La frode nel mondo delle carte di pagamento:

come organizzare un efficace monitoraggio e prevenzione

Franco Fiocco – Responsabile Fraud Management

Torino, 28 maggio 2009

2

Quercia Software: Agenda

La frode nel mondo issuing & acquiring

Progettazione della soluzione

Un esempio di attacco

Analisi del rischio e definizione delle regole

Attività sul fronte acquiring

Ambiente operativo – Organizzazione del servizio

Presentazione Società

3

Dipendenti: ~174.000

Filiali: ~ 10.200

Operazioni bancarie in 22 paesi

Rete internazionale distribuita in ~ 50 paesi

Operatore globale nell’asset management:

~ €167 miliardi di attività gestite

Leader di mercato nell’Europa centro-orientale (CEE) facendo leva sulle forze strutturali dell’area

Gruppo UniCredit – Dati principali

4

Quercia Software: Company Profile

Quercia Software nasce nel 1987 con la mission di sviluppare soluzioni e servizi per le banche nel mondo dei pagamenti elettronici.

Nel 2009 Quercia risulta una realtà consolidata e leader di mercato per le soluzioni e i servizi di:

Corporate BankingGestione Terminali POSMonitoraggio ATMCard Risk Management

Gestore TerminaliPOS

150.000 Terminali POS (service) 119.000.000 transazioni gestite

Monitoraggio ATM

9.500 ATM gestiti

Card Risk Management

Debito: ca. 6 mln carte Credito: ca. 1 mln entro 12/2009

Corporate Banking

Circa 100 banche, per un totaledi 130.000 aziende

5

ISSUINGLa carta dal punto di vista del

Titolare carta

ISSUINGLa carta dal punto di vista del

Titolare carta

Carte di debitoCarte di credito

Prelievi ATMPagamenti POSTransazioni internet

ACQUIRINGL’acquisto / prelievo con la

carta

ACQUIRINGL’acquisto / prelievo con la

carta

Esempi di criticitàEsempi di criticità Furto/SmarrimentoClonazione/Contraffazione

Le due facce della monetica

6

Rischi nel ciclo di vita delle carte

Richiesta

Rischio: intercettazione

Rischio: furto identità

Rischio: clonazione

InvioProduzione

Rischio: frode interna

Utilizzo

7

Ciclo virtuoso della prevenzione

Analisi del

rischio

Misura efficacia

Affinamento regole

Scrittura regole

8

Linee guida dell’attività

Point of Detection False Positive Detection Rate

0%

100%

1:1

100:110

1

Riflessi sul conto economico

Dispendio di risorse

Completezza della copertura

9

Indirizzi strategici / operativiBanca / Gruppo

Contact CenterUnit

Progettazione della soluzione

ServiceUnit

10

Prevenzione frodi: un esempio di attacco

11

POC (Point of Compromise)

ATM / POS presso il quale un numero

“considerevole” di carte successivamente

contraffatte sono state utilizzate dai Titolari

carta in un “breve” intervallo di tempo

Quante più sono le carte e quanto

più breve l’intervallo temporale,

tanto maggiore sarà il sospetto di frode.

La velocità di reazioneai segnali di frode è cruciale nell’ottica del contenimento dei danni

La velocità di reazioneai segnali di frode è cruciale nell’ottica del contenimento dei danni

Definizione di Point Of Compromise

12

Contromisure Interne…

Criteri di invio SMS alert

L’attività della prima linea (contact center)

Strategia autorizzativa: declinare transazioni “sospette”

Lavoro di back office per l’individuazione del POC

Blocco precauzionale delle carte transitate nel POC

L’approccio reattivo è il risultato di una sinergica collaborazione tra:L’approccio reattivo è il risultato di una sinergica collaborazione tra:

13

…ed esterne

Funzioni di Sicurezza interna

Circuiti internazionali VISA, MasterCard

Organi di Polizia

UCAMP

ABI – CO.GE.BAN.

