Una nuova logica di bilanciamento tra sicurezza e business.
La PSD2 ha portato in campo un prorompente mutamento, che si traduce non solo in nuove aree di business, ma anche in maggiori complessità tecnologiche connesse a vari temi quali ad esempio la strong customer authentication nonché le modalità attraverso le quali sarà richiesto ai PSP di implementare meccanismi in grado di prevenire, rilevare e bloccare in tempo reale time le operazioni fraudolente prima della loro autorizzazione. In sostanza, non sarà più sufficiente fare prevenzione frodi nelle migliori modalità identificate al proprio interno, in quanto viene richiesto di elaborare ed applicare vere e proprie strategie di Fraud Management, basate su analisi degli incidenti, patterns sospetti e abitudini comportamentali.
Tali mutamenti costringeranno peraltro gli operatori specializzati a rivedere le proprie logiche organizzative, in ottica evolutiva, e approcciando a nuove strategie di adattamento nel bilanciamento tra sicurezza e business.
Si parte dalla logica per cui il contrasto ai fenomeni fraudolenti è un’attività che richiede tempestività e aggiornamento continuo, analisi puntuali dei trend del momento, adeguamento dei sistemi antifrode e dei device di sicurezza, azioni sinergiche, strategiche, studiate e organizzate sia per contrastare che per prevenire.
Questa esigenza porta inevitabilmente all’innalzamento del livello tecnologico nel rafforzamento dei sistemi antifrode, ma non solo; la sicurezza non è infatti solo un fatto tecnologico, in quanto interessa asset aziendali diversi: organizzativi, umani e di business.
Occorre pertanto porsi nella prospettiva di costruire un modello di sicurezza integrato. Va peraltro detto che, nonostante le novità siano rilevanti, le stesse attengono ad un tema – quello del Fraud – assolutamente noto agli operatori del mercato che da anni – anche grazie agli input degli Schemi di pagamento – hanno appreso concetti e tecniche di resilienza.
A vari livelli e con diverse priorità di intervento Schemi di Pagamento, PSP, Provider tecnologici hanno effettuato profonde ricognizioni dei propri sistemi di Governance raggiungendo la consapevolezza e in molti casi la maturità per ristrutturarsi e adeguarsi.
Anche anticipando alcuni concetti oggi sviluppati dalla PSD2, il Consorzio BANCOMAT ha da tempo intrapreso un approccio alla prevenzione, costruendo una metodologia di analisi e monitoraggi Risk Based.
L’applicazione del metodo si dipana nella costruzione del “risk shield”, risultato di una gestione del rischio che mira a dettare istruzioni organizzative, individuare soluzioni – anche tecnologiche – per la rilevazione automatica degli eventi e a dare altresì un framework di riferimento per la gestione procedurale di tutti gli interventi da attuare.
Tali interventi preventivi vengono raccolti nell’ attività di risk profiling che consente di concentrare gli sforzi e le attenzioni sulle aree maggiormente esposte al rischio senza disperdere risorse ed energie in controlli affannosi escludendo tutto ciò che ha scarsa probabilità di accadimento e scarso impatto.
Non è possibile controllare tutto; la tattica migliore è concentrarsi sul contenere i danni che si verificano dove le nostre difese sono eluse implementando i “giusti” monitoraggi (specifici e mirati). Bisogna pertanto automatizzare il rilevamento dei fenomeni noti creando bibliografie di eventi (event collection) e delle risoluzioni di successo al fine di applicare strategie efficaci e “provate” nel minor tempo possibile (filtering):
– identificare i fenomeni sconosciuti scartando gli eventi noti e permettendo, per esclusione, un tempestivo rilevamento dei fenomeni sconosciuti che abbiano eluso i controlli preventivi (classification).
– incanalare le informazioni nella giusta direzione avendo piena conoscenza delle organizzazioni, competenze e processi, così da farle confluire verso i nodi “strategici” della catena di erogazione dei servizi (advice)
– prioritizzare gli interventi concentrando gli sforzi laddove siano accertate vulnerabilità a maggiore impatto, evitando la dispersione delle risorse e alleggerendo al contempo le attività di monitoraggio (detection).
A tale scopo il Consorzio ha di recente anche implementato un framework di sicurezza formato che muove dal nuovo approccio al Rischio integrato e che si compone di:
– requisiti per il rafforzamento dei presidi di sicurezza antifrode,
– best practice per l’espletamento dei processi,
– elementi specifici di controllo e verifica – a livello organizzativo, tecnologico e di processo.
La ridondanza di sistemi di alert può essere controproducente, perché impegna troppi processi e risorse creando ingessature e lungaggini. Non esiste una ricetta valida per qualsiasi soggetto, in qualsiasi momento, contro qualsiasi rischio. Per preservare l’autonomia nell’offerta dei servizi di mercato, sposare progresso tecnologico ed esperienza del consumatore il Consorzio suggerire a tutti gli operatori come raggiungere lo stesso livello di sicurezza, pur nella complessità della catena di erogazione, attraverso un irrobustimento del proprio sistema di Governance.
