12 INTERNETUL BANCAR Aparitia internetului este considerata ca cel mai important eveniment din a doua jumatate a secolului XX din

punct de vedere al impactului in economie si societate. In 1966, Paul Barand de la RAND Corporatin emite conceptul transmisiei dinamice a pachetelor de date intr-o retea descentralizata si stabileste anumite principii de functionare. In 1968, Laboratorul National de Fizica al Angliei construieste pe baza acestui concept primul prototip de retea si in continuare alte firme, in special americane, construiesc retele cu un numar din ce in ce mai mare de calculatoare. Din 1982, sistemul devine domeniu public si internetul se dezvolta vertiginos devenind o necesitate. Potrivit publicatiei International Telecommunication Union, internetul dispunea la finele anului 2003 de aproape 700 mil. de utilizatori (peste 100 mil. in 1991), din care 32% in Europa, 31% in Asia/Pacific, 30% in SUA si Canada. Pe sectoare economice, la nivel mondial, ponderea operatiunilor prin internet era de 44% in sistemul bancar, 29% in comunicatii si media, 25% in distributie, 16% in asigurari. In Romania, internetul cunoaste o evolutie mai modesta, in anul 2003 fiind sub 0,1 mil. utilizatori pentru toate tipurile de plati electronice fara carduri.

12.1 INTERNETUL BANCAR CANAL DE COMUNICARE Operatiunile bancare prin internet au aparut dupa anul 1990, iar in Romania din 2000 si acestea sunt strans legate de comertul electronic si plata electronica a serviciilor. Internetul bancar mareste foarte mult gradul de libertate al celor care fac plati sau transfera fonduri, nefiind legati de drumul la ghiseul bancar. Mai mult, internetulbancar poate fi accesat de la orice calculator conexat la internet, deci emitentul instructiunii de plata poate sa nici nu posede un calculator la domiciliu. Internetul bancar ofera posibilitatea nu numai a efectuarii operatiunilor bancare dar si a obtinerii informatiilor financiar-bancare necesare pentru gestionarea fondurilor si luarea deciizilor. Din acest punct de vedere, Walter Wriston, presedintele Citicorp, afirma in 1985 ca informatia despre bani este mai valoroasa decat banii insisi. Internetul pune pe deplin in valoare aceasta resursa. Notiunea de internet bancar este definita de unele institutii finnaciare internationale de specialitate (Electronic Banking Group din cadrul Comitetului de la Basel, Office of the Comptroller of Currency-SUA) in mai multe variante cu acelasi continut furnizarea de servicii bancare prin mijloace electronice tip internet. Bancile pot oferi servicii de tip internet bancar in doua feluri: (a) bancile existente isi creaza un site oferind clientilor pe langa canalele traditionale si internetul bancar; (b) infiintarea unei banci virtuale, fara

sucursale, denumita si banca Internet Only, in care calculatorul server este tinut intr-un birou care serveste si ca sediu al bancii sau in alta locatie. Specialistii au ajuns la concluzia ca internetul bancar este un canal de comuncatie prin care se pot efectua plati prin anumite instrumente de plata (cardul, ordinul de plata electronic), constituirea/desfintarea de depozite, transferuri de fonduri intre conturi sau tranzactii mai complexe precum cash management, deosebit de gama larga de informatii despre serviciile si produsele bancare. Desi perioada de timp este destul de scurta, evolutia platilor bancare prin internet poate fi structurata in trei etape: (i) plati intr-o forma mai putin sigura (rudimentara dupa unele opinii) in care utilizatorii comunicau numarul de card direct comerciantilor; (ii) plati pe baza tehnologiei certificatelor digitale cu dezavantajul ca se identifica doar calculatorul de la care s-a emis instructiunea nu si utilizatorul de card; (iii) plati pe baza de cititoare de smart carduri conectate la calculator prin care utilizatorul introduce cardul in cititorul de smart carduri si tasteaza codul PIN prin care se activeaza certificatul digital, identificandu-se atat calculatorul cat si utilizatorul. 12.2 OPERATIUNI BANCARE PRIN INTERNET Ca urmare a gamei diferie de operatiuni prin internet si a riscului pe care il incumba, se pot stabili trei tipuri de internet bancar: - informational acesta este primul nivel prin care bancile prezinta oferta de produse si servicii stocata pe un server, riscul operational fiind destul de scazut, intrucat sistemul de informare este separat de sistemul informatic al bancii; - comunicativ operatiunile se refera la posta electronica, informatii despre cont, formulare pentru obtinerea de imprumuturi, schimbarea numelui sau a adresei clientului; riscul este mai mare, intrucat serverul poate avea o conexiune cu reteaua interna a bancii; - tranzactional efectuarea de operatiuni bancare specifice tranzactiilor care au loc si care prin legatura cu sistemul informatic al bancii au un risc apreciabil. Informatiile care se pot obtine sunt directionate catre doua categorii de clienti: operatiuni holesale (de valori mai mari) pentru persoane juridice si operatiuni retail (de valori mici) pentru persoane fizice. In functie de aceste doua categorii, bancile prezinta toate produsele si serviciile pe care le ofera cu detaliile necesare. Pentru operatiunile prin internet trebuie sa existe un cont deschis la banca cu aceasta destinatie pentru care se inchie o conventie cu banca. Beneficiarul primeste un nume de utilizator si o parola (ambele fiind formate din cifre, litere sau o combinatie de cifre si litere, in toate cazurile

