“La cyber security deve seguire la stessa crescita in termini di educazione della compliance”
Mohit Davar Presidente dell’International Association of Money Transfer Networks
È passato ormai un anno dal famoso cyber hackeraggio della Bangladesh Bank. Ricordiamo che nel febbraio 2016, la Banca Centrale del Bangladesh ricevette via rete SWIFT l’ordine di trasferire 951 milioni di dollari in diversi conti bancari dello Sri Lanka e delle Filippine. I media riportarono che gli attacchi sulla stessa proseguirono durante tutto il 2016.
Considerando le similitudini tra il SWIFT e le compagnie di money transfer, siamo stati ricevuti da Mohit Davar, Presidente dell’International Association of Money Transfer Networks (IAMTN), e abbiamo discusso con lui delle lezioni apprese dai membri dell’IAMTN dai cyber-attacchi su SWIFT per prevenire reati similari sui loro sistemi. Ne abbiamo approfittato per chiedere a Mohit Davar qual è la sua visione sullo stato attuale della sicurezza SWIFT.
Mohit Davar: Sono sicuro che ogni volta che succede un caso come quello che ha menzionato, la SWIFT programmi controlli sempre più fitti sia nelle procedure che nei sistemi, per contrastare quanto accaduto. Naturalmente, questo non garantisce che non succeda qualcosa di nuovo, ma penso che il challenge per SWIFT come servizio di messaggeria è, in fin dei conti, che la qualità dei suoi sistemi sia buona quanto quella delle banche che lo usano. Ad esempio, se degli attacchi succedono perché la banca X nel paese Z non ha eseguito i controlli adeguati, allora il sistema SWIFT rimane vulnerabile a larga scala, perché la porta d’entrata è aperta. Questo è un challenge che richiederà tempo per essere risolto, fino a quando tutte le banche non faranno i dovuti upgrade ai loro sistemi e li renderanno sicuri. È un challenge simile a quelli affrontati dalle compagnie di money transfer, in particolare quelle che lavorano con agenti: possono avere il miglior livello di sicurezza del loro sistema, ma se i sistemi degli agenti non sono sicuri, esiste sempre la possibilità che qualcuno entri illegalmente usando la porta lasciata aperta dall’agente. Questo è il vero rischio.
Norman Frankel: Esistono tipi precisi di attacchi dei quali gli operatori di money transfer dovrebbero essere a conoscenza, e a quali dovrebbero dare la priorità quando fanno la valutazione dei loro bisogni in cyber security?
Mohit Davar: Quando ero in Medio Oriente c’erano tanti attacchi agli agenti che avevano accesso loro stessi ai sistemi di money transfer. I sistemi di transfer potevano essere piratati perché gli agenti vi accedevano attraverso siti web che non avevano veri e propri controlli firewall. Gli hacker penetravano allora nei sistemi delle compagnie di money transfer e vi eseguivano delle transazioni fittizie. E potevano veramente creare una transazione, diciamo da Dubai verso il Kenya, rendendo disponibile il denaro in Kenya. Nonostante queste transazioni fossero fittizie, l’agente e la compagnia di remittance perdevano soldi. Insisto su questo aspetto perché era qualcosa che avveniva spesso mentre parliamo di un’epoca che non usava veramente il digitale ma ancora il modello tradizionale dell’agenzia. L’industria del money transfer si è recentemente spostata massicciamente dal tradizionale al digitale. E quando ci si muove nel mondo digitale, ci si espone sempre e sempre di più ai cyber attacchi, essendo la nostra vulnerabilità più alta di prima.
Norman Frankel: Esistono compagnie di money transfer preparate ad affrontare questa vulnerabilità che va sempre crescendo?
Mohit Davar: Secondo me, nel mondo del money transfer in generale, la cyber security non viene presa così sul serio come dovrebbe. Spesso, o non è considerata una problematica , oppure lo è solo per la zona sotto il controllo del dipartimento IT, quindi non è realmente tenuta in considerazione come dovrebbe, ovvero una problematica chiave per il CEO ed il consiglio d’amministrazione.
Norman Frankel: Quali sono i Suoi consigli in questo campo?
Mohit Davar: Penso che le compagnie dovrebbero prendere sul serio la cyber security e credo che deve essere affrontata esattamente come la compliance.
Se si risale a prima del 9/11, anche la compliance non era considerata una problematica. Questa industria non era veramente regolamentata, e questo aspetto non veniva considerato nei piani di nessuno. E poi venne una nuova fase, quando la compliance divenne un obbligo e abbiamo tutti dovuto accettarlo, non c’era scelta. Ora siamo in una fase dove è appena stata integrata completamente e fa parte del nostro business giornaliero. Oggi, più lei è compliant, e più ha in mano un vantaggio competitivo, non solo verso i clienti, ma anche verso le sue banche e altri stakeholder. Penso che la cyber security deve attraversare lo stesso diagramma di educazione. Forse proprio adesso i responsabili si trovano tra la fase del “ci pensiamo grosso modo” e quella del “è una faticaccia, ma dobbiamo affrontarla”. Ma non è sufficiente. Dovrebbero tutti realizzare che questa è una parte del puzzle del nostro business, e, esattamente come un negozio pieno di cash sarebbe sottoposto a strettissima osservazione nel mondo della sicurezza fisica, un operatore che esegue transazioni online non dovrebbe anche essere attentissimo alla cyber security, giusto? Questo sarà uno dei rischi maggiori che bisognerà identificare e affrontare, ma non credo che sia già nella cultura delle aziende. L’unico momento in cui pare diventare una priorità è quando si è colpiti e c’è un problema, e allora è troppo tardi.
