Rischio e sicurezza nelle filiali bancarie. Tecnologie IoT a supporto dei processi organizzativi e dei modelli decisionali

Abstract

Negli ultimi anni le filiali bancarie hanno subito un forte processo di cambiamento, prevalentemente lungo due direzioni. La prima ha riguardato l’evoluzione tecnologica che ha reso disponibili piattaforme di comunicazione (internet & mobile banking) sempre più complete in termini di numero di servizi a personalizzazione elevata. La seconda riguarda il mutamento delle politiche commerciali degli istituti bancari che danno un significato nuovo alle filiali: da luoghi in cui i clienti si recano per effettuare transazioni monetarie (depositi, pagamenti e prelievi) a punti commerciali di vendita in cui consulenti professionali offrono prodotti finanziari articolati e diversificati. Nelle filiali operatori specializzati si occupano di gestire le relazioni con i clienti erogando informazioni e consulenza per accrescere la fidelizzazione ed aumentare il cross selling. Le transazioni monetarie vengono delegate a strumenti automatici (ATM, totem, ecc.) In entrambi i casi, le problematiche relative alla sicurezza rappresentano un aspetto critico. Benché la ricerca scientifica abbia prodotto risultati significativi relativamente alla definizione di modelli decisionali, processi organizzativi, e tecnologie per la protezione dei canali remoti (information and cyber security), poco o nulla è stato realizzato per migliorare i sistemi di protezione “fisica” degli asset presenti nelle filiali bancarie. La letteratura scientifica si è focalizzata prevalentemente su approcci di natura econometrico-statistica o criminologica. Eppure i reati contro le filiali bancarie rappresentano un fenomeno in costante crescita nel mondo e tale fenomeno assume maggiore valenza nel territorio italiano, dove si registra il 60% dei reati su scala europea ed una fra le più capillari reti di filiali d’Europa (27903 filiali presenti sul territorio nazionale). Inoltre, la gestione dei processi di protezione fisica delle filiali rappresenta un onere significativo nei bilanci dei gruppi bancari che poco hanno fatto, negli ultimi 20 anni, per adeguare i loro sistemi di protezione alle forti innovazioni commerciali. Il crescente interesse dei criminali verso gli sportelli bancari è direttamente correlato al persistente uso di tecnologie di protezione obsolete che, peraltro, sono fonte di inefficienze organizzative, costi elevati, tempi di reazione lunghi e benefici, in termini di performance, tutti da dimostrare. La ricerca oggetto del dottorato ha voluto approcciare il problema della sicurezza delle filiali bancarie in maniera sistemica al fine di coniugare le esigenze di una gestione integrata dei processi di sicurezza con le opportunità derivanti dai recenti sviluppi nell’ambito dell’Internet of Things. L’oggetto di studio diviene quindi l’intero sistema di protezione delle filiali con l’obiettivo di renderlo uno strumento efficace ed efficiente a disposizione dei gruppi bancari che consenta loro di: Aumentare l’efficienza dei processi decisionali e operativi di protezione, attraverso l’ottimizzazione delle risorse tecnologiche e la riduzione dei costi operativi.  Aumentare l’efficacia del sistema di protezione verso gli attacchi criminali.  Individuare una piattaforma tecnologica innovativa, basata sui recenti sviluppi dell’Internet of Things, per la gestione dell’intero processo di protezione di filiale. Per raggiungere questi scopi, è stata utilizzato un approccio di BPM, Business Process Management. In quest’ottica, è stata utilizzata una metodologia di BPR, Business Process Reengineering, in accordo con quanto proposto da Hammer and Champy (2009)1. Tale metodologia consente di dare risposta alle tre domande fondamentali poste da Roberts (1994)2 per un progetto di BPR: 1. How are things currently? 2. How should things be? 3. How can the gaps be reconciled between what is and what should be? La metodologia si compone di 4 passi: 1. Modellazione della situazione attuale, basata su un’approfondita analisi della letteratura scientifica e tecnica di settore, per la rilevazione dei dati secondari, e un’indagine qualitativa (qualitative survey research) per raccogliere dati primari dai process owner della sicurezza di gruppi bancari italiani. 2. Analisi della situazione attuale, per evidenziare ulteriori debolezze nell’attuale sistema di protezione delle filiali bancarie fornendo linee guida per riprogettare un Intelligent protection system (IPS) in grado di migliorare le prestazioni aziendali e individuare nuove opportunità dall’ IoT. 3. Modellazione della situazione target. Considerando i risultati dello step 2, viene proposto un IPS in grado di sfruttare le opportunità offerte dal paradigma IoT. Il livello tecnologico della dipendenza bancaria può essere visto come un Cyber Physical Space in cui le misure di protezione (sia quelle basate sugli smart object che quelli tradizionali) sono in grado di interagire tra loro e con gli esseri umani attraverso una piattaforma digitale. Le componenti fondamentali dell’IPS vengono quindi descritte nel dettaglio: a. Un modello di processo di gestione della sicurezza delle filiali reingegnerizzato, modellato tramite tecniche di BPMN (Business Process Management Notation) b. Un modello innovativo per la valutazione dei rischi di filiale c. Un modello di una piattaforma tecnologica a supporto della gestione della sicurezza basato sul paradigma dell’IoT. La piattaforma definisce le componenti necessarie per realizzare un CPS (Cyber-Phisical System) in grado di trasformare il tradizionale problema della sicurezza fisica in uno di Cyber-Physical Security. A supporto della modellazione verranno utilizzati diagrammi UML (Unified Modeling Language). 4. Analisi delle prestazioni. Si propone una discussione sui benefici dovuti all’introduzione dell’IPS in termini di efficienza (risparmio di tempo, riduzione dei costi) ed efficacia (sicurezza migliorata). L’analisi è stata validata da un campione rappresentativo di process owner della sicurezza bancaria, ed esperti IoT e operatori della sicurezza (forze dell’ordine e agenzie di sicurezza private).