unice, adica o cifra sau o litera neputandu-se repeta), precum si un program de securizare a operatiunilor care se instaleaza pe computerul personal. Operatiuni bancare. Operatiunile tranzactionale care se pot efectua prin internetul bancar sunt urmatoarele: - depozite la termen - plati din cont (ordine de plata); - plati prin carduri; - transferuri de fonduri; - schimburi valutare; - vizualizarea conturilor; - acces la informatii financiar-bancare. Infrastructura. In ce priveste infrastructura necesara pentru efectuarea operatiunilor, aceasta este asigurata de: - la emitent- PC cu echipament tip modem de conectare la internet si dispozitivul de securitate (codor) a transmisiei; - la reteaua internet - echipamente de receptie si transmisie, servere; - la banca echipamente de receptie, server si echipament de criptare/decriptare; - la beneficiar PC conectat la internet (prin ecipamentul modem) cu site-ul respectiv si dispozitivul de securitate (codor) a transmisiei. Operatiuni de plati cu carduri virtuale. Platile pentru procurarea de bunuri prin internet se fac de regula prin folosirea cardului virtual. Acesta este un card special pentru operatiuni pe internet, similar cu cardul de credit, care se alimenteaza dintr-un card de debit sau direct din contul curent. Schema 12.1 Plati prin internet cu card virtual Internet 3 3
2

PC

1 Banca

5 6

VISA

5 6 Banca

4 7

PC

Cumparator

8 9

Comerciant

1 Cumparatorul obtine de la banca lui un card virtual incarcat cu o anumita suma de bani; 2 Cumparatorul (posesorul de card virtual) acceseaza site-ul magazinului virtual care accepta plata prin card si apoi alege produsul. 3 Cumparatorul lanseaza comanda si completeaza informatiile privitoare la card. 4 Comerciantul transmite bancii lui informatiile privitoare la card si tranzactie. 5 Banca comerciantului autentifica mesajul si transmite informatiile prin sistemul VISA bancii emitente a cardului. 6 Banca emitenta valideaza mesajul si il retransmite prin sistemul VISA bancii beneficiarului (comerciantului). 7 Comerciantul primeste mesajul de autorizare si poate elibera marfa. 8 Transmiterea fisierului cu tranzactiile 9 Transferul fondurilor Mesajele prin internet se transmit sub forma codificata (criptare) pentru protectia informatiilor privind cardurile. Criptarea decriptarea se face automat cu ajutorul unor dispozitive speciale printr-o anumita miscare a maosului. Operatiunile directe de cont (fara card) se pot efectua pentru plati de bunuri si servicii catre comercianti/institutii publice/persoane particulare, constituirea de depozite bancare, transferuri de fonduri intre conturi si schimburi valutare, bineinteles pe baza unui cont deschis la banca si a conventiei de utilizare a contului in regim on-line. Pentru efectuarea acestor operatiuni se acceseaza site-ul bancii, se formeaza codul (token) de acces, se introduce parola si se transmit instructiunile de plata conform meniului afisat pentru fiecare fel de produs/serviciu. La banca, operatiunile se desfasoara in urmatoarea succesiune: decodificare, autentificare, validare si executie. Decodificarea se face automat pe baza unor formule folosite de comun acord de cele doua parti; autentificarea reprezinta verificarea emitentului prin parola folosita; validarea reprezinta verificarea corectitudinii mesajului si a disponibilului in cont; executarea presupune efectuarea operatiunlior de cont si transmiterea fondurilor prin ordine de plata electronice. Din motive de securitate se stabilesc anumite limite valorice de plati pentru o tranzactie, precum si beneficiarii catre care se pot face astfel de plati. 12.3 RISCUL OPERATIONAL PRIN INTERNET Operatiunile bancare prin internet sunt supuse riscurilor clasice, precum si unor riscuri noi, specifice acestei proceduri. Riscurile clasice trebuie insa reconsiderate in sensul cresterii importantei unor riscuri traditionale si luarii in cosideratie a unor riscuri noi, datorita globalizarii activitatii bancare si

