LE FRODI NELLA RETE IL DUPLICE RUOLO DELL’ICT • • • • • • • • Riccardo Abeti, Studio Legale Abeti Orlando Arena Luca Bechelli, Clusit Paolo Carcano, NTT Data Enrico Ferretti, Protiviti Sergio Fumagalli, Zeropiu Roberto Obialero, ADS - Gruppo Finmatica Alessandro Vallega, Clusit e Oracle • • • • • • • • Elisabetta Calmasini, WeBank Simone Maga, Gruppo Bancario Paola Meroni, Vodafone Italia Mario Monitillo, ICBPI Nicola Murano, Reale Mutua Maurizio Pastore, Datasiel Enrico Toso, DB Consorzio Alessandro Vallega, Clusit e Oracle 1 Oracle Community for Security Più di trenta aziende, studi legali e associazioni legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia http://www.oracle.com/it/technologies/security/partner-171975-ita.html C4S.CLUSIT.IT Return on Security Investments Fascicolo Sanitario Elettronico Privacy nel Cloud Mobile e Privacy Sicurezza nel Social Media I Primi 100 giorni del Responsabile della Sicurezza delle Informazioni 2 Liberamente scaricabile http://c4s.clusit.it Licenza CC-BY-SA versione 4.0 3 Autori del deliverable Riccardo Abeti, Studio Legale Abeti Mohamed Ait Wakrim, NexSoft Mauro Alovisio, Università di Torino Orlando Arena, Safenet Luca Bechelli, Clusit Manfredi Blasucci, Verizon Giancarlo Butti, Banco Popolare Elisabetta Calmasini, WeBank Riccardo Canetta, SafeNet Paolo Carcano, NTT Data Andrea Castello, CSQA Certificazioni Matteo Cavallini, CSA Italy Roberto Chieruzzi, Spike Reply Enrico Ciabattini, Ernst & Young Giulio Colla, NTT Data Erminio Corbo, ACFE Italy Chapter Graziano De' Petris, Associazione Nazionale Privacy and Information Healthcare Manager Davide Del Vecchio, Fastweb Lorenzo Di Giusto, Verizon Gabriele Faggioli, ISL Consulting Alan Ferrario, Horizon Security Enrico Ferretti, Protiviti Gianpaolo Filiani, Praecipua Sergio Fiora, Oracle Sergio Fumagalli, Zeropiù Andrea Gaglietto, Protiviti Matteo Galimberti, BSC Consulting Francesca Gatti, AUSED Davide Giordano, Spike Reply Federico Gozzi, Reale Mutua Lorenzo Grillo, Spike Reply Barbara Indovina Tommaso Ippolito, AISIS (segue) 4 Autori del deliverable Marco Krecic, Azienda Ospedaliera Universitario Trieste Pierodavide Leardi, Studio Leardi Andrea Longhi, ConsAL Luca Lora Lamia, KPMG Advisory Fabio Maccaferri, Pragmatica Consulting Simone Maga, Gruppo Bancario Michele Magri, ACFE e Michael Slim International Wilmana Malatesta, M&M Asset Andrea Mariotti, Ernst & Young Rodolfo Mecozzi, Ernst & Young Paola Meroni, Vodafone Italia Mario Monitillo, ICBPI Calogero Montante, Vodafone Nicola Murano, Reale Mutua Roberto Obialero, ADS - Gruppo Finmatica Giorgio Orlandi, ABI Lab Daniele Pasini Maurizio Pastore, Datasiel Luigi Pecorario, Praecipua Paolo Pegurri, Certilogo Monica Pellegrino, ABI Lab Alberto Perrone, Mediaservice Michele Petronzi, Praecipua Rosario Piazzese, Siledo Global Fabio Piazzese, Siledo Global Pierluca Pierro, NexSoft Luana Pisciotta, NTT Data Attilio Rampazzo, CSQA Certificazioni Andrea Reghelin, ISL Consulting Lele Rozza, Blonk Davide Salute, Azienda Ospedaliero Universitaria Trieste (segue) 5 Autori del deliverable 8 associazioni Fabio Saulli, BSC Consulting Paolo Sferlazza, Mediaservice Giulio Spreafico, AIEA Stefano Tagliabue, Telecom Italia Claudio Telmon, Clusit Vittorio Torre, NexSoft Enrico Toso, DB Consorzio Guglielmo Troiano, Array Law Alessandro Vallega, Clusit e Oracle Andrea Zapparoli Manzoni, Clusit e IDialoghi 10 legali 15 esperti di aziende utente (finalmente fine) ABI Lab ACFE Italy Chapter AIEA AISIS APIHM AUSED CLUSIT CSA Italy Banche Telco Assicurazioni Sanità Public Sector 37 esperti di aziende offerta 74 persone in totale 6 Processo di produzione Tema (marzo 2013) Scelta del tema, definizione del target Nomina del leadership team e dell’editor (10 persone) Componenti Stesura della distinta base Assegnazione degli autori (70 persone) Stesura componenti (1-4 pagine per 2-4 persone) Review