Sicurezza

Sicurezza delle informazioni e delel reti

PCI-DSS - Payment Card Industry Data Security Standard ver. 3.0 (CLUSIT, 31 marzo 2014)

140401-pci_logo-2
Fonte: sito CLUSIT (pdf, 4 M , 63 pp.)
di Fabio Guasconi ( FB , Linkedin)

CLUSIT, Associazione Italiana per la Sicurezza Informatica, ha aggiornato il “Quaderno Clusit” dal titolo “PCI-DSS: Payment Card Industry - Data Security Standard” (pdf, 4 M , 63 pp.) per tener conto delle novità della versione 3.0 dello standard PCI-DSS.
Il test è rilasciato con “licenza libera” Creative Commons BY-NC-ND cioè è “liberamente condivisibile ma non utilizzabile per fini commerciali e non modificabile per creare opere derivate”.
Di seguito l'abstrac del testo e l’indice completo

Abstract

Il Quaderno che state leggendo è stato composto al fine di illustrare con chiarezza quanto ruota intorno allo standard PCI-DSS e alla connessa protezione dei dati delle carte di pagamento, rivolgendosi principalmente a un pubblico specialistico, come i soci CLUSIT.
Si è però cercato, nel contempo, di rendere i concetti al di là dei termini specifici ad essi legati e di non entrare in trattazioni tecniche spinte, al fine di rendere i contenuti fruibili ad una platea più allargata, che è effettivamente quella coinvolta nell’applicazione di questo standard.
Superato il preambolo del primo capitolo, nel secondo capitolo del Quaderno si introduce il lettore ai soggetti e ai processi su cui PCI-DSS si concentra, di fondamentale importanza per avere un’illustrata visione d’insieme. Si passa quindi ad esaminare le origini dello standard e le altre norme ad esso vicine.
Il terzo capitolo tratta in maniera estesa la struttura e i requisiti di PCI-DSS, descrivendo il contenuto generale e andando a far luce sui punti di più difficile comprensione, applicazione e di maggiore rilevanza per il raggiungimento della conformità.
Il quarto capitolo analizza lo standard PCI-DSS e le sue relazioni con altre norme e best practice assieme alle quali potrebbe trovarsi a convivere in un ambiente reale, ponendo l’accento sulle sinergie tra di esse.
Nel quinto capitolo si eviscera il processo di verifica e attestazione di conformità rispetto a PCI-DSS, i cui meccanismi sono forse uno degli aspetti meno conosciuti dello standard. Sono inoltre riportati i requisiti di validazione richiesti dai diversi brand delle carte di pagamento.
Il sesto capitolo illustra le scadenze passate e soprattutto future legate alla conformità rispetto allo standard, sia a livello locale che globale.
Nel settimo capitolo sono raccolte un insieme di domande frequenti, riprese dal materiale pubblicato ufficialmente e integrate con l’esperienza sul campo.
Gli ultimi due capitoli riportano gli indirizzi web, i contatti, e-mail utili e la nomenclatura impiegata.
Merita infine un breve accenno in questa sede la scelta della terminologia. Ove possibile si è fatto uso dei termini tradotti nel glossario ufficiale pubblicato dal PCI-SSC mentre, nei casi in cui questi potessero dare adito a dubbi sulla loro corretta interpretazione, si è deciso di mantenere i termini impiegati in lingua inglese.

