IT Infrastructure Day
Sicurezza - Applicazioni
 

01/02/2019

Share    

di Raffaela Citterio

La tecnologia: elemento di vulnerabilità, o di contrasto alle frodi

Una ricerca di Pricewaterhouse Coopers (PwC) analizza un fenomeno che riguarda tutte le organizzazioni, incluse quelle attive nel mondo Finance. I commenti dei player.



Secondo la ‘Global Economic Crime and Fraud Survey 2018 – Summary Italy’ realizzata da PricewaterhouseCoopers in Italia il 23% degli intervistati - appartenenti prevalentemente alle funzioni Finance, Internatl Audit ed Executive Management di 164 organizzazioni - ha dichiarato che la propria azienda è stata vittima di reati economico-finanziari negli ultimi 24 mesi, a fronte del 49% registrato a livello globale e al 45% a livello di Europa Occidentale. Questo dato, più che mostrare una minore diffusione delle frodi nel nostro Paese rispetto alla media mondiale ed europea, potrebbe evidenziare una minore consapevolezza da parte delle organizzazioni. Inoltre non bisogna dimenticare che le aziende non sono sempre propense a dichiarare di aver subito frodi, quindi è possibile che una parte di frodi intercettate non sia stata comunicata.

Un cyber crime sempre più pericoloso
Lo studio realizzato da PwC evidenzia, tra l’altro, la crescita del cybercrime, con le frodi in questo ambito passate dal 20% al 45% rispetto alla rilevazione precedente, realizzata due anni fa, quindi più che raddoppiate. Il cybercrime, inoltre, è al momento il principale timore delle organizzazioni anche per il futuro: tra tutte le categorie di frode, il cybercrime è stato indicato sia in Italia (34%) sia a livello globale (26%) come la minaccia più seria dei prossimi due anni. Ma quali sono gli obiettivi? Nella maggior parte dei casi lo scopo è interrompere o danneggiare i processi di business (31%), sottrarre asset all’azienda (29%) o mettere in atto forme di estorsione (25%). Tra gli strumenti di contrasto adottati dalle organizzazioni quelli riconducibili all’intelligenza artificiale rivestono ancora un ruolo marginale: secondo la ricerca, infatti, solo il 7% degli intervistati le utilizza, il 16% ha qualche progetto in fase di valutazione o pianificato per i prossimi 12 mesi, il 34% non ha nessuna previsione di utilizzo e il 43% ‘non sa’. Le aziende coinvolte operano naturalmente in diversi settori, non solo in quello Finance, ma il dato risulta in ogni caso indicativo. Ma cosa ne pensa chi è in prima linea su questo fronte? Per capirlo abbiamo posto le seguenti domande ad alcuni player.

Il mercato bancario e assicurativo italiano nel suo complesso come sta affrontando il tema delle frodi?

Che ruolo hanno le tecnologie di intelligenza artificiale per ridurre i rischi di frode e migliorare l’efficienza?

Quale approccio suggerite e quali tecnologie vostre e/o di terze parti rendete disponibili per aiutare le aziende ad affrontare queste sfide?

Claudio BottariClaudio Bottari, Machine Learning Engineer di Kubris, centro di innovazione di Kirey Group

1. Parliamo di un mercato con un lungo trascorso di lotta alle frodi: storicamente l’Italia è stata esposta a un numero di tentativi di truffe bancarie e assicurative più elevato rispetto agli altri Paesi dell’area Euro e il primato sul costo dell’RC auto è la cartina al tornasole del fenomeno. Lo scenario attuale? Pochi attori che operano con un’offerta frammentaria su sistemi informativi sempre più complessi, con un numero di vulnerabilità crescenti che possono essere sfruttate dai malfattori. Da un lato banche e assicurazioni continuano a lavorare per il miglioramento della sicurezza dei propri sistemi e delle procedure, dall’altro spesso devono fare i conti con una cultura aziendale che guarda con scetticismo ai sistemi di rilevazione automatica, per timore di performance inadeguate.