posibilitatii efectuarii de tranzactii bancare la distante mari care depasesc sfera de control a unei banci. Office of the Comptroller Curencies din Statele Unite si Electronic Banking Group din cadrul Comitetului de la Basel au definit urmatoarele categorii de riscuri asociate operatiunilor prin internet: Riscul de credit. Operatiunile prin internet ofera bancilor posibilitatea de a se extinde teritorial, clientii putand intra in relatii cu banca din orice tara de pe glob. In sistemul on-line, in lipsa unui contact personal, este o provocare pentru banci sa verifice bonitatea clientilor, elementul central in luarea deciziilor fondate de acordare a creditului, precum tot o provocare o reprezinta si verificarea garantiilor clientilor departati geografic. In lipsa unei gestiuni adecvate, operatiunile prin internet ar putea conduce la o concentrare a creditelor in afara zonei de control a bancii, deci cu risc ridicat sau intr-un anumit domeniu mai riscant. Gestionarea unui portofoliu de credite obtinute prin internet necesita o noua abordare din partea bancilor a profilului de risc, a politicilor de expunere si a practicilor de control. Riscul de rata a dobanzii. Experienta a dovedit ca a existat o tendinta a bancilor prezente exclusiv pe internet de a acorda rate superioare de dobanda la depozite, ceea ce a condus la cresterea dobanzilor active, fiind in discordanta cu principiul ca dobanda trebuie sa fie aceiasi indiferent de canalul folosit. Totodata, activele si pasivele bancare sunt foarte sensibile la variatia ratei dobanzii, iar prin internet se pot atrage depozite si acorda imprumuturi pentru o plaje mult mai mare de clienti decat prin orice alta forma de marketing. Intrucat clientii cauta cea mai buna rata de dobanda sau cel mai bun termen, acestia pot influenta cererea de credite si evolutia dobanzii cu efecte asupra rentabilitatii bancii. Ca urmare este necesar un sistem adecvat de gestiune a activelor si pasivelor si o cunoastere a conditiilor permanent schimbatoare ale pietei pentru a preveni atragerea de pasive scumpe care nu se mai pot plasa in conditii de eficienta si pot determina pierderi importante pentru banca. Riscul de lichiditate. Informatiile prin internet circula mult mai rapid decat prin canalele clasice, orice stire adversa, adevarata sau nu, ar putea determina deponentii sa-si retraga depozitele in orice moment. In plus, operatiunile prin internet pot creste volatilitatea depozitelor, intrucat clientii atrasi isi mentin depozitele pentru rate ridicate de dobanda si nu pentru solvabilitatea bancii si siguranta acestora. Ca atare, managementul pasivelor trebuie sa asigure un grad de lichiditate mai mare pentru aceste depozite, ceea ce este mai costisitor si necesita o anumita limita de expunere. Riscul de curs valutar. Acest risc apare cand un portofoliu de credite este denominat intr-o alta valuta decat cea locala sau cand se accepta depozite in alte valute de la nerezidenti. Bancile care dezvolta activitati transfrontaliere se