Indice

1 PREMESSA
1.1 PRESENTAZIONE
1.2 ABSTRACT
1.3 AUTORI
1.4 RINGRAZIAMENTI SPECIALI
2 INTRODUZIONE
2.1 SOGGETTI E RUOLI CHIAVE
2.2 I TRE PROCESSI PRINCIPALI
2.3 GENESI DEGLI STANDARD PCI LEGATI ALLE CARTE
2.3.1 Payment Application DSS (PA-DSS)
2.3.2 PIN Transaction Security (PTS)
2.3.3 Point-to-point encryption (P2PE)
2.3.4 PIN Security Requirements
2.3.5 Card Manufacturers
3 PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI-DSS)
3.1 AMBITO
3.2 OBIETTIVI
3.3 STRUTTURA
3.4 SVILUPPO E GESTIONE DI UNA RETE SICURA
3.4.1 Requisito 1: Installare e gestire una configurazione firewall per proteggere i dati dei titolari delle carte
3.4.2 Requisito 1.4
3.4.3 Requisito 2: Non utilizzare valori predefiniti del fornitore per le password di sistema e altri parametri di protezione
3.5 PROTEZIONE DEI DATI DI TITOLARI DELLE CARTE
3.5.1 Requisito 3: Proteggere i dati di titolari delle carte memorizzati
3.5.2 Requisito 4: Cifrare i dati di titolari delle carte trasmessi su reti aperte e pubbliche
3.6 MANUTENZIONE DI UN PROGRAMMA PER LA GESTIONE DELLE VULNERABILITÀ
3.6.1 Requisito 5: Proteggere tutti i sistemi dal malware e aggiornare regolarmente software o programmi antivirus
3.6.2 Requisito 6: Sviluppare e gestire sistemi e applicazioni protette
3.6.3 Requisito 6.4
3.6.4 Requisito 6.5
3.6.5 Requisito 6.6
3.7 IMPLEMENTAZIONE DI RIGIDE MISURE DI CONTROLLO DELL'ACCESSO
3.7.1 Requisito 7: Limitare l'accesso ai dati di titolari delle carte solo se effettivamente necessario
3.7.2 Requisito 8: Identificare e autenticare gli accessi ai componenti di sistema
3.7.3 Requisito 9: Limitare l'accesso fisico ai dati dei titolari delle carte
3.8 MONITORAGGIO E TEST REGOLARI DELLE RETI
(rev.
3.8.1 Requisito 10: Registrare e monitorare tutti gli accessi a risorse di rete e dati di titolari delle carte
3.8.2 Requisito 11: Eseguire regolarmente test di sistemi e processi di protezione
3.8.3 Requisito 11.3
3.9 GESTIONE DI UNA POLITICA DI SICUREZZA DELLE INFORMAZIONI
3.9.1 Requisito 12: Gestire una politica che garantisca la sicurezza delle informazioni per tutto il personale
3.10 REQUISITI PCI-DSS AGGIUNTIVI PER PROVIDER DI HOSTING CONDIVISO
3.10.1 Requisito A.1: I provider di hosting condiviso devono proteggere l'ambiente dei dati di titolari delle carte
3.11 I CONTROLLI COMPENSATIVI
4 LEGAMI CON ALTRE BEST PRACTICE
4.1 ISO/IEC 27001
4.1.1 Approccio
4.1.2 Contromisure
4.1.3 Sinergie sul Campo
4.2 COBIT
4.2.1 Approccio
4.2.2 Attività
4.2.3 Sinergie sul Campo
4.3 ALTRI
4.3.1 ISO/IEC 20000 e ITIL
4.3.2 Basilea2
4.3.3 OSSTMM
4.3.4 OWASP
5 CERTIFICAZIONE
5.1 CERTIFICANTE
5.1.1 Qualified Security Assessor Company (QSAC)
5.1.2 Approved Scanning Vendor (ASV)
5.2 I LIVELLI
5.2.1 I livelli dei Merchant
5.2.2 I livelli dei Service Provider
5.3 REQUISITI NECESSARI PER LA VALIDAZIONE
5.3.1 Self-Assessment Questionnaire – SAQ
5.3.2 Requisiti necessari per la validazione dei Merchant
5.3.3 Requisiti necessari per la validazione dei fornitori di servizi
5.4 I TEMPI DI RECUPERO
6 QUADRO INTERNAZIONALE E SCADENZE
7 DOMANDE FREQUENTI
8 RIFERIMENTI
8.1 SITI WEB E INDIRIZZI EMAIL DEI BRAND
8.1.1 PCI Security Standard Council
8.1.2 VISA
8.1.3 MasterCard
8.1.4 American Express
8.1.5 Discover
8.1.6 JCB
8.2 SITI WEB ESTERNI
9 NOMENCLATURA

Chi è Fabio Guasconi?