2. L’intelligenza artificiale rappresenta la risposta all’inadeguatezza dei sistemi tradizionali nel campo dell’anti-frode. I sistemi tradizionali prevedono la definizione di regole che circoscrivono un comportamento conforme e identificano ciò che non ricade in tali regole come potenzialmente fraudolento. I limiti di tale approccio sono enormi perché il grado di accuratezza è limitato ai comportamenti noti e discriminabili dagli analisti del settore. Ne consegue, inoltre, il proliferare dei falsi positivi. Circa il 90% dei sistemi in essere è ancora basato su queste regole e, in un mondo nel quale i dati da controllare crescono in modo esponenziale, è evidente che è necessario adottare nuovi paradigmi. Questi possono essere introdotti grazie al machine learning, rendendo i sistemi in grado di riconoscere in tempo reale schemi che vanno al di là della comprensione umana.

3. Come start-up innovativa offriamo sia soluzioni proprietarie, sviluppate per rispondere alle esigenze del cliente, che basate su piattaforme di mercato. Consigliamo ai nostri clienti di considerare i propri dati come il primo e più prezioso patrimonio aziendale e li supportiamo in modo affidabile nella gestione, qualora non siano organizzati per occuparsene (ad esempio con le tecniche di un-supervised learning). L’esperienza di Kubris nel settore insegna che ogni compagnia possiede delle specifiche uniche, sia per quanto riguarda i processi operativi che i sistemi informativi. Il nostro percorso al fianco del cliente inizia con la raccolta e l’analisi di tali specifiche e l’ascolto attivo delle sue esigenze per identificare la soluzione che meglio si integri con la struttura in essere.

Mario GrossiMario Grossi, RSA Fraud & Risk Intelligence, Pre-Sales, Italy

1. Le aziende finanziarie italiane hanno implementato nel corso degli anni sistemi più o meno validi per l’analisi delle frodi ma non c’è mai stata una chiara e comune strategia. Alcuni istituti finanziari hanno sentito maggiormente il tema, altri meno. Nel mercato dell’ecommerce la situazione non cambia: l’applicazione del protocollo 3DS, un tentativo per arginare le frodi nel mercato card-not-present, non ha portato i frutti sperati. L’esperienza del cliente è sempre stata messa al primo posto. Le cose stanno cambiando con la seconda direttiva sui servizi di pagamento, o PSD2, il cui scopo è quello creare un mercato competitivo e sicuro in tutta l’eurozona. Pagamenti remoti e accessi al proprio account dovranno essere resi sicuri attraverso un sistema di autenticazione a due fattori o analizzati con sistemi che valutino il rischio di frode.

2. Il contributo umano nella rilevazione delle frodi è necessario ma non sufficiente e l’intelligenza artificiale viene in soccorso, aiutando a processare e analizzare , in real time, l’enorme mole di dati che ogni giorno viene generata durante le attività finanziare. L’intelligenza artificiale è una categoria molto ampia che racchiude sotto di sé machine learning e deep learning che presuppongono la capacità del sistema di imparare senza essere esplicitamente programmate. Nel nostro caso, per rilevare le frodi ci avvaliamo di machine learning: parliamo di un gruppo di algoritmi di classificazione bayesiana che va a migliorare la sua efficienza man mano che viene a contatto dei dati reali. Presuppone un’attività di apprendimento che deve essere consolidata da feedback umano per un certo tempo, e che infine garantisce risultati molto accurati. Altri modelli di intelligenza artificiale sono utilizzati per la rilevazione delle frodi, per esempio le reti neurali, la regressione logistica eccetera. Ciascuno di questi offre determinati vantaggi, ma dal nostro punto di vista non possono dare risultati ottimali.

3. L’approccio di RSA è quello di contrastare il problema avvalendosi di diverse azioni che operano sinergicamente. Da 15 anni abbiamo costituito un gruppo di intelligence formato da più di 100 analisti che lavorano 24x7; analizzando quanto succede in rete, è in grado di identificare i potenziali problemi. Grazie a una rete di collaborazioni con istituiti finanziari e provider diversi, abbiamo inoltre costituito un database comune di pattern fraudolenti verificati e anonimi, immediatamente disponibile e utilizzabile in fase di prevenzione di frode. Accanto a questi servizi, abbiamo sviluppato un risk-engine, il sistema machine learning capace di processare un centinaio di parametri, ricavati dall’attività di pagamento, dalla cui correlazione viene generato un punteggio che ne pronostica il grado di frode. Un’autenticazione è richiesta in caso di sospetta frode mentre per frode certa la transazione viene negata. L’affidabilità del risk-score è proprio la caratteristica che ci contraddistingue.

 

TORNA INDIETRO >>