confrunta mai mult cu riscul valutar. De asemenea, riscul valutar poate fi intensificat de dezvoltarea economica, politica si sociala, aspecte al caror impat o banca fara experienta in actiuni transfrontaliere ar putea sa nu il aprecieze corect. Un rol esential in asemenea situatii revine autoritatii de supraveghere din tara gazda care trebuie sa se asigure ca banca indeplineste criteriile unui sistem de management al riscului care sa ii permita initierea de astfel de operatiuni. Riscul de tranzactie se manifesta in conditii de greseala umana, frauda, imposibilitatea livrarii produselor datorita greselilor de conceptie, implementare sau monitorizare a sistemelor cu frecventa mai mare in zona fraudei prin penetrarea serverelor si sustragerea de informatii de catre operatori neautorizati care pot deturna fonduri. Bancile trebuie sa ofere servicii ferme si de calitate pentru a consolida increderea in numele si marca lor. In acest scop ele isi organizeaza un control intern sofisticat pentru a supraveghea sistemul electronic si a preveni eventuale fraude, tentativele de atac devenind o preocupare majora. Studiile arata ca sistemele elctronice sunt mult mai vulnerabile la atacurile interne si mai putin la cele externe, intrucat utilizatorii interni au cel mai usor acces la informatii. In actuala etapa de dezvoltare a internet-bankingului, riscul cel mai mare este cel de tranzactie (frauda), intrucat sistemul de transmisie telefonica este destul de vulnerabil la interceptari. Exemplificam cateva tipiri mai noi de atacuri: sniffers (adulmecatori) programe de monitorizare care capteaza numele utilizatorilor si parolele atunci cand acestia intra pe sitte-ul bancii; ghicitori de parole programe care testeaza un numar mare de combinatii posibile pentru a obtine o intrare in retea; forta bruta o tehnica de a capta mesage codificate care apoi sunt citite cu ajutorul programelor de spargere; interceptia interceptarea de transmisii si apoi se incearca deducerea de informatii. Pentru protectia sistemelor s-au inventat firewalls (ziduri de protectie) o combinatie de hardware si software plasate intre doua retele prin care trebuie sa treaca inregistrarea de date, precum si o gama larga de elemente de securitate pentru riscuri specifice. Riscul de piata se manifesta mai mult in zona operatiunilor cu valori mobiliare. Cresterea vertiginoasa a acestei piete si tranzactionarea on-line prin internet poate conduce la o volatilizare crescuta a valorilor mobiliare si in consecinta la necesitatea unei lichiditati mai mari. Angajarea bancii in operatiuni de brokeraj prin internet pentru portofoliu sau o expunere la un risc sporit trebuie analizate cu mult profesionalism. Ca si in cazul riscului de lichiditate, efectele operatiunilor on-line asupra volatilitatii pietei trebuie monitorizate, atat de banci, cat si de autoritatile de supraveghere. Riscul strategic apare in cazul incompatibilitatii intre obiectivele strategice, pe de o parte, si resursele si posibilitatile de indeplinire, pe de alta parte. Acest risc apare la introducerea de produse/servicii noi care in conditiile internetului