Impegnato dal 2003 come consulente per la sicurezza delle informazioni, con particolare attenzione per le tematiche di analisi del rischio, gestione della sicurezza e verso le norme internazionali, a cui contribuisce attivamente tramite UNINFO e ISO, ha ottenuto le qualifiche di CISA e CISM. E' lead auditor qualificato con significativa esperienza sullo schema ISO/IEC 27001 (della cui prima traduzione in italiano è stato editor) e ha una conoscenza approfondita delle diverse attività di verifica e miglioramento della sicurezza. Opera attivamente in ambito PCI-DSS, per il quale è QSA (Qualified Security Assessor) riconosciuto dal PCI-SSC.
Laureatosi in Informatica a Torino, presiede attualmente il comitato italiano SC27 per la sicurezza delle informazioni di UNINFO, è membro del suo Comitato Direttivo così come quello di CLUSIT ed è partner e Co-fondatore della consulting company (QSAC) Bl4ckswan S.r.l.

Cos'è CLUSIT?

140401-pci_logo-2

  • Fonte: presentazione da sito Clusit (pdf)

CLUSIT,  Associazione Italiana per la Sicurezza Informatica è un'associazione senza fini di lucro costituita a Milano il 4 luglio 2000, presso il Dipartimento di Informatica dell’Università degli Studi di Milano, ed è la più numerosa ed autorevole associazione italiana nel campo della sicurezza informatica. Oggi rappresenta oltre 500 organizzazioni, appartenenti a tutti i settori del Sistema-Paese.

ComplianceNet: 

NIST: “Cybersecurity Framework” (15 febbraio 2014)

140215-cyberframework

Fonte: sito NIST
Il National Institute of Standards and Technology (NIST) ha pubblicato la prima versione del “Cybersecurity Framework” (pdf, 474 M, 41 pp.), frutto della collaborazione con le aziende del settore privato come previsto dall’Executive Order 13636: “Improving Critical Infrastructure Cybersecurity” emanato nel febbraio 2013 dal Presidente Obama.
Le “linee guida” consistono in misure volontarie che le organizzazioni che operano sulle “infrastrutture critiche” degli USA possono adottare nei loro piani di sicurezza informatica.
Al momento non sono previsti incentivi economici per l’adozione delle “linee guida”: tuttavia esse saranno probabilmente rese obbligatorie per chi fornisce servizi e prodotti al governo statunitense e alle agenzie federali.

Indice del documento

Executive Summary.........................................................................................................................1
1.0 Framework Introduction .........................................................................................................3
2.0 Framework Basics...................................................................................................................7
3.0 How to Use the Framework ..................................................................................................13
Appendix A: Framework Core.......................................................................................................18
Appendix B: Glossary....................................................................................................................37
Appendix C: Acronyms .................................................................................................................39

Allegati

  • National Institute of Standards and Technology, “Framework for Improving Critical Infrastructure Cybersecurity”, Version 1.0, February 12, 2014 (pdf, 474 M, 41 pp.)
  • National Institute of Standards and Technology, “NIST Roadmap for Improving Critical Infrastructure Cybersecurity”, February 12, 2014  (pdf)
ComplianceNet: 

Simulazione di un attacco cibernetico alle istituzioni finanziare del Regno Unito: il rapporto finale (8 febbraio 2014)

140208-rapporto-bank-of-england-2
Fonte: Bank of England
La Banca d’Inghilterra ha pubblicato un rapporto (pdf, 698 K,  10 pp.) contenente i risultati e le osservazioni della “simulazione di un ampio attacco cibernetico” alle istituzioni finanziarie del Regno Unito. La simulazione, denominata “Waking Shark II” (letteralmente: sulla scia degli squali) ha avuto luogo il 12 novembre 2014 e ha confermato, nonostante i progressi conseguiti negli ultimi mesi, che il settore finanziario britannico è vulnerabile agli attacchi informatici.
È necessario, secondo il rapporto, che ci sia un unico soggetto centrale responsabile per la gestione delle comunicazioni tra le diverse istituzioni nel settore finanziario.
La Banca d’Inghilterra ribadisce che tutti i soggetti del settore finanziario devono segnalare gli attacchi informatici subiti sia alle Autorità di vigilanza sia alle forze dell’ordine; è pertanto necessaria una continua review delle procedure interne per la gestione degli incidenti informatici per garantirne l’efficienza operativa.