Norman Frankel: Che tappe pratiche raccomanderebbe ai membri dell’Associazione che presiede – e alle compagnie di money transfer in generale – per affrontare questa problematica?
Mohit Davar: Credo che sia una minaccia reale per il loro business, e quindi non dovrebbero scartarla, ma al contrario inserire la cyber security nell’agenda dirigenziale e farne una priorità.
Dovrebbero sia costruire le proprie capacità di sicurezza all’interno dell‘azienda– il metodo che seguono le grandi compagnie – oppure affidarla in outsourcing ad aziende specializzate come l’iCyber-Security Group ed altre. Dovrebbero almeno fare dei penetration test e avere controlli annuali sulla robustezza dei propri sistemi di sicurezza, visto che ormai le minacce che sono sul mercato hanno un’evoluzione rapidissima.
Dovrebbero anche ingaggiare dei consulenti che possano dare loro il conforto di sapere che i loro sistemi sono sicuri – o che, se non sono sicuri, che possano portarli rapidamente al livello necessario per effettuare tutti i controlli necessari per prevenire il successo di cyber-attacchi. In più, come detentori di dati dei clienti, devono essere a norma con la legislazione, e questo diventa un grande problema se il sistema viene violato.
Norman Frankel: In Europa le regole sulla protezioni dei dati cambiano a maggio del 2018, quando l’EU General Data Protection Regulation (GDPR) sarà applicabile, e multe cospicue sono previste per le aziende che non saranno compliant con queste nuove regole, in particolar modo per non aver rivelato l’esistenza di data breach. Secondo Lei, le compagnie cambieranno atteggiamento per quello che riguarda le “disclosures”?
Mohit Davar: Penso che lo faranno, non è un problema. Il challenge è che non appariranno mai in pubblico, perché nessuno vuole che i clienti sappiano cos’è successo, come nessuno vuole che i clienti perdano la fiducia nei propri servizi.
Quindi, faranno una dichiarazione al regolatore, ma questa non verrà resa pubblica. Se iniziamo invece a dire che la disclosure dovrebbe essere pubblica – in tal caso avrebbe un impatto diretto sulla loro reputazione, e quindi sul volume degli affari – allora forse le compagnie prenderebbero tutto ciò in modo molto più serio.
Credo che ogni operatore di Money Transfer d’Europa dovrebbe fermarsi attentamente su queste norme e assicurarsi della sua compliance. Soprattutto perché oggigiorno queste norme hanno un senso anche per gli operatori di Money Transfer fuori Europa, se sono usate come punto di partenza o di riferimento o come buone pratiche. Gli USA hanno anche loro adottato nuove ammende per i data breach che riguardano cittadini americani, e che possono arrivare a 2 milioni di dollari. Siccome tantissime operazioni provengono dagli USA, questo fatto anche preso da solo dovrebbe essere una motivazione supplementare per l’industria nell’adozione di buone pratiche nel lavoro quotidiano.
Autore: Norman Frankel
Mohit Davar
Biografia
Mohit Davar è un esperto in pagamenti e lavora nel settore da più di 25 anni. Ha iniziato la sua carriera presso Sedgwick Noble Lowndes (dipartimento internal audit) per poi trasferirsi al Thomas Cook Group, (dipartimento corporate finance). Nel 1997, il suo apporto è stato significativo nella realizzazione della joint venture tra MoneyGram Inc. (compagnia listata alla NYSE)e Thomas Cook. Ha poi diretto questa joint venture fino al 2003, quando i 49% di azioni in possesso della Thomas Cook sono stati rivenduti alla MoneyGram, realizzando una cospicua plusvalenza. Ha, inoltre, creato la Travelex Money Transfer, una filiale di Travelex Group. Quest’ultima è stata comperata dalla Coinstar Inc. (compagnia listata alla NASDAQ) nel 2006. Ha continuato a trasformare Coinstar Money Transfer in una compagnia di remittance di successo globale, per poi venderla alla Sigue Financial Corporation nel 2011. In quel momento, Mohit Davar ha aperto la sua propria agenzia di consulenza e strategia a Dubai. Ha partecipato al consiglio d’amministrazione di Eastnets, ufficio di servizi swift a Dubai, ed è stato attivo in numerosi progetti di payment / mobile wallet nella regione. É adesso nel consiglio d’amministrazione e consulente per numerose compagnie di payment. Mohit è Presidente dell’International Association of Money Transfer (remittance trade body) e membro dell’Institute of Chartered Accountants per l’Inghilterra ed il Galles.