poate produce schimbari substantiale intre fortele concurente. De cele mai multe ori, bancile din dorinta de a aparea pe piata cat mai repede nu experimenteaza suficient produsul/serviciul sau implementarea (in special pregatirea personalului) nu este adecvata si pot aparea esecuri cu consecinte nefavorabile pentru numele bancii si ca urmare pierderea de clientela. De aceea, trebuie analizat daca este oportuna o expertiza pentru a identifica, monitoriza si controla riscul si care sa asigure ca obiectivul poate fi indeplinit in concordanta cu celelalte scopuri ale bancii si cu toleranta la risc. Prin natura sa, riscul strategic este mai general si mai extins decat celelalte tipuri de risc, intrucat deciziile managementului pot avea implicatii asupra tuturor tipurilor de risc. O industrie, cum este internetul, poate aduce avntaje substantiale daca strategia si maniera de concepere si implementare a produsului/serviciului este adecvata. Riscul reputational este determinat de impactul negativ al activitatii bancii prin internet asupra opiniei publice, ca urmare a unor servicii de calitate indoielnica, neasigurarea confidentialitaii informatiei despre clienti, promovarea cu usurinta a unor produse/servicii, lipsa de raspuns la cerintele clientilor. Riscul reputational poate expune banca la pierderea clientilor, reducerea veniturilor si chiar la litigii datorita nerespectarii angajamentelor pentru facilitatile prezentate pe site. Operatiunile prin internet sporesc dependenta bancii de partenerii care asigra suportul tehnologic, existand riscul ca acestia sa nu-si mentina serviciile la un nivel constant inalt. De aceea, banca trebuie sa efectueze controale care sa gestioneze si sa monitorizeze acest risc si sa primeasca informatii despre planurile tertilor de derulare a actvitatii. Un alt aspect important il constituie eventualele brese in sistemul de securitate al sitelui bancii, clientul putand sa constate gradul de soliditate al tranzactiilor efectaute de banca prin internet. Pentru a se proteja impotriva acestor amenintari, banca trebuie sa dezvolte si sa mentina standarde de performanta ridicate, sa revizuiasca si sa testeze periodic solutiile de continuare a activitatii, precum si sa imbunatateasca permanent strategiile de comunicare. Gestionarea riscului operatiunilor bancare prin internet este un domeniu nou care necesita o anumita tehnologie bancara de identificare, dimensionare, monitorizare si control a expunerii la risc. In prezent exista o dilema privind elaborarea unei tehnologii interne sau alegerea unei tehnologii externe care sa fie implementata de o firma specializata. Mai mult, se contureaza ideea ca intreaga activitate de operatiuni bancare prin internet sa fie plasata la o firma de specialitate (out-sourcing) in special de bancile care nu dispun de infrastructura necesara. Pentru gestionarea riscului opertiunilor bancare prin internet, Electronic Banking Group de la Basel a recomandat bancilor un set de 14 principii, astfel:

1 Comitetul de Directie si administratorii trebuie sa organizeze supravegherea efectiva a riscurilor asociate activitatii on-line, inclusiv stabilirea de elemente specifice de contabilitate, politici si control. Ca urmare, este necesara revizuirea strategiei bancii, infiintarea unui serviciu de specialisti in supraveghera riscurilor in functie de vulnerabilitatea retelelor si sensibilitatea informatiei transmise. 2 Comitetul de Directie si administratorii trebuie sa revizuiasca si sa aprobe aspectele-cheie ale controlului securitatii informatiei. Aceasta presupune stabilirea modului de autorizare, control logic si fizic de acces si o infrastructura de securitate adecvata. Totodata, vor trebui gestionate amenintarile externe prin anumite tehnici, ca programe anti-virusi, programe de detectare a intrarilor frauduloase in retea si testarea gradului de penetrare a retelei interne si externe. 3 Comitetul de directie si administratorii trebuie sa stabileasca o politica de colaborare cu partenerii in oferirea serviciilor prin internet. Managementul bancii trebuie sa evalueze riscurile de parteneriat, sa efectueze analize asupra competentei partenerilor si sa solicite efectuarea de audit intern si extern. 4 Banca va trebui sa ia masurile indicate pentru a autoriza si identifica clientii cu care efectueaza operatiuni prin internet. Banca trebuie sa foloseasca metode sigure de autentificare (PIN, parola, smart card si certificat digital) si de autorizare a clientilor pentru reducerea riscului de furt al identitatii, operatiuni frauduloase de cont si spalari de bani. 5 Bancile trebuie sa foloseasca metode de autentificare a tranzactiilor care sa promoveze non-repudierea. Non-repudierea necesita crearea unei dovezi a originii livrarii informatiei electronice pentru a proteja expeditorul impotriva falsei negari din partea emitentului. Cel mai cunoscut mijloc este acordarea certificatelor digitale care impreuna cu semnatura digitala permit identificarea in mod unic a emitentului. 6 Bancile trebuie sa asigure masurile indicate pentru separarea adecvata a sarcinilor intre sistemele de internet banking, bazele de date si aplicatii. Separarea sarcinilor este o masura uzuala si da siguranta ca tranzactiile sunt autorizate, inregistrate si supravegheate in mod corect. 7 Bancile trebuie sa sigure controlul autorizarii si conditiile de acces. Pentru a sustine separarea sarcinilor, bancile trebuie sa controleze strict autorizarea si conditiile de acces. 8 Bancile trebuie sa asigure integritatea datelor. Integritatea datelor se refera la faptul ca atat datele stocate cat si cele in tranzit nu pot fi modificate fara autorizatie. 9 Bancile trebuie sa asigure existenta reperelor pentru audit. Intrucat informatiile sunt in format electronic numai anumite repere sunt supuse auditului, ca: deschideri, modificari si inchideri de cont; tranzactii cu consecinte financiare; tranzactii peste limita; acordare, modificare sau revocare a drepturilor de accesare a sistemului.

