C'è una cosa particolarmente allarmante nella più grande rapina in banca in India: il crimine informatico non aveva nulla da fare. Non ci sono geni della tecnologia invisibili, senza nome, che hackerano i sistemi di computer da incolpare. Piuttosto, furono impiegati corrotti in una singola filiale che utilizzavano la rete SWIFT (The Society for Worldwide Interbank Financial Telecommunication) che la eseguivano da anni.
Ai giorni nostri, la narrativa dell'hacking è stranamente confortante. Non implica che la corruzione arrivi fino in cima, o per lo meno, significa che non c'è una completa rottura della sicurezza del sistema bancario. I criminali stavano semplicemente facendo quello che fanno i criminali. Tutti possono stringere i pugni alla tecnologia per cambiare a rotta di collo e andare avanti. (Leggi: come funziona il sistema SWIFT)
La truffa di Nirav Modi di $ 1, 8 miliardi da parte del secondo prestatore statale più grande dell'India, la Punjab National Bank (PNB.BO), è molto meno elegante.
Nella sua dichiarazione, la banca aveva dichiarato agli scambi che le lettere fraudolente di credito che consentivano alle società del commerciante di diamanti di avvalersi di prestiti per un valore di $ 1, 8 miliardi sono state "fatte dai funzionari della filiale tramite SWIFT senza ottenere l'approvazione dell'autorità competente, richieste necessarie dall'importatore, documenti di importazione, documentazione legale con la banca e anche senza effettuare registrazioni nel modulo di finanza commerciale della CBS (soluzione bancaria principale) ".
PNB ha incolpato due impiegati di livello junior nella sua dichiarazione per l'emissione di lettere illegali e l'invio di messaggi SWIFT che non erano stati registrati sul sistema interno.
Ciò solleva la questione: tutte le banche che utilizzano SWIFT sono vulnerabili a questo tipo di frode o il caso PNB comporta un livello eccezionale di negligenza o collusione?
SWIFT
La rete SWIFT, gestita da un consorzio con sede a Bruxelles e utilizzata da oltre 11.000 istituzioni finanziarie, è stata utilizzata in passato in rapine in banca.
La banca centrale russa ha recentemente affermato che gli hacker hanno rubato $ 6 milioni da una delle banche del paese usando la rete SWIFT l'anno scorso. Gli hacker hanno preso il controllo di un computer in banca e lo hanno utilizzato per trasferire denaro sui propri conti. Allo stesso modo, nel 2016, gli hacker hanno sottratto $ 81 milioni alla banca centrale del Bangladesh utilizzando credenziali SWIFT dei dipendenti. Una banca ecuadoriana ha dichiarato di aver perso $ 12 milioni in una rapina del 2015 in cui i criminali informatici hanno usato i codici SWIFT.
SWIFT ha rifiutato di assumersi la responsabilità di tali incidenti. In una lettera ai clienti bancari nel 2016, il gruppo ha affermato che le banche sono le sole responsabili della sicurezza dei loro sistemi. "I clienti sono responsabili di tutti i messaggi firmati con i loro certificati e, naturalmente, della protezione dei loro certificati e della garanzia che solo gli operatori debitamente autorizzati possano utilizzarli per firmare i messaggi", ha detto un portavoce a Reuters al momento. "SWIFT non lo è, e non può essere, responsabile dei messaggi creati in modo fraudolento all'interno delle aziende clienti."
L'analista di Gartner e l'esperta di frodi finanziarie Avivah Litan ha affermato in passato che è stato scioccante per lei che SWIFT si sia affidato così fortemente all'autenticazione anziché a "controlli molto basilari di rilevamento delle frodi" come la ricerca di beneficiari anomali, la ricerca di un account remoto e la ricerca di accesso anormale.
Ma la frode Modi è molto diversa da questi furti, perché sebbene ogni giorno emergano nuovi dettagli, la banca non ha denunciato l'hacking e l'attenzione è stata rivolta agli addetti ai lavori. Una settimana dopo che la frode è venuta alla luce per la prima volta, sei impiegati della Punjab National Bank sono stati arrestati da investigatori federali. Il più alto di questi è un uomo che ha guidato la filiale della banca Brady House dal 2009 al 2011.
Come prendere caramelle da un bambino
La spiegazione della banca su come le lettere sono state fornite senza essere rilevate per anni è che le transazioni non sono state registrate sul suo sistema interno perché SWIFT non è stato integrato con esso.
“A meno che l'ambiente di controllo non sia stato molto lassista o ci sia stata una collusione, sarebbe difficile elaborare transazioni SWIFT che non sono autorizzate e inserite nel core banking. Numerosi controlli avrebbero dovuto innescare un allarme ", ha affermato Rakesh Asthana, CEO di World Informatix Cyber Security, la cui società è stata assunta per sovrintendere alle indagini sulla rapina in Bangladesh Bank.
Questi controlli includono la separazione delle funzioni: le banche che utilizzano SWIFT di solito hanno una persona che accede a una transazione, una persona separata che approva la transazione e una terza persona che verifica tutte le transazioni. Ha anche affermato che PNB avrebbe potuto anche creare rapporti giornalieri di convalida SWIFT per riconciliare i totali e le transazioni ogni mattina.
Ma soprattutto, il sistema di una banca non collegato a SWIFT, come nel caso di PNB, è molto raro nel mondo finanziario globale, secondo l'Asthana.
C'è anche la questione di come le transazioni abbiano superato i revisori della banca.
