BCC, agenzie assicurative, istituti di pagamento. Regolamento DORA, bonifici, dati finanziari dei clienti e obblighi AML.
“Operatori di sportello accedono ai conti correnti, investimenti e dati patrimoniali di tutti i clienti, non solo quelli in gestione.”
Informazioni finanziarie riservate accessibili a dipendenti non autorizzati. Violazione DORA e normativa bancaria.
Implementa il principio del minimo privilegio: ogni operatore deve vedere solo i clienti del proprio portafoglio.
Un dipendente ha consultato il saldo e i movimenti del conto di un conoscente per curiosita' personale. Audit interno ha rilevato l'accesso e la banca ha ricevuto un provvedimento dalla Banca d'Italia.
“Estratti conto e documenti KYC inviati via email non cifrata. Dati di polizze assicurative su cartelle condivise senza protezione.”
Dati finanziari utilizzabili per frodi, furti d'identita' e ricatti. Sanzione Banca d'Italia e GDPR.
Attiva la cifratura end-to-end per tutte le comunicazioni contenenti dati finanziari dei clienti.
“Email falsa dalla "Banca d'Italia" chiede di aggiornare le credenziali del sistema interbancario. L'operatore di back-office clicca.”
Credenziali del sistema interbancario compromesse. Possibili bonifici fraudolenti a catena.
Comunica a tutto il personale che Banca d'Italia e BCE non chiedono mai credenziali via email. Mai.
“Il sistema core banking e' cifrato. Sportelli chiusi, bonifici bloccati, stipendi e pensioni non accreditati. I clienti non possono accedere ai propri fondi.”
Panico tra i correntisti. Fuga dei depositi. Intervento Banca d'Italia. Rischio di commissariamento.
Verifica che il piano di disaster recovery sia stato testato negli ultimi 6 mesi e che includa il core banking.
L'attacco ransomware a ION Group ha bloccato i sistemi di trading di derivati in tutta Europa, colpendo banche e istituzioni finanziarie per giorni.
“Operatori di sportello condividono le credenziali per velocizzare le operazioni in coda. Password del sistema di home banking: "banca2024".”
Impossibile attribuire operazioni sospette a un singolo operatore. Violazione DORA e normativa antiriciclaggio.
Imponi account individuali con MFA obbligatoria per ogni operatore che accede al sistema bancario.
“Core banking su mainframe con interfacce legacy. ATM con Windows 7. Software di compliance non aggiornato.”
Vulnerabilita' note sugli ATM e sui sistemi legacy permettono accesso diretto ai fondi.
Isola gli ATM su una rete segregata e pianifica la migrazione da Windows 7 entro 90 giorni.
“Backup del core banking mai testato per un ripristino completo. Nessun test di disaster recovery dal 2022.”
Perdita dello storico transazioni. Impossibile ricostruire i saldi. Violazione degli obblighi di conservazione.
Programma un test di ripristino completo del core banking entro 30 giorni, come richiesto da DORA.
“Nessun SIEM che correli gli eventi. Transazioni sospette non generano alert in tempo reale. Log conservati ma mai analizzati.”
Movimenti fraudolenti scoperti solo durante la riconciliazione mensile. Obbligo DORA di monitoraggio continuo violato.
Configura alert automatici per transazioni sopra soglia e accessi da localita'/dispositivi insoliti.
“Portale di home banking con certificato SSL scaduto. API di integrazione con il sistema di pagamenti esposta senza rate limiting.”
Clienti esposti ad attacchi man-in-the-middle. API sfruttabile per bonifici automatizzati fraudolenti.
Verifica immediatamente lo stato dei certificati SSL e configura il rinnovo automatico.
“Il fornitore del sistema di pagamenti POS o dell'infrastruttura cloud viene compromesso. I dati finanziari dei tuoi clienti sono esposti.”
DORA Art. 28: obbligo di due diligence sui fornitori ICT critici. Violazione = sanzione e possibile revoca autorizzazione.
Compila un registro dei fornitori ICT critici con valutazione del rischio, come richiesto da DORA.
“Email dal "direttore di filiale" chiede all'operatore di eseguire un bonifico urgente di €250.000 per un'operazione riservata. L'email arriva alle 17:45, cinque minuti prima della chiusura.”
€250.000 trasferiti su un conto estero. Impossibile richiamare il bonifico dopo 24 ore. Responsabilita' personale dell'operatore e della banca.
Imponi la regola dei "quattro occhi": ogni bonifico sopra €10.000 richiede autorizzazione di un secondo operatore.
“Agenti assicurativi usano Dropbox personale per condividere polizze con i clienti. Consulenti finanziari usano Excel su Google Drive per gestire i portafogli.”
Dati finanziari regolamentati su piattaforme non conformi DORA. Violazione automatica degli obblighi di localizzazione e sicurezza dei dati.
Fornisci un cloud aziendale conforme e forma il personale: i dati finanziari dei clienti non possono stare su servizi personali.
“Operatore di sportello consulta i saldi dei clienti per motivi personali. Ex-consulente finanziario con accesso ancora attivo scarica l'elenco clienti per la nuova agenzia.”
Violazione del segreto bancario. Rischio di insider trading, ricatto, o trasferimento massivo di clienti alla concorrenza.
Implementa il monitoraggio degli accessi ai dati dei clienti con alert per consultazioni anomale (frequenza, orario, volume).
Un ex-consulente ha mantenuto l'accesso al CRM per 3 mesi dopo le dimissioni e ha contattato 180 clienti per portarli alla nuova banca.