10 Bancile trebuie sa ia masurile necesare pentru a pastra confidentialitatea informatiilor. Bancile trebuie sa se asigure ca toate inregistrarile si informatiile sunt accesibile numai celor autorizati si ca toate datele confidentiale sunt protejate impotriva accesului neautorizat. Folosirea eronata sau expunerea neautorizata de informatii expune banca atat la un risc legislativ, cat si la unul reputational. 11 Bancile trebuie sa se asigure ca informatiile furnizate pe paginile lor de Web sunt adecvate in permiterea unor potentiali clienti sa isi formeze o opinie in privinta identitatii si statutului bancii. 12 Bancile trebuie sa ia masurile necesare pentru a asigura adaptarea la regulile de confidentialitate aplicabile in jurisdictia in care ele ofera servicii prin internet. Bancile trebuie sa depuna eforturi pentru ajustarea politicilor de confidentialitate la normele juridice existente, prezentarea politicilor clientilor sai, evitarea folosirii informatiilor private in scopuri nepermise sau neautorizate. 13 Continuitatea in timp a activitatii. Banca trebuie sa ofere servicii pe un timp indelungat si prevzibil pentru client. In acest scop, capacitatea curenta si previziunile trebuie corelate cu dinamica pietei de comert electronic si a ratei viitoare de acceptare de catre clienti a serviciilor bancare prin internet. 14 Bancile trebuie sa dezvolte planuri adecvate de gestiune a incidentelor pentru a ingradi si minimiza problemele care apar in mod neprevazut, inclusiv atacuri interne sau externe. Aceste actiuni se refera la mecanisme de identificare a unui incident sau criza imediat ce a aparut, strategii de comunicare cu mass-media in cazul aparitiei unor atacuri sau brese de securitate, procedura simpla de alertare a autoritatilor, procedura de informare a clientilor si massmedia cu privire la eventualele probleme din sistem. Electronic Banking Group precizeaza ca aceste principii nu sunt definitive, urmand sa fie completate si imbunatatite, si nici obligatorii, ci au numai un caracter de recomandare pentru evitarea unor evenimente nedorite si intarirea increderii in internetul bancar. 12.4 SECURITATEA OPERATIUNILOR BANCARE PRIN INTERNET Securitatea electronica este definita de unii experti ca acele politici, recomandari, procese si actiuni necesrae minimizarii riscului aferent efectuarii tranzactiilor electronice, risc ce se refera la brese in sistem, intruziuni sau furt, iar altii ca orice mijloc, tehnica sau proces utilizat pentru a proteja volumul de informatii al unui sistem. Valoarea informatiei se bazeaza pe integritatea sa, iar in cazul in care sistemul de securitate nu permite indeplinirea acestei cerinte, informatia isi pierde din semnificatia sa. In acest context, specialistii Bancii Mondiale considera ca securitatea este o modalitate de a adauga valoare, devenind o preocupare majora a institutiei care trebuie sa o implementeze.