Tecnologia

Fortunatamente in questo confronto con la delinquenza possiamo contare su validissimi alleati, a livello aziendale, interbancario, Istituzionale che facilitano l’allestimento di contromisure per prevenireo almeno contenere le conseguenze delle frodi:

Fortunatamente in questo confronto con la delinquenza possiamo contare su validissimi alleati, a livello aziendale, interbancario, Istituzionale che facilitano l’allestimento di contromisure per prevenireo almeno contenere le conseguenze delle frodi:

14

Analisi del Rischio Distribuzione delle frodi su carte di debito

Priorità assoluta ai prelievi ATM in ItaliaApprofondimento di analisi sui prelievi ATM all’estero

Anno 2008Anno 2008

POS 1,11%ATM 98,89%

ITALIA 68,03%ESTERO 31,97%

IMPORTO FRODI per CanaleIMPORTO FRODI per Canale IMPORTO FRODI per PaeseIMPORTO FRODI per Paese

15

La situazione è solo apparentemente bilanciata

Canale ATM – Numero delle frodi

50,0050,00TOTALE40,092,18> = 250 €

2,358,96tra 200 € e 249 €

3,087,45tra 100 € e 200 €

4,4831,41tra 0 € e 100 €

Distribuzione perImporto del prelievo

Distribuzione per PaeseESTERO % ITALIA %

16

90,17Oltre 250€

4,15tra 200€ e 249€

3,44tra 100€ e 200€

2,24tra 0€ e 100€

Distribuzione perImporto del prelievo fraudolento ITALIA

PRELIEVO di 250€da ATM in ITALIA

OBIETTIVOOBIETTIVO

Canale ATM – Paese ItaliaDistribuzione per importo delle frodi

17

18,70RESTO del MONDO

5,72BULGARIA

6,41BRASILE

7,55FRANCIA

10,76SUD AFRICA

50,86ROMANIA

Distribuzione perPaese Estero %

I prelievi ATM in Romania costituiranno la principale priorità tra le transazioni all’Estero!

ATTENZIONEATTENZIONE

Canale ATM – Paesi EsteriDistribuzione degli importi frodati per Paese

18

Alla datala maggior

AREA DI RISCHIOè data da:

ATTENZIONEATTENZIONE

Considerata la presenza del servizio di SMS Alerts, pare ragionevole dare la priorità

all’analisi di transazioni fatte da Titolari carta dei quali non abbiamo il numero di telefono cellulare.

Conclusione: Il problema principale (mondo debito)

Prelievi ATM

Di importo superiore o uguale a 250€

Fatti in Italia

Con lettura della strip magnetica

Su circuito internazionale Maestro / VPay

19

Solo il 3 % delle transazioni avranno

priorità massima

Analisi giornata campione – Prelievi ATM su Circuito Internazionale (Maestro, VPay) in banda magnetica

Numero TotaleTransazioni

Numero TotaleTransazioni

Italia: 32 %Italia: 32 % Estero: 68 %Estero: 68 %

>= 250 euro: 23 % >= 250 euro: 23 % <250 euro: 77 % <250 euro: 77 % TOP Ten (prossima slide)

TOP Ten (prossima slide)

Tel.cellulare SI: 63 %

Tel.cellulare NO: 37 %

20

Resto del MONDO

BULGARIA

BRASILE

FRANCIA

SUDAFRICA

ROMANIA

83,71

0,46

3,67

6,24

0,98

4,94

18,70

5,72

6,41

7,55

10,76

50,86

NO PROBLEM0,22

HIGH12,43

MEDIUM1,75

LOW1,21

HIGH10,98

HIGH10,30

Distribuzione Frodi per Paese

Distribuzione Frodi per Paese

Misura della Probabilità di Frode (*): rapporto tra i valori nella prima e nella seconda tabella, a livello di Paese

Misura della Probabilità di Frode (*): rapporto tra i valori nella prima e nella seconda tabella, a livello di Paese

