La spinta verso modelli full digital e la maggiore sofisticazione degli attacchi ha rimesso in discussione i parametri di contrasto alle frodi, portando le banche ad adottare modelli di valutazione del rischio dinamici.
«L’antifrode è un tema da sempre al centro del mondo bancario, ma negli ultimi anni ha assunto maggiore pervasività: le operazioni che un tempo erano allo sportello, sotto il controllo dell’operatore che verificava de visu il cliente e manualmente i documenti presentati, si sono spostate sui canali digitali – racconta Andrea Di Filippo, Direttore Divisione Servizi Finanziari di Sopra Steria Italia.
Anche su spinta del regolatore, si è passati da una valutazione del rischio per lo più statica a un modello dinamico, aggiornato quasi in real-time con nuove matrici di rischio che includono l’IT, l’operatività dei back office e il rischio connesso all’utilizzo di canali differenziati».
Due approcci per l’antifrode
Così prendono piede sistemi di monitoraggio in tempo reale, con analisi dei dati ampie e pattern comportamentali per identificare operazioni sospette, inusuali per quell’utente.
«Il rischio di frodi sta aumentando e aumenterà ancora con lo sviluppo di modelli full digital, senza un operatore e dove il KYC e la raccolta documentale sono digitali – osserva Di Filippo.
Questo porta allo sviluppo di due approcci all’antifrode: uno strutturato sull’analisi dei dati, dell’architettura sottostante il canale e su pattern comportamentali; l’altro, invece, focalizzato sul rinforzo dell’autenticazione del cliente a seconda dei canali e delle tecnologie utilizzate, dalla biometria all’autenticazione a più fattori».
Verso una frode digitale pura
Bisognerà investire molto per non rovinare la customer experience, andando a trovare il giusto equilibrio tra sicurezza e semplicità d’uso. Ma nel frattempo stanno emergendo nuove frodi evolute, basate sull’intelligenza artificiale.
«Negli anni l’operatività sui canali digitali delle banche è aumentata e questi sono diventati un bersaglio per veicolare truffe, sempre più numerose e differenti: dalle frodi come il phishing alla ricostruzione biometrica, vocale e visiva dell’identità di una persona tramite l’AI – illustra Di Filippo.
Si procede verso una frode digitale pura e la velocità con cui evolve la tecnologia sottostante sarà sempre maggiore rispetto alla capacità del regolatore di individuare nuovi pattern di rischio».
Le preoccupazioni delle banche
La sicurezza ha però trovato posto sui tavoli dei CdA bancari.
«Se prima la security era avvertita come un costo e il tema della prevenzione alle frodi era meno prioritario, ora è un must have: gli investimenti in sicurezza sono aumentati, con budget dedicati e non solo per l’IT – sottolinea Di Filippo.
Ma quello che realmente preoccupa le banche è avere all’interno le competenze e le capacità di presidiare questi temi, legati all’IT, alla sicurezza e alla compliance. Per affrontare nuove forme di attacco legate all’AI e, potenzialmente, anche al quantum computing».
Un ulteriore punto di debolezza
Enfatizzato dal caso Crowdstrike-Microsoft, un altro punto di debolezza percepito dalle banche è legato all’uso di cloud e service provider globali.
«Fino a qualche anno fa, la scelta dei CIO ricadeva su queste società per la loro capacità di investimento, maggiore rispetto alla banca, e la standardizzazione del servizio offerto – premette Di Filippo. Ma ora qualche CIO è preoccupato di non riuscire a presidiare la sicurezza dei sistemi cloud su cui si appoggia, con il rischio di non sapere reagire a una minaccia sistemica».
Questo articolo è stato pubblicato sul numero di settembre 2024 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop.