Allegato

  • Bank of England, “Waking Shark II: Desktop Cyber Exercise. Report to participants”, 12 November 2013, author: Chris Keeling (pdf, 698 K,  10 pp.)
ComplianceNet: 

Pagamenti via smartphone e tablet: le regole del garante privacy per tutelare gli utenti” (3 gennaio 2013)

garante-privacy

Fonte: Garante Privacy, Doc-Web: 2841156
Informativa sull'uso dei dati, misure di sicurezza forti, conservazione a tempo
Chi usa smatphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare  e-book, scaricare  a pagamento film o giochi sarà più garantito. Arrivano le regole del Garante per proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.
L'uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell'acquisto), in alcuni casi anche di natura sensibile.
Obiettivo del provvedimento generale dell'Autorità, dunque, è quello di garantire in un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti  e prevenire i rischi di un loro uso improprio.
Le direttive del Garante sono rivolte ai tre principali soggetti che offrono servizi di mobile payment:
operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l'uso di una carta prepagata oppure mediante un abbonamento telefonico;
gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l'offerta di prodotti e servizi digitali;
i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi,  servizi destinati ad un pubblico adulto.
Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie di operatori coinvolti.

Informativa

I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando  quali dati personali  utilizzano  e per quali scopi. Per tale motivo dovranno rilasciare l'informativa al momento dell'acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell'apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell'operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l'informativa e la richiesta del consenso al trattamento dei dati.

Consenso

I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.
Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza

Operatori, aggregatori e venditori saranno tenuti ad adottare  precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l'acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici. Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell'operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell'utenza basata su abitudini,  gusti e  preferenze. Da prevedere anche accorgimenti tecnici per  disattivare  servizi destinati ad un pubblico adulto.

Conservazione

I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi. L'indirizzo Ip dell'utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale. Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy.

Consultazione pubblica

Prima del varo definitivo del provvedimento, l'Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it

Articoli collegati

ComplianceNet: 

L’Italia ora ha un piano per la cybersicurezza (Punto Informatico, 19 dicembre 2013)

governo

Fonte: Punto Informatico

Il Consiglio dei Ministri vara due documenti. Utili ad analizzare la sicurezza online italiana. E organizzare la difesa, coordinando le risorse e gli enti coinvolti. Anche di concerto con l'Europa
di Claudio Tamburrino

Il Consiglio dei Ministri ha adottato, su proposta unanime del CISTR (Comitato interministeriale per la sicurezza della Repubblica), il "Quadro strategico nazionale per la sicurezza dello spazio cibernetico" e il "Piano nazionale per la protezione cibernetica e la sicurezza informatica": i due documenti vogliono rappresentare uno "sforzo coordinato e coerente delle diverse amministrazioni" pubbliche nella lotta alle minacce informatiche.

Si tratta degli ultimi passi di una politica iniziata a gennaio scorso con la firma di un decreto per la definizione dell'architettura di sicurezza cibernetica nazionale, e che a livello sovrannazionale ha visto la UE tracciare la via dell'approccio comunitario al problema della cyber-sicurezza, partendo dalla messa in sicurezza delle cosiddette infrastrutture critiche (energia e trasporti) e dall'obbligo per tutti i Paesi di istituire dei Computer Emergency Response Team (CERT) in grado di reagire tempestivamente ad eventuali attacchi informatici.