Sistemul global de securitate al unei banci trebuie sa cuprinda elemente de politica, securitate, control, testare si dotare tehnica. Banca Mondia recomanda un sistem de securitate pentru operatiuni bancare prin internet structurat pe 12 nivele: responsabilul cu securitatea, autentificarea, firewalls (granite de protectie), filtrarea activa a continutului, sistem de detectare a intruziunilor, programe anti-virus, criptare, testarea vulnerabilitatii, administrarea adecvata a sistemului, aplicatie de gestionare a politicii bancii si planul de reactie la incidente. Aspectele cheie ale functionarii unui sistem de securitate sunt: accesul, autentificarea, increderea, non-repudierea, confidentialitatea, disponibilitatea. In sistemele electronice de plati autentificarea si non-repudierea reprezinta etapele cele mai importante si de regula se folosesc echipamente performante de securitate. Modalitatile cele mai cunoscute de autentificare si non-repudiere sunt urmatoarele: Parole si PIN-uri (Personal Identification Number). Acestea sunt cele mai cunoscute dar si cele mai vulnerabile din toate tehnicile individuale de autentificare. Eficienta securitatii prin parola depinde de trei factori: (a) lungimea si continutul parolei care depind de valoarea si sensibilitatea informatiilor protejate; standardele privind compozitia parolei prevad utilizarea de cifre si simboluri, precum si litere alfabetice mari si mici; (b) confidentialitatea parolei se asigura prin criptarea acesteia si a fisierelor pe 128 biti in momentul stocarii sau transmiterii; cele mai frecvente cazuri de interceptie a parolei se realizeaza in urma studierii comportamentului utilizatorului si captarii acesteia in tranzitul prin diverse site-uri sau prin exploatarea vulnerabilitatii serverului si obtinerea fisierului cu parole; (c) sistemul de control al parolei cerintele minime pentru securitate prevad urmatoarele metode: restrictionarea optiunilor de acces automat, blocarea dupa trei incercari esuate, stabilirea unui interval de expirare a parolei, intreruperea conexiunii cu clientul dupa o perioada de inactivitate, oferirea de asistenta pentru selectarea parolelor complexe, incorporarea unei metode multi-factor pentru sistemele de mare valoare. Cu toatea ceste precautii, punctele slabe ale parolelor sunt tehnologia si timpul, in sensul ca prin anumite programe si procesoare de mare capacitate ( 1 milion combinatii/sec.) se pot realiza, intr-un interval de cateva luni, toate combinatiile posibile si pot fi aflate parolele dorite.

Token si smart card. Token-ul este o metoda de autentificare bifactoriala bazata pe un cod personal si o parola sau un element biometric, informatii care sunt stocate intr-o memorie. Token-ul depoziteaza aceste informatii si ca urmare nu poate identifica decat parole statice. Token-ul care foloseste tehnologia cip-urilor si care se aplica pe un card formeaza smart cardul. Gradul de sofisticare a cip-urilor difera dar acestea, oricat de perfectionate, pot fi totusi penetrate. Pentru intarirea securitatii cardului, in cip se introduc si informatii de natura bionica in cazul persoanelor fizice. Institutiile financiare utilizeaza token-uri generatoare de parole pentru a autentifica clientii comerciali in vederea accesului de la distanta a sitemului de operatiuni prin internet. Infrastructura de cheie publica (PKI) poate incorpora smart carduri care sa contina acreditari ale utilizatorului si un certificat digital. Biometria. Tehnicile de autentificare biometrica pot acorda sau nega accesul la retele prin verificarea automata a identitatii persoanei fizice sau de comportament. Identificatorul biometric este creat din surse ca figura utilizatorului, geometria palmei, voce, iris, retina, amprenta degetului sau a mainii. Odata captat un element biometric este tradus, algoritmic, intr-un sir complex de numere si stocat intr-o baza de date drept sablon. Ulterior, sablonul este comparat cu fiecare mostra biometrica prezentata de client pentru identificare. Mostra se realizeaza cu ajutorul unui dispozitiv de validare care sesizeaza cracterisricile fizice si transmite informatiile la baza de date. Daca exista compatibilitate intre cele dou seturi de informatii, verificarea identitatii este realizata. Pentru a se simplifica operatiunile, informatiile biometrice se pot introduce in cip-ul din smart card si se transmit odata cu informatiile clasice PIN, numar card, nume etc. Principalele tipuri de dispozitive biometrice sunt urmatoarele: Scanarea irisului. Recunoasterea biometrica a irisului implica identificarea a 266 de trasaturi detectabile ale irisului care se convertesc intr-un cod digital Iris Code. Nu exista doua irisuri identice, nici la aceiasi persoana, nici la gemeni, ceea ce face ca gradul de personalizare sa fie maxim. Informatiile scanate se pot pastra timp indelungat, deoarece irisul ramane neschimbat pe toata durata vietii. Concluzia analistilor Bancii Mondiale este ca scanarea irisului poate deveni o masura importanta de securitate pentru angajatii institutiilor finaciare care sunt responsabili cu transferurile de valori mari. Scanarea amprentei. Tehnologia permite captarea imaginilor de inalta calitate ale amprentei, in alb-negru, care sunt procesate in vederea extragerii anumitor informatii si apoi trimise pentru sablon. Deci, nu toata amprenta se pastreaza in baza de date ci numai o parte din informatii. Amprentele sunt unice si permit identificarea precisa a persoanei utilizatoare. Tehnologia optica este cea mai des folosita, degetul fiind pus pe o placa de plastic, iar un dispozitiv

