INTERNETUL BANCAR Aparitia internetului este considerata ca cel mai important eveniment din a doua jumatate a secolului XX din

punct de vedere al impactului i n economie si societate. In 1966, Paul Barand de la RAND Corporatin emite conceptul transmisiei dinamice a pac etelor de date intr!o retea descentrali"ata si sta#ileste anumite principii de $unctionare. In 196%, &a#oratorul National de 'i"ica al An(liei co nstruieste pe #a"a acestui concept primul prototip de retea si in continuare alte $irme, in special americane, construiesc retele cu un numar din ce in ce mai mare de calculatoare. Din 19%), sistemul devine domeniu pu#lic si internetul se de"volta verti(inos devenind o necesitate. Potrivit pu#licatiei International *elecommunication +nion, internetul dispunea la $inele anului ),,- de aproape .,, mil. de utili"atori /peste 1,, mil. in 19910, din care -)1 in 2uropa, -11 in Asia3Paci$ic, -,1 in 4+A si Canada. Pe sectoare economice, la nivel mondial, ponderea operatiunilor prin internet era de 551 in sistemul #ancar, )91 in comunicatii si media, )61 in distri#utie, 161 in asi(urari. In Romania, internetul cunoaste o evolutie mai modesta, in anul ),,- $iind su# , ,1 mil. utili"atori pentru toate tipurile de plati electronice $ara carduri. INTERNETUL BANCAR CANAL DE COMUNICARE 7peratiunile #ancare prin internet au aparut dupa anul 199,, iar in Romania din ),,, si acestea sunt strans le(ate de comertul el ectronic si plata electronica a serviciilor. Internetul #ancar mareste $oarte mult (radul de li#ertate al celor care $ac plati sau trans$era $onduri, ne$iind le(ati de drumul la ( iseul #ancar. 8ai mult, internetul#ancar poate $i accesat de la orice calculator cone9at la internet, deci emitentul instructiunii de plata poate sa nici nu posede un calculator la domiciliu. Internetul #ancar o$era posi#ilitatea nu numai a e$ectuarii operatiunilor #ancare dar si a o#tinerii in$ormatiilor $inanciar !#ancare necesare pentru (estionarea $ondurilor si luarea decii"ilor. Din acest punct de vedere, :alter :riston, presedintele Citicorp, a$irma in 19%6 ca ;in$ormatia despre #ani este mai valoroasa decat #anii insisi<. Internetul pune pe deplin in valoare aceasta resursa. Notiunea de internet bancar este de$inita de unele institutii $innaciare internationale de specialitate /2lectronic Ban=in( >roup din cadrul Comitetului de la Basel, 7$$ice o$ t e Comptroller o$ Currenc?!4+A0 in mai multe variante cu acelasi continut @ $urni"area de servicii #ancare prin mijloace electronice tip internet. Bancile pot o$eri servicii de tip internet #ancar in doua $eluriA /a0 #ancile e9istente isi crea"a un site o$erind clientilor pe lan(a canalele traditionale si internetul #ancarB /#0 in$i intarea unei #anci virtuale, $ara sucursale, denumita si #anca Internet 7nl?, in care calculatorul server este tinut intr !un #irou care

serveste si ca sediu al #ancii sau in alta locatie. 4pecialistii au ajuns la conclu"ia ca internetul #ancar este un canal de comuncatie prin care se pot e$ectua plati prin anumite instrumente de plata /cardul, ordinul de plata electronic0, constituirea3des$intarea de depo"ite, trans$eruri de $onduri intre conturi sau tran"actii mai comple9e precum cas mana(ement, deose#it de (ama lar(a de in$ormatii despre serviciile si produsele #ancare. Desi perioada de timp este destul de scurta, evolutia platilor #ancare prin internet poate $i structurata in trei etapeA 1. plati intr!o $orma mai putin si(ura /rudimentara dupa unele opi nii0 in care utili"atorii comunicau numarul de card direct comerciantilorB .). plati pe #a"a te nolo(iei certi$icatelor di(itale cu de"avantajul ca se identi$ica doar calculatorul de la care s!a emis instructiunea nu si utili"atorul de cardB -. plati pe #a"a de cititoare de smart carduri conectate la calculator prin care utili"atorul introduce cardul in cititorul de smart carduri si tastea"a codul PIN prin care se activea"a certi$icatul di(ital, identi$icandu !se atat calculatorul cat si utili"atorul. OPERATIUNI BANCARE PRIN INTERNET Ca urmare a (amei di$erie de operatiuni prin internet si a riscului pe care il presupune, se pot sta#ili trei tipuri de internet #ancarA ! informational acesta este primul nivel prin care #ancile pre"inta o$erta de produse si servicii stocata pe un server, riscul operational $iind destul de sca"ut, intrucat sistemul de in$ormare este