e rework componenti 1° Master online (novembre 2013) Integrazione in un unico master condiviso online Comments, rewiew e rework 2° Master word (marzo 2014) Trasposizione in un unico sorgente Review finale Pubblicazione (marzo 2014) 7 Agenda Prima tavola rotonda: presentazione del documento, la definizione adottata, cenni su risultanze principali, suggerimenti pratici e contromisure Seconda tavola rotonda: Esperienze di settori industriali insieme a domande e risposte 8 Indice 9 Indice 10 Indice 11 Indice Indice 13 Indice 14 Indice 15 Indice 16 Indice 17 LA NOSTRA DEFINIZIONE DI FRODE 18 ? frode ? ‘dishonestly obtaining a benefit by deception or other means’ la frode è “un comportamento illecito con il quale si mira ad eludere precise disposizioni di legge” oppure un “inganno inteso a danneggiare gli altri a proprio vantaggio. ‘qualsiasi reato che comporti un guadagno e che usi l'inganno come suo principale modus operandi’ 19 COSTO DELLE FRODI 20 Frodi: ma quanto ci costano? Report to Nations 2012” di ACFE Il costo delle frodi Casi di frode analizzati Stima di oltre 1000 CFE worldwide OLAF (Organizzazione lotta anti frode UE) Incidenza delle frodi sulla spesa UE Soldi ma non solo: • Danni finanziari • Danni reputazionali • Ricadute occupazionali • Problemi emotivi • Problemi di salute • Cambio comportamentale Costo medio Costo complessivo della frode ($) 1.388 140.000 194.320.000 5% del fatturato dell'azienda tipica Numero totale Incidenza delle frodi 126.000.000.000 0,0025 Totale spesa UE Costo delle frodi 315.000.000 Pochi denunciano. Le stime sono tutte approssimate. Per difetto. 21 CASI CRIMINALI DI SUCCESSO 22 Casi criminali di successo 23 Casi criminali di successo 24 Casi criminali di successo 25 Casi criminali di successo 26 LE FRODI ICT TIPICHE DI ALCUNI SETTORI E CANALI 27 Frodi in specifici settori industriali: convergenza tecnologica e contaminazione tra settori Tipologia frode Appropriazione indebita NON ICT ICT Banche Telco Assicuraz Gaming Frodi su contratti Furto di informazioni Frodi aziendali Pratiche commerciali scorrette Social engineering Scorretta gestione appalti Uso improprio di risorse Falsificazione informazioni Alterazione valori Clonazione carte Clonazione SIM card Contraffazione Falsificazione d’identità Falsificazione informazioni Frodi servizi Frode informatica Furto d’identità digitale Furto d’identità fisico Frodi su gestione sinistro Social engineering Subscription fraud Technical /Distribution fraud Truffa Applicabile Applicabile ma senza serie storiche 28 PA e Sanità CONTRASTO 29 Contrasto delle frodi Fraud Prevention Analisi e valutazione del rischio frode Strumenti di alert Verifiche interne Formazione e awareness Gestione evento fraudolento Rilevazione dati Identificazione evento fraudolento Knowledge sharing Definizione ed esecuzione piano di remediation Misure organizzative Misure legali Attività di analisi Misure tecniche 30 RACCOMANDAZIONI 31 Vademecum 10 cose da fare: • • • • No Discrezionalità … Chi/Come/Perche’? … 10 cose da non fare: • • • • Perdere tempo … Cercare un capro espiatorio … 32 LE FRODI NELLA RETE IL DUPLICE RUOLO DELL’ICT (2) Elisabetta Calmasini, WeBank Paola Meroni, Vodafone Italia Simone Maga, Gruppo Bancario Mario Monitillo, ICBPI Nicola Murano, Reale Mutua Maurizio Pastore, Datasiel Enrico Toso, DB Consorzio Alessandro Vallega, Clusit e Oracle 33 Survey La vostra azienda ha subito una Frode ICT? 34 Survey Quanti di voi ritengono che la propria azienda sia immune alle Frodi? 35 Survey 1. 2. 3. Quanti di voi in azienda si occupano di: Frodi Sicurezza Gestione del Rischio 36 Survey Chi tra voi consiglierebbe all’azienda un adeguamento organizzativo per il contrasto della Frode ICT? 37 Survey Quanti di voi misurano il costo aziendale delle frodi e/o il ritorno dell’investimento delle misure a contrasto? 38 C4S.CLUSIT.IT 39
© Copyright 2024 Paperzz