converteste imaginea amprentei intr-un cod digital. Tehnologiile mai noi sunt tot optice dar bazate pe silicon si tehnologii cu ultra sunete. Deosebit de scanarea amprentei degetului, se mai foloseste si scanarea mainii, atat partea frontala cat si cea laterala ale palmei, lungimea degetelor, distanta dintre articulatii sau forma acestora. Aceasta forma se foloseste pentru sistemele cu securitate joasa sau medie. Deformarile care apar pe parcurs, in special la persoanele in varsta sau la cele cu anumite maladii, ridica probleme in extinderea acestei forme de autentificare. Autentificarea vocala. Tehnologia se bazeaza pe calitatile distincte ale vocii fiecarei persoane. In aplicatiile de telefonie, autentificarea vocii functioneaza prin telefonul obisnuit, in timp ce in aplicatiile PC este disponibila o paleta larga de combinatii intre microfoane si placi de sunet compatibile cu orice computer. Dezavantajul este ca exista posibilitatea inregistrarii in prealabil a vocii unui subiect si a reluarii ulterioare a inregistrarii, ajungandu-se la falsa acceptare a unui infractor intr-o retea sau intr-un sistem de conturi al unei banci. Pentru diminuarea acestui risc trebuie dezvoltate o serie de metode de identificare exacta a utilizatorilor, una dintre acestea fiind solicitarea sa-si confirme identitatea prin rostirea unor secvente numerice aleatoare. Scanarea semnaturii. Pentru determinarea manierei in care o persoana semneaza, tehnologia examineaza viteza, presiunea si alti factori relativi la efectuarea semnaturii. Biometria unei semnaturi manuale nu se bazeaza doar pe forma semnaturii, ci si pe dinamica acesteia. Semnatura e captata odata cu elementele temporale viteza, acceleratie, presiune si anumite sabloane - spre exemplu se poate determina daca punctul pe i a fost pus ls sfarsitul semnaturii sau pe parcurs. Majoritatea rau-voitorilor au acces doar la forma fizica a semnaturii gasind fie o chitanta, fie un card pierdut. Ei nu pot copia intensitatea folosita in timpul efectuarii semnaturii si nici viteza, ambele schimbandu-se in timpul procesului de semnare. Acest tip de scanare este foarte util in sistemul bancar unde se vehiculeaza multe documente si de valori importante. Tehnologia pentru scanarea semnaturii este comparabila, din punct de vedere al acuratetei, cu cea folosita la scanarea retinei sau a amprentelor. ______________________

PLATI PRIN INTERNET

2 Internet 3

2 3

1 PC

Banca

5 6

VISA

5 Banca 6

4 PC 7 Comerciant

Cumparator

8 9

1 Cumparatorul obtine de la banca lui un card virtual incarcat cu o anumita suma de bani 2 Cumparatorul (posesorul de card virtual) acceseaza site-ul magazinului virtual care accepta plata prin card si apoi alege produsul 3 Cumparatorul lanseaza comanda si completeaza informatiile privitoare la card 4 Comerciantul transmite bancii lui informatiile privitoare la card si tranzactie 5 Banca comerciantului autentifica mesajul si transmite informatiile prin sistemul VISA bancii emitente a cardului 6 Banca emitenta valideaza mesajul si il retransmite prin sistemul VISA bancii beneficiarului (comerciantului) 7 Comerciantul primeste mesajul de autorizare si poate elibera marfa 8 Transmiterea fisierului cu tranzactiile 9 Transferul fondurilor