Illimity Bank, è una nuova banca totalmente digitale, quotata sull’MTA di Borsa Italiana, nata a metà 2018, che da giugno 2019 si rivolge ad imprese ad alto potenziale ma con rating basso o senza rating e da settembre 2019 offre servizi bancari attraverso la banca diretta illimitybank.com anche alla clientela retail e corporate.
Luca Dozio, Head of ICT Security, ci ricorda questi passaggi per indicare una realtà in continua evoluzione con tempi rapidi di realizzazione, supportata a livello tecnologico dalla scelta coraggiosa di una infrastruttura full cloud, con Microsoft come provider.
Sicurezza dinamica per un’infrastruttura full cloud
La costruzione di una banca totalmente su cloud pubblico, con interfacce disponibili in maniera agile su Internet, richiede un’attenzione particolare alla sicurezza che non può più essere concepita in modo tradizionale in termini di barriera perimetrale.
“Da un lato vanno applicate tutte le best practice tradizionali, assolutamente importanti anche oggi, come la segregazione, la puntualità nella tracciatura e il monitoraggio delle potenziali minacce, ma servono anche strumenti che, per rispondere a un più ampio livello di esposizione, necessitano di reattività e capacità predittiva”, sottolinea Dozio. Da qui la ricerca di uno strumento in grado di monitorare il comportamento degli utenti che arrivano dal front end sulle applicazioni della banca, lasciando però invariata l’interfaccia e appesantendo il meno possibile la componente applicativa.
La scelta è ricaduta su una soluzione con componenti di intelligenza artificiale, dove l’integrazione con esperti umani è la condizione indispensabile per accelerare i tempi di tuning e di apprendimento, come vedremo più in dettaglio in seguito.
Selezione a tempo record della soluzione di monitoraggio basata su AI
La scelta di una soluzione di sicurezza adeguata doveva ridurre al minimo il tempo decisionale, pur seguendo tutti i passaggi, dalla software selection e dal proof of concept, alla presentazione della soluzione al management, fino all’acquisto. “Nel giro di un mese siamo arrivati alla decisione grazie alla scelta cloud che ha consentito rapidamente l’installazione e disponibilità delle macchine e grazie a un modello di organizzazione basato su responsabilità distribuite, condivise con la parte manageriale a partire dai dati, e fiducia nel lavoro degli specialisti”.
La collaborazione con il fornitore della soluzione Cleafy (Moviri) e la conoscenza dello strumento per monitorare il comportamento dei clienti che arrivano dal front end sulle applicazioni della banca lo hanno reso sempre più solido.
La messa alla prova di Cleafy era tesa a verificare che lo strumento:
- si inserisse nel contesto con un impatto minimo sull’applicazione, rispetto al percorso del cliente dal front end verso la banca;
- offrisse un’interfaccia applicativa ricca perché potesse essere utilizzata sul percorso di richiesta per intervenire in maniera automatica rispetto a eventuali evidenze di possibile minaccia.
La soluzione selezionata consente dunque di monitorare in maniera continua e passiva il traffico applicativo per rilevare anomalie nei comportamenti e l’eventuale presenza di minacce. L’utilizzo di algoritmi di Al e ML consente di evidenziare il livello di rischio anche prima dell’autenticazione. L’analisi e la correlazione dei dati raccolti in diverse sessioni consentono di adattare le modalità di autenticazione al livello di rischio rilevato, anche bloccando le operazioni, se necessario: “Se il sistema evidenzia il comportamento anomalo di un utente, scatta la segnalazione e l’applicazione deve gestire la situazione in modo automatico – spiega Dozio – Lo strumento mette a disposizione API integrate nell’applicazione in termini architetturali, nascosta dietro un’interfaccia decisionale in modo che l’impatto sull’applicazione sia minimo”.
Un ruolo importante è svolto dagli analisti a cui vengono fornite le informazioni in arrivo. Lo strumento e le relative regole AI, soprattutto nella fase iniziale, necessitano infatti di un tuning per consentirgli di imparare dai comportamenti reali dei vari utenti. “Utilizzando le informazioni in arrivo, l’analyst è riuscita a corredare lo strumento con potenzialità che all’inizio non erano previste in un contesto bancario”, sottolinea Dozio evidenziando l’importanza dell’integrazione fra strumento AI e intelligenza umana. Ne risulta una crescente capacità di verificare se il comportamento dell’utente è diverso da quello tipico dello stesso utente nell’uso dell’applicazione e a capire se ci si trova di fronte all’uno o all’altro cliente, a quale macchina, rete, browser… “Se gli algoritmi sostengono che l’utente ha un comportamento affine alla sua normale attività siamo ragionevolmente certi che l’identità sia corretta e chi si presenta all’applicazione sia effettivamente colui che dichiara di essere”, aggiunge.
Quali competenze per il monitoraggio dinamico della sicurezza
Come anticipato, l’operatività nel back end prevede che entri in gioco, sulla base degli alert, l’intervento degli analisti che aprono percorsi di analisi e verificano la congruenza o il rischio dell’analisi prodotta dal motore e dall’applicazione. “L’intervento umano è indispensabile anche per aiutare lo strumento a imparare meglio le diverse tipologie di comportamento”, spiega Dozio. Attualmente operano due analisti a tempo pieno (su un gruppo di 5-6 persone) che analizzano le segnalazioni e garantiscono a presenza di due persone al 100% su 24 ore. La principale criticità è stata il reperimento delle competenze. “In quanto realtà in crescita abbiamo dovuto evolverci rapidamente con l’acquisizione di know how e di risorse”, dice Dozio che ricorda la veloce crescita della banca, dalle circa 80-90 persone di gennaio 2019, alle circa 200 a giugno dello stesso anno per arrivare alle attuali oltre 500.
L’unità sicurezza che fa parte dell’IT e risponde al CIO ha a sua volta subito cambiamenti all’interno dell’evoluzione del modello di business del Gruppo e ha un forte impegno in termini di reclutamento e di investimento in nuove risorse. “L’università è in grado di produrre una discreta quantità di laureati in ICT e Data Scientist, con buone competenze ed entusiasmo – dichiara Dozio – Per la sicurezza abbiamo però difficoltà a trovare figure con un know how specifico per un contesto molto normato come quello bancario”, dice Dozio che individua due tipologie di candidati sul mercato: persone senior, con un profilo importante, che provengono da analoghe esperienze in ambito bancario o giovani che arrivano dall’università con grande entusiasmo ma non immediatamente operativi. Dozio punta su entrambe le tipologie, contando sull’attrattività di una realtà bancaria come Illimity, con un approccio al lavoro per obiettivi, giovane e flessibile, che offre l’opportunità di fare esperienza, con le caratteristiche tipiche della consulenza (pur non rientrando nei fatti nella consulenza).
In prospettiva…
“Come tutto il mondo IT, la sicurezza è in continua evoluzione. Continuiamo dunque a investire su questi temi in termini di risorse e di attenzione. La scelta architetturale offre la flessibilità necessaria che ci consente di essere all’avanguardia nel nostro settore e cogliere i segnali e le opportunità – è la considerazione finale di Dozio che sottolinea – Illimity è stata la prima banca a cogliere la possibilità aperta dalla normativa PSD2 di porsi come aggregatore di conti e consentire, ad esempio, di effettuare pagamenti su conti di altre banche (tramite app). Tutto ciò è stato facilmente realizzabile grazie al disegno architetturale che ha avuto la possibilità di utilizzare il paradigma dell’open banking al massimo delle sue potenzialità”.