separat de sistemul in$ormatic al #anciiB - comunicativ @ operatiunile se re$era la posta electronica, in$ormatii despre cont, $ormula re pentru o#tinerea de imprumuturi, sc im#area numelui sau a adresei clientuluiB riscul este mai mare, intrucat serverul poate avea o cone9iune cu reteaua interna a #anciiB ! tranzactional @ e$ectuarea de operatiuni #ancare speci$ice tran"actiilor care au loc si care prin le(atura cu sistemul in$ormatic al #anciiB au un risc aprecia#il. In$ormatiile care se pot o#tine sunt directionate catre doua cate(orii de clientiA operatiuni olesale /de valori mai mari0 pentru persoane juridice si operatiuni retail / de valori mici0 pentru persoane $i"ice. In $unctie de aceste doua cate(orii, #ancile pre"inta toate produsele si serviciile pe care le o$era cu detaliile necesare. Pentru operatiunile prin internet tre#uie sa e9iste un cont deschis la banca cu aceasta dest inatie pentru care se inc ie o conventie cu #anca. Bene$iciarul primeste un nume de utilizator si o arola /am#ele $iind

$ormate din ci$re, litere sau o com#inatie de ci$re si litere, in toate ca"urile unice, adica o ci$ra sau o litera neputandu!se repeta0, precum si un pro(ram de securizare a o eratiunilor care se instalea"a pe computerul personal. ! eratiuni bancare" 7peratiunile tran"actionale care se pot e$ectua prin internetul #ancar sunt urmatoareleA ! depo"ite la termen ! plati din cont /ordine de plata0B ! plati prin carduriB ! trans$eruri de $onduriB ! sc im#uri valutareB ! vi"uali"area conturilorB ! acces la in$ormatii $inanciar !#ancare. Infrastructura" In ce priveste in$rastructura necesara pentru e$ectuarea operatiunilor, aceasta este asi(urata deA ! la emitent! PC cu ec ipament tip modem de conectare la internet si dispo"itivul de securitate /codor0 a transmisieiB ! la reteaua internet ! ec ipamente de receptie si transmisie, servereB ! la #anca @ ec ipamente de receptie, server si ec ipament de criptare3decriptareB ! la #ene$iciar @ PC conectat la internet /prin ecipamentul modem0 cu site !ul respectiv si dispo"itivul de securitate /codor0 a transmisiei. ! eratiuni de lati cu carduri virtuale" Platile pentru procurarea de #unuri pri n internet se $ac de re(ula prin $olosirea cardului virtual" Acesta este un card special pentru operatiuni pe internet, similar cu cardul de credit, care se alimentea"a dintr !un card de de#it sau direct din contul curent. .5 8esajele prin internet se transmi t su# $orma codi$icata /criptare0 pentru protectia in$ormatiilor privind cardurile. Criptarea @ decriptarea se $ace automat cu ajutorul unor dispo"itive speciale printr!o anumita miscare a maosului. ! eratiunile directe de cont #fara card$ se pot e$ectua pentru plati de #unuri si servicii catre comercianti3institutii pu#lice3persoane particulare, constituirea de depo"ite #ancare, trans$eruri de $onduri intre conturi si sc im#uri valutare, #ineinteles pe #a"a unui cont desc is la #anca si a conventiei de ut ili"are a contului in re(im on!line. Pentru e$ectuarea acestor operatiuni se accesea"a site !ul #ancii, se $ormea"a codul /to=en0 de acces, se introduce

parola si se transmit instructiunile de plata con$orm meniului a$isat pentru $iecare $el de produs3serviciu. La banca% o eratiunile se desfasoara in urmatoarea succesiune& decodificare% autentificare% validare si e'ecutie" Decodi$icarea se $ace automat pe #a"a unor $ormule $olosite de comun acord de cele doua partiB autenti$icarea repre"inta veri$icarea emitentului prin parola $olositaB validarea repre"inta veri$icarea corectitudinii mesajului si a disponi#ilului in contB e9ecutarea presupune e$ectuarea operatiunlior de cont si transmiterea $ondurilor prin ordine de plata electronice. Din motive de securitate se sta#ilesc anumite limite valorice de plati pentru o tran"actie, precum si #ene$iciarii catre care se pot $ace ast$el de plati. RISCUL OPERATIONAL PRIN INTERNET 7peratiunile #ancare prin internet sunt supuse riscurilor clasice, precum si unor riscuri noi, speci$ice acestei proceduri. Riscurile clasice tre#uie insa reconsiderate in sensul cresterii importantei unor riscuri traditionale si luarii in cosideratie a unor riscuri noi, datorita (lo#ali"arii activitatii #ancare si posi#ilitatii e$ectua rii de tran"actii #ancare la distante mari care depasesc s$era de control a unei #anci. 7$$ice o$ t e Comptroller Curencies din 4tatele +nite si 2lectronic Ban=in( >roup din cadrul Comitetului de la Basel au de$init urmatoarele cate(orii de riscuri asociate operatiunilor prin internetA Riscul de credit" 7peratiunile prin internet o$era #ancilor posi#ilitatea de a se e9tinde teritorial, clientii putand intra in relatii cu #anca din orice tara de pe (lo#. In sistemul on !line, in lipsa unui contact personal, este o provocare pentru #anci sa veri$ice #onitatea clientilor, elementul central in luarea deci"iilor $ondate de acordare a creditului, precum tot o provocare o repre"inta si veri$icarea (arantiilor clientilor departati (eo(ra$ic. In lipsa unei (estiuni adecvate, operatiunile prin internet ar putea conduce la o concentrare a creditelor in a$ara "onei de control a #ancii, deci cu risc ridicat sau intr !un anumit domeniu mai riscant. >estionarea unui porto$oliu de credite o#tinute prin internet necesita o nou a a#ordare din partea #ancilor a pro$ilului de risc, a politicilor de e9punere si a practicilor de control. Riscul de rata a dobanzii" 29perienta a dovedit ca a e9istat o tendinta a #ancilor pre"ente e9clusiv pe internet de a acorda rate superioare de do# anda la depo"ite, ceea ce a condus la cresterea do#an"ilor active, $iind in discordanta cu principiul ca do#anda tre#uie sa $ie aceeasi indi$erent de canalul $olosit. *otodata, activele si pasivele #ancare sunt $oarte sensi#ile la variatia ratei do#an"ii, iar prin internet se pot atra(e depo"ite si acorda imprumuturi pentru o plaje mult mai mare de clienti decat prin orice alta $orma de mar=etin(.

Intrucat clientii cauta cea mai #una rata de do#anda sau cel mai #un termen, acestia pot in$luenta cererea de credite si evolutia do#an"ii cu e$ecte asupra renta#ilitatii #ancii. Ca urmare este necesar un sistem adecvat de (estiune a activelor si pasivelor si o cunoastere a conditiilor permanent sc im#atoare ale pietei pentru a preveni atra(erea de pasive scumpe care nu se mai pot plasa in conditii de e$icienta si pot determina pierderi importante pentru #anca. .6 Riscul de lichiditate" In$ormatiile prin internet circula mult mai rapid decat prin canalele clasice, orice stire adversa, adevarata sau nu, ar putea determ ina deponentii sa!si retra(a depo"itele in orice moment. In plus, operatiunile prin internet pot creste volatilitatea depo"itelor, intrucat clientii atrasi isi mentin depo"itele pentru rate ridicate de do#anda si nu pentru solva#ilitatea #ancii si si(urant a acestora. Ca atare, mana(ementul pasivelor tre#uie sa asi(ure un (rad de lic iditate mai mare pentru aceste depo"ite, ceea ce este mai costisitor si necesita o anumita limita de e9punere. Riscul de curs valutar" Acest risc apare cand un porto$oliu de cr edite este denominat intr!o alta valuta decat cea locala sau cand se accepta depo"ite in alte valute de la nere"identi. Bancile care de"volta activitati trans$rontaliere se con$runta mai mult cu riscul valutar. De asemenea, riscul valutar poate $i intensi$ icat de de"voltarea economica, politica si sociala, aspecte al caror impat o #anca $ara e9perienta in actiuni trans$rontaliere ar putea sa nu il aprecie"e corect. +n rol esential in asemenea situatii revine autoritatii de suprave( ere din tara (a"da care tre#uie sa se asi(ure ca #anca indeplineste criteriile unui sistem de mana(ement al riscului care sa ii permita initierea de ast$el de operatiuni. Riscul de tranzactie se mani$esta in conditii de (reseala umana, $rauda, imposi#ilitatea livrarii produselor datorita (reselilor de conceptie, implementare sau monitori"are a sistemelor cu $recventa mai mare in "ona $raudei prin penetrarea serverelor si sustra(erea de in$ormatii de catre operatori neautori"ati care pot deturna $onduri. Bancile tre#uie sa o$ere servicii $erme si de calitate pentru a consolida increderea in numele si marca lor. In acest scop ele isi or(ani"ea"a un control intern so$isticat pentru a suprave( ea sistemul electronic si a preveni eventuale $raude, tentativele de atac devenind o preocupa re majora. 4tudiile arata ca sistemele elctronice sunt mult mai vulnera#ile la atacurile interne si mai putin la cele e9terne, intrucat utili"atorii interni au cel mai usor acces la in$ormatii. In actuala etapa de de"voltare a internet!#an=in(ului, riscul cel mai mare este cel de tran"actie /$rauda0, intrucat sistemul de transmisie tele$onica este destul de vulnera#il la interceptari.