"Alla fine è anche un problema di flusso di cassa", ha dichiarato Asthana in una e-mail a Investopedia. “Quindi non mi è chiaro cosa hanno fatto i revisori interni ed esterni, se fossero accurati nei loro audit. Se avessero avuto obiezioni di audit e la direzione non avrebbe agito, ciò significherebbe una cospirazione molto più ampia che sale lungo la catena di gestione. Ciò ha bisogno di un'indagine completa per stabilire chi sapeva cosa quando."
"Qualsiasi attività commerciale intrapresa dalla banca è controllata non solo dal gruppo di audit interno della banca, ma anche dai revisori simultanei che controllano una singola filiale, è scioccante che un tale incidente sia passato inosservato non solo ai revisori, ma anche alla banca senior anche il personale ", ha detto un banchiere anonimo all'Economic Times. "Gli audit esaminano le società autorizzate a fare affari, le fatture finanziate, le lettere di credito emesse, gli strumenti di finanziamento a breve termine ecc."
L'analista della ricerca Deepak Shenoy di Capital Mind ha dichiarato: “A prima vista, sembra che l'ex dipendente venga utilizzato come capro espiatorio. È probabile che molte persone fossero coinvolte in questa cosa. E che ha generato enormi e grosse commissioni per la PNB in tutti questi anni."
L'incidente ha anche attirato l'attenzione sulle varie precedenti frodi verificatesi presso la PNB e le altre banche nazionalizzate dell'India. I dati della Reserve Bank of India ottenuti da Reuters mostrano che le banche statali hanno riportato 8.670 casi di "frode creditizia" per un totale di 612, 6 miliardi di rupie ($ 9, 58 miliardi) negli ultimi cinque esercizi finanziari fino al 31 marzo 2017. PNB ha superato questo elenco con 389 casi in totale 65, 62 miliardi di rupie ($ 1, 03 miliardi) negli ultimi cinque anni finanziari
SWIFT potrebbe fare di più?
SWIFT funziona come un sistema di messaggistica complesso e non si assume la responsabilità del modo in cui i controlli delle frodi vengono messi in atto dai suoi clienti.
"SWIFT può rendere obbligatori alcuni degli elementi chiave invece di lasciarlo ai clienti che hanno vari gradi di controllo e conoscenza della sicurezza informatica", ha detto Asthana quando gli è stato chiesto se la rete potesse fare di più per prevenire incidenti così costosi.
SWIFT ha riconosciuto la necessità di essere almeno l'informatore in alcuni casi. Nell'aprile 2017, ha introdotto il Framework dei controlli di sicurezza dei clienti, che descrive una serie di controlli di sicurezza obbligatori e di consulenza per i clienti. Alle banche è stato chiesto di auto-attestare il loro livello di conformità entro la fine dello scorso anno e SWIFT ha avvertito che si riserva il diritto di informare i supervisori finanziari in caso contrario. Il comunicato stampa che annuncia che l'89% dei clienti ha attestato la propria conformità non menziona se i supervisori finanziari del restante 11% sono stati avvisati dall'inizio dell'anno. A partire da gennaio 2019, estende il diritto di denunciare gli utenti che non hanno rispettato i più importanti controlli di sicurezza.
È importante ricordare che a gennaio 2018, SWIFT ha registrato una media di 30, 32 milioni di messaggi al giorno ed è utilizzato in 200 paesi. È una cooperativa di proprietà di un membro e assicurarsi che le banche siano più disciplinate sarebbe un compito erculeo e costoso per riparare ciò che è essenzialmente marcito nell'amministrazione delle singole banche con cui ha poco a che fare, per proteggere il denaro delle persone che non funziona per.
La reputazione di SWIFT colpisce dopo ogni crimine informatico, ma ci sono molte persone a cui dare la colpa quando si tratta dell'ultima frode PNB. L'indagine sembra aver appena graffiato la superficie di ciò che gli esperti ritengono sia una cospirazione molto più grande, e le domande relative alla mancanza di controllo sono in definitiva qualcosa a cui la Banca nazionale del Punjab e il governo indiano dovranno rispondere. SWIFT ha fornito a PNB più strumenti per proteggersi, strumenti che purtroppo non sono stati utilizzati.
Martedì scorso, la Reserve Bank of India ha rilasciato una dichiarazione in cui affermava di aver avvertito e avvisato le banche della necessità di prevenire qualsiasi "potenziale uso maligno dell'infrastruttura SWIFT" almeno tre volte dall'agosto 2016. Ora ha incaricato le banche di attuare prescrizioni misure prima di una scadenza stabilita. La banca centrale ha anche creato un comitato per esaminare "i motivi dell'elevata divergenza osservata nella classificazione patrimoniale e nella fornitura da parte delle banche rispetto alla valutazione di vigilanza dell'RBI e le misure necessarie per impedirlo; fattori che portano a una crescente incidenza di frodi nelle banche e le misure (compresi gli interventi informatici) necessarie per frenare e prevenirlo e il ruolo e l'efficacia di vari tipi di audit condotti nelle banche per mitigare l'incidenza di tali divergenze e frodi."
Investopedia ha contattato SWIFT e ha ricevuto la seguente dichiarazione: “SWIFT non commenta singoli clienti o entità. Quando ci viene segnalato un caso di potenziale frode, offriamo la nostra assistenza all'utente interessato per contribuire a proteggere il suo ambiente. "Ha inviato un'aggiunta alla dichiarazione dopo la pubblicazione:" Per essere chiari, non vi è alcuna indicazione che la rete SWIFT abbia mai stato compromesso."
