;
– studio di fattibilità di una banca dati a livello europeo;
– formazione per le Forze dell’Ordine.