29empli$icam cateva tipiri mai noi de atacuriA sni$$ers /adulmecatori0 @ pro(rame de monitori"are care captea"a numele utili "atorilor si parolele atunci cand acestia intra pe sitte !ul #anciiB ( icitori de parole @ pro(rame care testea"a un numar mare de com#inatii posi#ile pentru a o#tine o intrare in reteaB $orta #ruta @ o te nica de a capta mesa(e codi$icate care apoi sunt citite cu ajutorul pro(ramelor de spar(ereB interceptia @ interceptarea de transmisii si apoi se incearca deducerea de in$ormatii. Pentru protectia sistemelor s !au inventat $ireCalls /"iduri de protectie0 o com#inatie de ardCare si so$tCare plasate intre do ua retele prin care tre#uie sa treaca inre(istrarea de date, precum si o (ama lar(a de elemente de securitate pentru riscuri speci$ice. Riscul de iata se mani$esta mai mult in "ona operatiunilor cu valori mo#iliare " Cresterea verti(inoasa a acestei piete si tran"actionarea on!line prin internet poate conduce la o volatili"are crescuta a valorilor mo#iliare si in consecinta la necesitatea unei lic iditati mai mari. An(ajarea #ancii in operatiuni de #ro=eraj prin internet pentru porto$oliu sau o e9punere la un risc sporit tre#uie anali"ate cu mult pro$esionalism. Ca si in ca"ul riscului de lic iditate, e$ectele operatiunilor on!line asupra volatilitatii pietei tre#uie monitori"ate, atat de #anci, cat si de autoritatile de suprave( ere. Riscul strate(ic apare in ca"ul incompati#ilitatii intre o#iectivele strate(ice, pe de o parte, si resursele si posi#ilitatile de indeplinire, pe de alta parte. Acest risc apare la introducerea de produse3servicii noi care in conditiile internetului poate produce sc im#ari su#stantiale intre $ortele concurente. De cele mai multe ori, #ancile din dorinta de a aparea pe piata cat mai repede nu e9perimentea"a su$icient produsul3serviciul sau implementarea /in special pre(atirea personalului0 nu este adecvata si pot aparea esecuri cu consecinte ne$avora#ile pentru numele #ancii si ca urmare pierderea de clientela. De aceea, tre#uie anali"at daca este oportuna o e9perti"a pentru a identi$ica, monitori"a si controla riscul si care .6 sa asi(ure ca o#iectivul poate $i indeplinit in concor danta cu celelalte scopuri ale #ancii si cu toleranta la risc. Prin natura sa, riscul strate(ic este mai (eneral si mai e9tins decat celelalte tipuri de risc, intrucat deci"iile mana(ementului pot avea implicatii asupra tuturor tipurilor de risc. 7 industrie, cum este internetul, poate aduce avantaje su#stantiale daca strate(ia si maniera de concepere si implementare a produsului3serviciului este adecvata. Riscul re utational este determinat de impactul ne(ativ al activitatii #ancii prin internet asupra opiniei pu#lice, ca urmare a unor servicii de calitate indoielnica, neasi(urarea con$identialitaii in$ormatiei despre clienti, promovarea cu usurinta a unor produse3servicii,

lipsa de raspuns la cerintele clientilor. Riscul reputational poate e9pune #anca la pierderea clientilor, reducerea veniturilor si c iar la liti(ii datorita nerespectarii an(ajamentelor pentru $acilitatile pre"entate pe site. 7peratiunile prin internet sporesc dependenta #ancii de partenerii care asi(ra suportul te nolo(ic, e9istand risc ul ca acestia sa nu!si mentina serviciile la un nivel constant inalt. De aceea, #anca tre#uie sa e$ectue"e controale care sa (estione"e si sa monitori"e"e acest risc si sa primeasca in$ormatii despre planurile tertilor de derulare a actvitatii. +n alt aspect important il constituie eventualele #rese in sistemul de securitate al site!lui #ancii, clientul putand sa constate (radul de soliditate al tran"actiilor e$ectaute de #anca prin internet. Pentru a se proteja impotriva acestor amenintari, #anca tre#uie s a de"volte si sa mentina standarde de per$ormanta ridicate, sa revi"uiasca si sa