TOP 5 Paesi Esteri a rischio

Probabilitàdi Frode

Probabilitàdi Frode

Transaz. all’estero Giornata campione

Transaz. all’estero Giornata campione

Livello di rischioLivello

di rischio

21

Transazioni con carta

UniCredit Group Information Systems

UniCredit Group Information Systems

Sistema Autorizzativo

Sistema Autorizzativo

T O O L S

SW

REGOLE

ALERTS

Banche

Service Unit

Contact Center Unit

Titolari Carte

L’ambiente operativo di riferimento

22

Analisi del Rischio

Definizione regole

Attivazione regole

Affinamento regole

Produzione statistiche

Gestione alerts

Analisi alerts

Contatto Titolari carta

Blocco carte

Informativa alle Banche

Organizzazione funzionale

Service Unit

Contact Center Unit

23

Strumenti a supporto dell’attività

Proactive Risk Manager (basato su regole)

ACI / PRMACI / PRM

Visa Intelligent Scoring Of Risk(basato su motori neurali)

VISA / VISORVISA / VISOR

Expert Monitoring System(basato su motori neurali)

MasterCard / EMSMasterCard / EMS

+Elaborazioni ad hoc sviluppate in autonomia su una struttura di MIS

24

Performance delle singole regole

Per ogni singola regola la Service Unit analizza periodicamente le performance

comparando diversi indicatori che fanno riferimento principalmente a:

•Numero di singole transazioni che hanno generato alerts

•Numero di carte che hanno avuto alerts

•Numero di carte bloccate

•Carte bloccate senza sia stato generato alcun alert

NELL’OTTICA DI

•INTERVENIRE RAPIDAMENTE

•RIDURRE I FALSI POSITIVI

•AUMENTARE IL GRADO DI COPERTURA

Per ogni singola regola la Service Unit analizza periodicamente le performance

comparando diversi indicatori che fanno riferimento principalmente a:

•Numero di singole transazioni che hanno generato alerts

•Numero di carte che hanno avuto alerts

•Numero di carte bloccate

•Carte bloccate senza sia stato generato alcun alert

NELL’OTTICA DI

•INTERVENIRE RAPIDAMENTE

•RIDURRE I FALSI POSITIVI

•AUMENTARE IL GRADO DI COPERTURA

25

La Service Unit opera nell’ambito delle policiesconcordate e definite con la

banca, con la quale mantiene uno stretto rapporto anche grazie ad incontri periodici e su richiesta.

La Service Unit opera nell’ambito delle policiesconcordate e definite con la

banca, con la quale mantiene uno stretto rapporto anche grazie ad incontri periodici e su richiesta.

Service Unit

Da un punto di vista operativo la Banca può decidere di individuare un Focal Point al proprio interno, che costituirà la controparte con cui rapportarsi prioritariamente

- opera in modalità 24x7x365;

- è pianificata attraverso un sistema di Work Force Management;

- ogni operatore ha una pluralità di skills;

- opera in modalità 24x7x365;

- è pianificata attraverso un sistema di Work Force Management;

- ogni operatore ha una pluralità di skills;

Contact CenterUnit Secondo quanto deciso dalla Banca

la Contact Center Unit può

Modelli di servizio diversificati

Gestire direttamente il contatto con i clienti della Banca.

Fare esclusivamente riferimento a strutture indicate dalla Banca.

26

Che non sia contraffatta (grazie alle quantità di sicurezza previste: ologramma, CVV2, CVC2, ultimi 4 numeri)

Che sia firmata

Che non sia fisicamente alterata

Può osservare il comportamento del Titolare, se lo ritiene opportuno può verificarne l’identità…

…alla fine legge la carta sul POS per ottenere l’autorizzazione alla spesa

Riceve la carta dal Titolare e deve verificare:

ESERCENTEESERCENTE

Le tipologie di frodi viste sul lato Issuing vengono ovviamente monetizzate sul lato Acquiring, p.e. utilizzando carte originali intercettate durante l’invio al destinatario, o smarrite dal titolare carta, oppure utilizzando carte contraffatte o semplicemente in modo “virtuale” con transazioni in internet….

