Il gruppo utilizza servizi di sicurezza gestiti per bloccare phishing o pharming prima che gli attacker arrivino ai clienti
Capitalia nasce dall’integrazione di quattro realtà attive nel settore del credito, quali Banca di Roma, Bipop-Carire, Banco di Sicilia e Fineco. Si tratta di una struttura con 6 milioni di clienti, 2.000 filiali e 30.000 dipendenti. La sicurezza dei dati di un colosso bancario di questa portata, è ovvio, non è cosa da poco. «La sensibilità verso queste tematiche è maturata diversi anni fa – esordisce Andrea Spangaro, responsabile della sicurezza logica di Gruppo Capitalia -. Delle truffe legate al phishing, ad esempio, si sentiva parlare già intorno al 2000. Alle perdite dirette, date dalla necessità di assicurarsi contro i rischi di furto dei dati relativi alle carte di credito o ai conti correnti dei nostri clienti, si sommano quelle indirette. Il discredito all’immagine procurato dalla diffusione di notizie in merito a eventi maligni che dovessero colpire i nostri clienti avrebbe, infatti, un’eco internazionale». La società ha, così, deciso di ridurre al minimo la rischiosità in questo ambito, stipulando un contratto “anti-phishing e anti-pharming” con Symantec. Allo stesso vendor è stata anche affidata la consulenza in merito alla redazione dell’albero documentale previsto dalla certificazione della sicurezza, sulla base dei dettami imposti dalla Bs 7799 (ora Iso 17799). «Si tratta, in sostanza – prosegue il manager -, di stilare quello che la Bs 7799 definisce Information Security Policy, ovvero un documento di altissimo livello che stabilisce le macro linee guida in materia di sicurezza. Ma i consulenti ci hanno aiutato anche a definire le linee guida di secondo livello in ambito protezione, che nel nostro caso sono una quindicina, la più importante delle quali è il Sistema di Gestione della Sicurezza Informatica. Infine, i tecnici di Symantec ci hanno coadiuvato nella stesura del modello di analisi rischi e classificazione degli asset, che serve ad alimentare i database utili ai fini della gestione del rischio operativo, così come definito da Basilea 2». La normativa europea di gestione dei rischi per le banche ha avuto un ruolo decisivo nell’orientare questo progetto, partito in modo indipendente ma poi interamente votato a Basilea 2. Quest’area del progetto, di stampo meramente consulenziale, è stata avviata a settembre del 2006 e conclusa tre mesi dopo. Ha coinvolto due consulenti di Symantec, in affiancamento a Spangaro stesso. «L’iniziativa relativa alle truffe online, invece – puntualizza il manager -, è stata avviata nell’ottobre del 2005. La service selection risale, però, al gennaio del 2006. A orientarci verso Symantec è stato soprattutto il loro servizio di Online Fraud, che soddisfaceva le nostre due richieste di base, ovvero rilevare il phishing prima del cliente e intervenire tempestivamente, con contromisure immediate». Tre gli interventi possibili. Il primo è il blocco dei siti clone, creati per carpire al cliente informazioni sul suo conto o carta di credito, qualora si riesca a trovare un accordo con l’Internet service provider. Il secondo è la “diluizione”, ovvero la fornitura al phisher di credenziali su clienti fasulli, per fargli perdere credibilità nei confronti degli operatori ai quali vende le informazioni rubate. La terza, battezzata “esc”, prevede la creazione di conti fittizi, da utilizzare per tracciare le mosse del phisher. «Il servizio Online Fraud è attivo dallo scorso settembre – conclude Spangaro – e, sulla base delle indagini condotte, il 75% degli attacchi subiti è stato rilevato prima che arrivasse ai nostri clienti. In futuro prevediamo di ampliare la gamma delle soluzioni utilizzate nell’ottica della forensic analysis, in modo da riuscire ad attuare il reverse engineering sui malware dei quali siamo vittime».
