Il così detto Customer Security Controls Framework (CSCF) era stato per la prima volta annunciato nel 2017 e comprendeva 27 controlli. Da allora, il framework ha continuato a evolversi, o meglio, ha continuato a espandersi, fino ad arrivare l’anno scorso a 31 controlli.
Abbiamo già discusso nel dettaglio in che cosa consistano tutti questi 31 controlli in un precedente articolo, specificando a quali le banche devono essere conformi in base al tipo di infrastruttura IT che supporta i rispettivi processi SWIFT.
L’obiettivo del presente approfondimento sarà, pertanto, quello di concentrarsi unicamente su quanto sia cambiato il framework del 2022 rispetto a quello dell’anno scorso.
Fonte: Swift.
Indice degli argomenti
Aggiornamento SWIFT CSP: controlli obbligatori
La modifica maggiore che concerne tutti i tipi di infrastruttura bancaria e, quindi, di riflesso, tutte le banche, è il fatto che il controllo 2.9 sui controlli business delle transazioni (“Transaction business controls”) sia passato dall’essere facoltativo all’essere obbligatorio.
La peculiarità di tale controllo è che non è, come tutti gli altri, un qualcosa di strettamente legato a processi IT come ad esempio quelli legati all’hardening dei sistemi o alla gestione degli accessi privilegiati.
In questo caso, si necessita di una sinergia con chi si occupa dei processi di controlli bancari in senso stretto, come l’Anti Money Laundry (misure di antiriciclaggio), Know Your Client (conosci il tuo cliente) e tutte quelle procedure che servono a limitare transazioni illegali in generale.
Si tratta, quindi, di avere delle misure messe in atto che, attraverso delle restrizioni di montante trasferito o in termini di orario, riescano a circoscrivere tutti quei bonifici fraudolenti o che comunque siano considerati sospetti.
Aggiornamento SWIFT CSP: controlli facoltativi
Oltre ai controlli obbligatori, il framework SWIFT CSP propone anche dei controlli facoltativi che le banche possono scegliere di implementare per aumentare il livello generale di sicurezza della loro organizzazione.
Non sono molte le banche che decidono di intraprendere questo percorso temerario, ma proponiamo comunque di sotto, per ragione di completezza, che cosa è cambiato quest’anno in fatto di controlli facoltativi.
È stato introdotto un solo controllo facoltativo ex novo, il controllo 1.5A che parla di protezione dell’ambiente cliente, o meglio, della connessione sicura con i dispositivi in seno al cliente (“Customer environment protection”).
Questo controllo si applica alle infrastrutture di tipo A4 e B ed è la versione un po’ più blanda del già esistente e consolidato controllo 1.1 in vigore per le infrastrutture bancarie più complesse (si veda il precedente articolo per maggiori informazioni).
Due controlli già in vigore nel framework del 2021 sono stati modificati e, in particolare, sono stati ampliati per quanto riguarda il loro scopo.
In particolare, il controllo 1.2 riguardante gli accessi privilegiati ai sistemi operativi e al loro controllo (“Operating sytem privileged account control”) è stato introdotto come facoltativo anche per le infrastrutture di tipo B.
Il controllo 6.2 riguardante l’integrità del software è stato introdotto invece come facoltativo per le infrastrutture di tipo A4.
Conclusione
Per essere conformi al framework SWIFT CSP non basta ri-certificare i controlli dell’anno scorso. Serve invece provare di avere delle misure di controllo delle possibili transazioni fraudolente introdotte attraverso il controllo 2.9, obbligatorio per tutti i tipi di banche.
Questo è il minimo sindacabile per essere conformi allo SWIFT anche nel 2022.
