29.1.08

Societe Generale: scarsa sensibilità alla sicurezza e controlli inefficaci

Davvero l'affaire Societe Generale sta assurgendo a parabola su come vengono spesso gestiti i controlli e la sicurezza all'interno delle banche.
Ebbene, come ben spiega il blog Duo&Co nei suoi articoli scritti da un ex-SG (il primo e il secondo) tutto cominciò quando Jérôme Kerviel venne assunto in Societe Generale nel 2000 all'interno del middle- e del back-office della banca.
Fino al 2005 si occupa di controllo dei rischi e dell’autorizzazione delle operazioni, guadagnandosi la fiducia dei colleghi.
Passa poi a occuparsi di arbitraggio sui derivati, ovvero, quell’attività che prevede di prendere posizioni sui mercati contemporaneamente sia puntando a un rialzo, sia a un ribasso, e cercando di guadagnare sul margine tra le due posizioni.
Ma Kerviel è fermamente convinto che i mercati saliranno, e quindi, al riparo del suo angolino, acquisisce posizioni al rialzo sugli indici Eurosoxx, Dax e Ftse, posizioni, quindi, unicamente in un senso, e non in due, come invece richiede la prassi.
Parallelemente però, allo scopo di salvaguardare la sua posizione - a tutti gli effetti speculativa - è necessario costruire una posizione inversa – e quindi fittizia – nei sistemi della banca, mostrando così che le operazioni del trader non sono a rischio.
E qui gli viene in aiuto la sua esperienza passata nel middle-office.
In ogni azienda ci sono settori dove, per ragioni di tempestività nelle operazioni, un dipendente lasci ai colleghi di fiducia l’accesso a un suo account con determinati privilegi, ad esempio, con la possibilità di autorizzare determinate operazioni (in realtà questo accade un po' in tutti gli ambiti di tutte le aziende, purtroppo...)
Normalmente, quando il collega effettua determinate operazioni in vece del titolare dell’account, lo informa dell’attività.
Il sistema interno del dipartimento che si occupa del trading dei derivati in Societe Generale si chiama Eliot: si tratta di un sistema estremamente sensibile e controllato da diverse entità di back- e middle-office.
Purtroppo, però, l'accesso è regolamentato solo da username e password: nessun criterio di autenticazione a due fattori (implementando, ad esempio, smartcard, token USB, impronta digitale, suono della voce, visura retinale, odore del testosterone, ecc).
Jerome Kerviel è cresciuto là dentro, per cui, grazie ai precedenti rapporti con i colleghi, ha accessi con privilegi che gli consentono di scavalcare il perimetro tra le aree definito da quell'approccio chiamato separazione dei ruoli (o in inglese, la segregation of duties), uno dei pilastri fondamentali di ogni metodologia di gestione del rischio.
La segregation of duties è una caratteristica delle organizzazioni che conducono attività con un rischio annesso e, in parole povere, prevede che chi esegue un'attività rischiosa sia un’entità diversa da chi la autorizza.
Nel nostro caso specifico, chi esegue l’attività, indipendentemente da quale essa sia, è il trader Kerviel. Chi la autorizza, dovrebbe essere il collega dei middle-office, che, ricevuta la segnalazione dell’attività - ovvero di una transazione in un solo senso, anziché di due transazioni di senso diverso - intraprende le opportune azioni di verifica.
In realtà, era lo stesso Kerviel che, con user e password del collega, autorizzava ogni movimento non caratterizzato da un movimento di copertura dei rischi.
SG acquista quindi dei contratti forward – simile al contratto future, ma trattato tra banche, anziché sui mercati - su Eurostoxx, Dax e Ftse
Arriva quindi la settimana critica in cui, dal 15 al 18 gennaio, i mercati finanziari subiscono ribassi pesantissimi, per cui le posizioni lunghe, cioè che puntano al rialzo, assunte da Kerviel gli provocano ingenti perdite.
Il 18 gennaio, un nuovo sistema di controllo, individua un movimento sospetto nei confronti di una controparte tedesca.
Il resto è storia recente...

Societe Generale, la banca che negli ultimi anni ha decretato la propria leadership proprio nel mercato dei derivati, si rivela ora un gigante dai piedi d’argilla.
Come può essere successo che un solo uomo potesse costituire una tale concentrazione di privilegi?
Contrariamente a quanto affermato nella prima ora, Kerviel non ha straordinarie capacità informatiche, ma piuttosto conosce molto bene il sistema autorizzativo delle transazioni e, terribile a dirsi, conosce le password di accesso a tale sistema.

Cosa manca quindi in SG?
Pochi, semplici elementi.
Innanzitutto manca una cultura della sicurezza, che, introdotta a tutti i livelli, conduca i dipendenti a comprendere che dare la propria password a un collega comporta dei rischi per l’azienda e per sé, e conduca gli amministratori dei sistemi informativi a costringere i dipendenti a cambiare password periodicamente, in modo che se malauguratamente capitasse che un dipendente dia una sua password a un collega, dopo un certo periodo tale password possa essere resa inutilizzabile.
Secondo elemento: l'implementazione delle prassi di sicurezza in specifiche procedure interne. Questo elemento è il più semplice da attuare e di certo sarà già presente in Societe Generale. Ma purtroppo emanare leggi senza avere un controllo efficiente non serve a nulla.
E quindi arriviamo al terzo elemento (peraltro, forse già introdotto recentemente e grazie al quale si è avuta segnalazione delle speculazioni selvagge di Kerviel): un sistema di segnalazione di posizioni non adeguate alle policy aziendali, ovvero non compliant, che non invii segnalazioni soltanto al personale di middle-office, ma che collezioni i dati per darli in pasto a controlli incrociati, sia automatizzati, sia presentabili al back-office, sia a un’entità di controllo.
Infine l'elemento più tecnologico: un'autenticazione a due fattori, che permetta cioè di determinare l'identità di un'utente che accede al sistema non solo tramite la conoscenza di nome utente e password, ma anche con il possesso di strumenti come smartcard o token usb con certificati, o mediante una scansione dell'impronta digitale.
Costano poco, aiutano molto.

2 commenti:

Anonimo ha detto...

Stefano, sai bene che le aziende si reggono in piedi grazie al sistema "dimmi la tua pwd che risolvo io la situazione". Le soluzioni per evitare queste pratiche ci sarebbero, pero' non sono a costo zero: ci vuole personale e formazione.

Se l'unico che ha la pwd e' in ferie e l'azienda non ha nessuno con cui sostituirlo, la pwd sara' data alla prima necessita'. Se nessuno capisce l'importanza della pwd, qualla pwd non sara' piu' cambiata.

Le pwd sono semplici e sempre le stesse per tutti i servizi e ogni tentativo di introdurre cose come Keepass o analoghi cadono spesso nel vuoto.

Potrei continuare nella mia lista di pratica comune contro ogni buon senso di sicurezza. Quello che stupisce e' che ci siano cosi' POCHI incidenti di questo genere.

ilcomiziante

Michael Meza ha detto...

I enjoyed reading your blog thanks