Le due nuove misure rappresentano dunque la conclusione del lavoro svolto dagli esperti della Presidenza del Consiglio e delle diverse amministrazioni coinvolte, e servono ad individuare strumenti e procedure per prevenire ed arginare le minacce online: in pratica servono a fotografare l'attuale situazione italiana (le nuove forme di minacce, le strutture di difesa al momento esistenti ecc) ed a predisporre una strategia e dei canali comunicativi per permettere alle pubbliche amministrazioni di coordinarsi.Come ha sottolineato il premier Letta, "ci dotiamo di una strategia che ci permette di fare squadra. Ora possiamo guardare con più fiducia alle sfide dello spazio cibernetico, che non è solo una fonte di rischi, ma anche di opportunità per produrre ricchezza".

Link

  • Italian Cyber Security Report 2013: Critical Infrastructure and Other Sensitive Sectors Readiness (pdf, 3,7 M, 90 pp. )
ComplianceNet: 

Unione Fiduciaria: slide convegno “nuove regole sul sistema dei controlli interni” (15 ottobre 2013)

Sul sito web di Unione Fiduciaria sono disponibile le slide delle presentazioni relative al convegno del 1° ottobre 2013 “Provvedimento di Banca d’Italia del 2 luglio 2013: le nuove regole sul sistema dei controlli interni, sistemi informativi e continuità operativa

131016-unione-fiduciaria-locandina
(clicca qui per scaricare la locandina in pdf )

Presentazioni

(update: nuovo link)

Unione Fiduciaria: nuove regole sul sistema dei controlli interni (La mia Finanza, 2 ottobre 2013)

131003-unione-fiduciaria

Come cambiano le regole sul sistema dei controlli interni, sistemi informativi e continuità operativa dopo il provvedimento di Banca d’Italia del 2 luglio 2013

Si è tenuto, organizzato da Unione Fiduciaria un incontro con più di cento responsabili dei controlli interni di banche e finanziarie. Il convegno presentato dal Professor Roberto Ruozi e moderato dal Vicedirettore Generale di Unione Fiduciaria, avvocato Fabrizio Vedana, ha fatto il punto sulle novità del regolamento del sistema dei controlli interni a seguito del Provvedimento Banca d’Italia del 2 luglio scorso.
Il Dott. Mario Marangoni - Titolare della Divisione normativa prudenziale - Banca d'Italia, Servizio Normativa e politiche di vigilanza, ha illustrato tra le principali novità, il RAF, il quadro di riferimento che definisce la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli, in coerenza con il massimo rischio assumibile, il modello di business e il piano strategico. Strumento che collega i sistemi di governo, gestione e controllo dell’intermediario, il RAF è la cornice di riferimento che collega i rischi alla strategia aziendale e lega gli obiettivi di rischio all’operatività dell’impresa.
Con la disciplina del Sistema dei controlli interni, sistema informativo e continuità operativa, è stato introdotto l’obbligo, in capo alla Funzione di Compliance, di presidiare il rischio di non conformità alle normative di natura fiscale.
In particolare, si ricorda che la Compliance sarà d’ora innanzi tenuta a:

  • definire procedure volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale;
  • verificare l’adeguatezza di tali procedure e della loro idoneità a realizzare effettivamente l’obiettivo di prevenire il rischio di non conformità.