Nell’ambiente Card Presentè la prima linea di difesa:

La frode dal punto di vista ACQUIRING

27

lampada UV, verifica identità, quantità di sicurezza

Il monitoraggio degli esercenti

Regole in Near Real Timeper individuare potenziali anomalie

Regole in Near Real Timeper individuare potenziali anomalie

Analisi delle frodiTC40 & SAFE (rapporto Frodi / Fatturato)

Analisi delle frodiTC40 & SAFE (rapporto Frodi / Fatturato)

Analisi di trend del fatturatosu diverse scale temporali

Analisi di trend del fatturatosu diverse scale temporali

Confronti a livello diMerchant Category Code

Confronti a livello diMerchant Category Code

se il piano di mitigazione non funziona o si sospetta collusione

CONTROMISURECONTROMISURE

Merchant educationMerchant education

Merchant terminationMerchant termination

Il monitoraggio e la prevenzionedelle frodi lato esercenti si basano su combinazioni di tecniche, alcune delle quali specifiche per l’ambiente Card Not Present, che necessariamente richiede un approccio “mirato”

28

L’esercente può contribuire ad un’efficace prevenzione anche in caso di mancanza fisica della carta

L’esercente può contribuire ad un’efficace prevenzione anche in caso di mancanza fisica della carta

Tipicheinformazioni da

analizzare attentamente:

indirizzi IP da cui è stato impartito l’ordine

email dichiarata dal compratore

nome del titolare carta

indirizzo per la consegna (nel caso di beni fisici)

concentrazione di richieste di autorizzazione

Ambiente Card Not Present

29

Michele Paoletti

5424xxxxxxxx2980

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.41

Michele Paoletti

4692xxxxxxxx3080

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.39

Michele Paoletti

4616xxxxxxxx8930

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.33

Michele Paoletti

4692xxxxxxxx3087

gregory_house910@yahoo.co

m.au

71.163.68.86NOT SUFFICIENT FUNDS

KO2462008-09-06-16.28

TenilleWashington

4616xxxxxxxx8939

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.26

TERESA A PARSONS

4610xxxxxxxx2580

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.23

Guillermo F Morales

4744xxxxxxxx1068

gregory_house910@yahoo.co

m.au

71.163.68.86CARTA NON ACCETTATA DALLA

COMPAGNIA

KO2462008-09-06-16.21

Titolare CARTA

PANE_mailCompratore

IP Acquirente

Descrizione ESITO

STATOIMPORTODATA / ORA

Esempio di un attacco in ambiente CNP

30

I record SAFE e TC40

Nel momento in cui un Titolare cartadiviene consapevole

del fatto che alcune transazionifatte con la sua

carta non sono state da luiordinate, informa

di questo fatto la propriaBanca (issuer).

Nel momento in cui un Titolare cartadiviene consapevole

del fatto che alcune transazionifatte con la sua

carta non sono state da luiordinate, informa

di questo fatto la propriaBanca (issuer).

La Banca (issuer) quindi provvede acondividere questa

informazione con la Banca (acquirer)che ha convenzionato l’esercente

presso cui è statacompletata la transazione fraudolenta.

La Banca (issuer) quindi provvede acondividere questa

informazione con la Banca (acquirer)che ha convenzionato l’esercente

presso cui è statacompletata la transazione fraudolenta.

I record Safe e TC40 sono flussi di dati che i circuiti MasterCard e Visa rendono disponibili per informare ciascun Acquirer delle

frodi con carta presso gli esercenti che ha convenzionato.

La modalità di condivisione di questaimportante informazione costituiscel’essenza dei record Safe e TC40.

La frode nel mondo delle carte di pagamento:

come organizzare un efficace monitoraggio e prevenzione

grazie per l’attenzione

Franco Fiocco – Responsabile Fraud Management

Torino, 28 maggio 2009