GUIDA NORMATIVA

Aggiornamento SWIFT CSP: cosa devono sapere le banche per essere conformi

Il framework SWIFT CSP sembra non smettere di aggiornarsi e, anche quest’anno, ha apportato cambiamenti ai controlli che le banche devono sostenere per continuare a fare bonifici internazionali. Analizziamoli in questo articolo

18 Lug 2022
T
Giulia Traverso

PhD - Crittografa ed esperta di cyber sicurezza

Il così detto Customer Security Controls Framework (CSCF) era stato per la prima volta annunciato nel 2017 e comprendeva 27 controlli. Da allora, il framework ha continuato a evolversi, o meglio, ha continuato a espandersi, fino ad arrivare l’anno scorso a 31 controlli.

Abbiamo già discusso nel dettaglio in che cosa consistano tutti questi 31 controlli in un precedente articolo, specificando a quali le banche devono essere conformi in base al tipo di infrastruttura IT che supporta i rispettivi processi SWIFT.

L’obiettivo del presente approfondimento sarà, pertanto, quello di concentrarsi unicamente su quanto sia cambiato il framework del 2022 rispetto a quello dell’anno scorso.

Fonte: Swift.

Aggiornamento SWIFT CSP: controlli obbligatori

La modifica maggiore che concerne tutti i tipi di infrastruttura bancaria e, quindi, di riflesso, tutte le banche, è il fatto che il controllo 2.9 sui controlli business delle transazioni (“Transaction business controls”) sia passato dall’essere facoltativo all’essere obbligatorio.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

La peculiarità di tale controllo è che non è, come tutti gli altri, un qualcosa di strettamente legato a processi IT come ad esempio quelli legati all’hardening dei sistemi o alla gestione degli accessi privilegiati.

In questo caso, si necessita di una sinergia con chi si occupa dei processi di controlli bancari in senso stretto, come l’Anti Money Laundry (misure di antiriciclaggio), Know Your Client (conosci il tuo cliente) e tutte quelle procedure che servono a limitare transazioni illegali in generale.

Si tratta, quindi, di avere delle misure messe in atto che, attraverso delle restrizioni di montante trasferito o in termini di orario, riescano a circoscrivere tutti quei bonifici fraudolenti o che comunque siano considerati sospetti.

Aggiornamento SWIFT CSP: controlli facoltativi

Oltre ai controlli obbligatori, il framework SWIFT CSP propone anche dei controlli facoltativi che le banche possono scegliere di implementare per aumentare il livello generale di sicurezza della loro organizzazione.

Non sono molte le banche che decidono di intraprendere questo percorso temerario, ma proponiamo comunque di sotto, per ragione di completezza, che cosa è cambiato quest’anno in fatto di controlli facoltativi.

È stato introdotto un solo controllo facoltativo ex novo, il controllo 1.5A che parla di protezione dell’ambiente cliente, o meglio, della connessione sicura con i dispositivi in seno al cliente (“Customer environment protection”).

Questo controllo si applica alle infrastrutture di tipo A4 e B ed è la versione un po’ più blanda del già esistente e consolidato controllo 1.1 in vigore per le infrastrutture bancarie più complesse (si veda il precedente articolo per maggiori informazioni).

Due controlli già in vigore nel framework del 2021 sono stati modificati e, in particolare, sono stati ampliati per quanto riguarda il loro scopo.

In particolare, il controllo 1.2 riguardante gli accessi privilegiati ai sistemi operativi e al loro controllo (“Operating sytem privileged account control”) è stato introdotto come facoltativo anche per le infrastrutture di tipo B.

Il controllo 6.2 riguardante l’integrità del software è stato introdotto invece come facoltativo per le infrastrutture di tipo A4.

Conclusione

Per essere conformi al framework SWIFT CSP non basta ri-certificare i controlli dell’anno scorso. Serve invece provare di avere delle misure di controllo delle possibili transazioni fraudolente introdotte attraverso il controllo 2.9, obbligatorio per tutti i tipi di banche.

Questo è il minimo sindacabile per essere conformi allo SWIFT anche nel 2022.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4