A proposito della Funzione di Internal Audit – attività di controllo e valutazione del S.C.I. è intervenuto il Dott. Fabrizio Quasso – Associazione Italiana Internal Audit, spiegando come rispetto al passato è richiesta all’Internal Audit una più incisiva e puntuale attività di Assurance su diversi temi, quali RAF, gestione dei rischi e attività esternalizzate.
Ha proseguito il Dott. Fernando Metelli - Presidente Associazione Italiana Financial Industry Risk Managers – Responsabile Chief Risk Officer Alba Leasing, sul tema del sistema di controllo, governo dei rischi, novità in materia di Risk Appetite Framework e ruolo di organi e funzioni aziendali, specificando come le nuove norme enfatizzano il ruolo degli organi aziendali sul «sistema dei controlli Interni», chiedono di potenziare tutti i livelli di controllo, impongono indipendenza e autorevolezza di risk management, compliance, audit e danno rilievo al ruolo del CdA nella definizione del modello di business.
Le novità per la Funzione di Compliance e la gestione e il controllo del rischio fiscale sono state illustrate dall’Avv. Claudio Cola – Presidente AICOM (Associazione Italiana Compliance), che ha chiarito i problemi relativi all’inserimento organico della funzione compliance nelle disposizioni che regolano le funzioni di controllo e più in generale il sistema dei controlli interni.
L’Ing. Fabio Ghirardi - Direttore Area Consulenza Banche – Settore Informatico - Unione Fiduciaria S.p.A. ha parlato di gestione della sicurezza informatica e delle norme in materia di continuità operativa, anticipando due scadenze: il 1° luglio 2014: adeguamento alle disposizioni contenute nel Capitolo 9 (La continuità operativa) e il 1° febbraio 2015: adeguamento alle disposizioni contenute nel Capitolo 8 (Il sistema informativo).
L’ing. Fabio Ghirardi, nella sessione pomeridiana, ha illustrato la nuova piattaforma informatica software Comunica cube sviluppata da Unione Fiduciaria per assolvere agli obblighi di controllo di primo, secondo e terzo livello.
Ha concluso il Dott. Marcello Fumagalli - Direttore Area Consulenza Banche – Settore Organizzazione e Controlli - Unione Fiduciaria a proposito di documento di Gap Analysis ricordando una prima importante scadenza, il 31 dicembre 2013, entro la quale le Banche dovranno inviare alla Banca d’Italia una relazione recante un’autovalutazione della loro situazione aziendale rispetto ai nuovi requisiti normativi previsti nelle disposizioni di vigilanza del 2 luglio scorso.
Unione Fiduciaria offre per prima, grazie anche alla prestigiosa collaborazione con lo Studio Legale Grimaldi, un servizio consulenziale di alto profilo, destinato alle funzioni di compliance in ambito fiscale. Tale servizio informativo di assistenza fiscale alle funzioni di compliance è operativo e sarà offerto in prova gratuita, per la durata di tre mesi, a coloro che lo richiederanno scrivendo all'indirizzo consulenza@unionefiduciaria.it.
L’offerta consulenziale prevede altresì l’assistenza per l'attività di gap analysis, prevista dal provvedimento Banca d’Italia di cui sopra, ossia la predisposizione della relazione da trasmettere alla Banca d'Italia entro la data del 31 dicembre 2013, recante un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa.

Happy Hour ANSSAIF – Roma 23 settembre 2013

130913-logo-anssaif

L’ANSSAIF, l’Accademia Nazionale per lo Studio della Sicurezza delle Assicurazioni e degli Intermediari Finanziari, ha organizzato un incontro per un aperitivo (Happy Hour) fra colleghi operanti presso aziende di intermediazione finanziaria nell’ambito dei fini istituzionali dell’accademia con l’obiettivo di contribuire a fornire a chi opera in azienda, tutte quelle informazioni o studi che gli agevolino l’attività. L’atmosfera e la location saranno informali.
Il prossimo incontro, nel corso del quale si dibatteranno alcuni temi di attualità, è programmato per il giorno lunedì 23 Settembre p.v. dalle ore 17.30 alle 19.30 a Roma - Zona Eur.

Agg 231-2001-2

(clicca per ingrandire immagine)

Il tema ritenuto attualmente di maggiore interesse riguarda gli aggiornamenti della norma 231/2001 sulla responsabilità amministrativa degli enti, introdotti dalle Disposizioni in materia di sicurezza e contrasto della violenza di genere (Art.9 - Frode informatica commessa con sostituzione d’identità digitale – decreto legge 14 agosto 2013, n. 93).
Naturalmente questa è solo una tracce indicativa, in quanto sarà lasciato ampio spazio all’interscambio fra i presenti, utile anche a pianificare gli incontri futuri.

Approfondimenti

Articoli collegati 

ComplianceNet: 

Più controlli in banca sulla gestione dei rischi (Il Sole 24 Ore, 10 settembre 2013)

il-sole24ore-logo

Più rischi vorrà dire più controlli. La Banca d’Italia ha emanato nuove norme di vigilanza prudenziale per le banche in materia di sistema dei controlli interni, sistema informativo e continuità operativa. Le disposizioni – che in parte anticipano il recepimento di talune norme contenute nella direttiva comunitaria Crd IV – saranno efficaci a partire dal 1º luglio 2014

  • di Enzo Rocca

In coerenza con la migliore prassi internazionale, la disciplina costituisce un quadro organico e una cornice di riferimento delle norme di controllo contenute in altri regolamenti (il cosiddetto modello “hub and spokes”).
Le banche hanno un anno di tempo a disposizione per adeguare il disegno organizzativo e i processi aziendali. Entro fine anno, tuttavia, dovranno effettuare un’autovalutazione dell’impatto normativo (gap analysis) i cui esiti, incluse le misure e i tempi di adeguamento (action plan), andranno inviate alla Banca d’Italia.
Il coinvolgimento dei vertici aziendali rappresenta il principale criterio ispiratore della nuova regolamentazione, in particolare sulle tematiche di governo dei rischi. All’organo con funzione di supervisione strategica è attribuita la responsabilità di definire le politiche di gestione dei rischi stabilendo il livello di rischio accettato nell’ambito di un quadro di riferimento formalizzato (Risk Appetite Framework o «Raf»).
All’organo con funzione di gestione compete la responsabilità dell’attuazione, nella piena consapevolezza di tutti i rischi bancari, tenendo presente le numerose interrelazioni esistenti tra gli stessi (visione integrata). Spetta all’organo con funzione di controllo il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni.
Le norme richiedono una maggiore attenzione alla definizione delle politiche e dei processi bancari rilevanti (gestione dei rischi, valutazione delle attività aziendali e avvio di nuove attività/prodotti), al disegno e funzionamento dei controlli a tutti i livelli e alla diffusione della cultura del controllo. La crisi ha infatti insegnato che disporre di strumenti e modelli di gestione e misurazione dei rischi è certamente importante.
Ma è decisivo il modo in cui vengono utilizzati all’interno dell’organizzazione bancaria. Occorre quindi rivedere i processi decisionali, di governo e di controllo per modificare il modo di fare banca.
A questo fine è rilevante l’autorevolezza e l’indipendenza delle funzioni di controllo (risk management, compliance e internal audit).
Quest’ultima è garantita dall’introduzione di specifiche procedure di nomina e di revoca dei responsabili, dalla fissazione di principi organizzativi (separatezza, modalità di riporto verso gli organi aziendali eccetera) e dall’assegnazione di risorse (umane e finanziarie) adeguate.
Gli organi aziendali e le funzioni di controllo devono agire in modo coordinato. A tal fine l’organo con funzione di supervisione approva un documento che formalizzi le modalità di collaborazione tra le diverse funzioni.
È richiesta inoltre l’adozione di un codice etico che favorisca lo sviluppo della cultura del controllo in tutte le strutture aziendali.
Sono previste novità anche in tema di esternalizzazione delle funzioni aziendali. Le banche devono conservare il controllo e la responsabilità delle attività trasferite al l’esterno, presidiando i rischi connessi a tale scelta organizzativa.
Se ci si avvale di strutture interne al gruppo, sono previsti requisiti meno stringenti a patto che vengano emanate specifiche politiche aziendali in materia.
È stata completamente riscritta la disciplina dei sistemi informativi, recependo le novità emerse a livello internazionale. Sono state regolamentate le modalità di governo e di organizzazione del sistema informativo, la gestione del rischio informatico, i requisiti per la sicurezza e il sistema di gestione dei dati.
Per la sicurezza delle transazioni bancarie effettuate tramite internet sono state recepite le raccomandazioni della Bce del 31 gennaio 2013.
In tema di continuità operativa si è provveduto a riorganizzare le norme esistenti. Di rilievo vi è la ridefinizione delle modalità di gestione delle crisi all’interno del sistema finanziario e, in particolare, l’attribuzione al Codise (continuità di servizio) del ruolo formale di struttura di coordinamento della gestione delle crisi operative della piazza finanziaria italiana. È stato definito, infine, il processo di escalation per la gestione delle crisi. Il tempo complessivo di ripristino per i processi a rilevanza sistemica non dovrà eccedere complessivamente le quattro ore.

Financial Conduct Authority (FCA): indagine preliminare su sicurezza e riciclaggio per il mobile banking (29 agosto 2013)

    130829-fca-mobile

    Il 1° aprile 2013 il governo del Regno Unito ha sostituito la Financial Services Authority (Fsa) con due autorità di regolamentazione indipendenti, la Financial Conduct Authority (FCA), che ha il compito di tutelare gli investitori, vigilare sui mercati e promuovere la concorrenza, e la Prudential Regulation Authority (PRA), organismo interno alla Bank of England, che ha il compito di supervisionare le banche, assicurazioni e grandi imprese di investimento.
    Il 27 agosto 2013 la FCA ha pubblicato una “indagine preliminare” sui rischi potenziali relativi ai servizi di “mobile banking” (qui in pdf, 12 pp. 707 K).
    Le principali aree di rischio individuate sono:

    • frodi: rischio che il cliente non possa accedere ai propri beni e subire perdite economiche
    • sicurezza: rischio potenziale che il cliente possa essere infettato da virus o altro malware usando le applicazioni di mobile banking
    • interruzione del servizio: rischio che il cliente non possa accedere al proprio conto corrente a causa di problemi tecnici  
    • formazione e consapevolezza della clientela: rischio potenziale che i client siano poco familiari con le nuove tecnologie e incorrano in errori nel loro utilizzo
    • antiriciclaggio: rischio potenziale ce il mobile banking sia usato per facilitare il riciclaggio di denaro sporco.

    Controlli antiriciclaggio

    In particolare sull’antiriciclaggio il rapporto di FCA scrive quanto segue.
    Le imprese devono adottare sistemi e controlli compliant con i requisiti legali e normativi volti a mitigare i rischi di crimini finanziari. Il mobile banking e i nuovi servizi di pagamento offrono nuove opportunità e vantaggi ma espongono anche a nuovi rischi dei quali occorre essere consapevoli. Il principale rischio è rappresentato dai servizi di mobile banking che non sono collegati al conto corrente del cliente.
    In questi casi è necessario adottare ulteriori controlli per verificare l'identità del beneficiario e del destinatario specie per l’individuazione e segnalazione di possibili operazioni sospette di riciclaggio. Devono pertanto essere adottati sistemi e controlli “robusti” per mitigare tali rischi in particolar modo per le imprese che intendono adottare forme avanzate di mobile banking ad esempio facilitando i pagamenti all'estero.

    Verifiche e approfondimenti

    La FCA svolgerà verifiche presso le imprese finanziarie del Regno Unito che forniscono i nuovi servizi di mobile banking per verificare in particolare:

    • l’esistenza di una strategia e governance aziendale rispetto a questi temi e rischi;
    • modalità di progettazione dei nuovi servizi rispetto ai rischi potenziali con particolar attenzione alle problematiche collegate con le “terze parti”;
    • procedure, controlli e “risposte” rispetto ai reclami o segnalazioni giunte dalla clientela;
    • attività di “awareness” della clientela;
    • controlli specifici in materia di frodi, sicurezza e antiriciclaggio.

    Entro il 2013 FCA completerà il suo assessment iniziale in modo da poter pubblicare entro la metà del 2014 un testo definitivo.

    Link

    • Financial Conduct Authority (FCA), “Mobile banking and payments - – supporting an innovative and secure market”, August 2013, (pdf,12 pp. 707 K)
    ComplianceNet: 

    Pagine