teste"e periodic solutiile de continuare a activitatii, precum si sa im#unatateasca permanent strate(iile de comunicare. )estionarea riscului o eratiunilor bancare rin inter net este un domeniu nou care necesita o anumita te nolo(ie #ancara de identi$icare, dimensionare, monitori"are si control a e9punerii la risc. In pre"ent e9ista o dilema privind ela#orarea unei te nolo(ii interne sau ale(erea unei te nolo(ii e9terne care s a $ie implementata de o $irma speciali"ata. 8ai mult, se conturea"a ideea ca intrea(a activitate de operatiuni #ancare prin internet sa $ie plasata la o $irma de specialitate /out!sourcin(0 in special de #ancile care nu dispun de in$rastructura necesara. Pentru (estionarea riscului opertiunilor #ancare prin internet, 2lectronic Ban=in( >roup de la Basel a recomandat #ancilor un set de 15 principii, ast$elA 1 Comitetul de Directie si administratorii trebuie sa organizeze supravegherea efectiva a riscurilor asociate activitatii on-line, inclusiv stabilirea de elemente specifice de contabilitate, politici si control. Ca urmare, este necesara revi"uirea strate(iei #ancii, in$iintarea unui serviciu de specialisti in suprave( era riscurilor in $unctie de vulnera #ilitatea retelelor si sensi#ilitatea in$ormatiei transmise. ) Comitetul de Directie si administratorii trebuie sa revizuiasca si sa aprobe aspectele-cheie ale controlului securitatii informatiei. Aceasta presupune sta#ilirea modului de autori"are, control lo(ic si $i"ic de acces si o in$rastructura de securitate adecvata. *otodata, vor tre#ui (estionate amenintarile e9terne prin anumite te nici, ca pro(rame anti ! virusi, pro(rame de detectare a intrarilor $rauduloase in retea si testarea (radului de penetr are a retelei interne si e9terne. - Comitetul de directie si administratorii trebuie sa stabileasca o politica de colaborare cu partenerii in oferirea serviciilor prin internet. 8ana(ementul

#ancii tre#uie sa evalue"e riscurile de parteneriat, sa e$ectue "e anali"e asupra competentei partenerilor si sa solicite e$ectuarea de audit intern si e9tern. 5 Banca va trebui sa ia masurile indicate pentru a autoriza si identifica clientii cu care efectueaza operatiuni prin internet. Banca tre#uie sa $oloseasca met ode si(ure de autenti$icare /PIN, parola, smart card si certi$icat di(ital0 si de autori"are a clientilor pentru reducerea riscului de $urt al identitatii, operatiuni $rauduloase de cont si spalari de #ani. 6 Bancile trebuie sa foloseasca metode de autent ificare a tranzactiilor care sa promoveze non-repudierea. Non!repudierea necesita crearea unei dove"i a ori(inii livrarii in$ormatiei electronice pentru a proteja e9peditorul impotriva $alsei ne(ari din partea .. emitentului. Cel mai cunoscut mijloc este acor darea certi$icatelor di(itale care impreuna cu semnatura di(itala permit identi$icarea in mod unic a emitentului. 6 Bancile trebuie sa asigure masurile indicate pentru separarea adecvata a sarcinilor intre sistemele de internet banking, bazele de date si aplicatii. 4epararea sarcinilor este o masura u"uala si da si(uranta ca tran"actiile sunt autori"ate, inre(istrate si suprave( eate in mod corect. . Bancile trebuie sa sigure controlul autorizarii si conditiile de acces. Pentru a sustine separarea sarcin ilor, #ancile tre#uie sa controle"e strict autori"area si conditiile de acces. % Bancile trebuie sa asigure integritatea datelor. Inte(ritatea datelor se re$era la $aptul ca atat datele stocate cat si cele in tran"it nu pot $i modi$icate $ara autori"atie. 9 Bancile trebuie sa asigure existenta reperelor pentru audit. Intrucat in$ormatiile sunt in $ormat electronic numai anumite repere sunt supuse auditului, caA desc ideri, modi$icari si inc ideri de contB tran"actii cu consecinte $inanciareB tran"actii pe ste limitaB acordare, modi$icare sau revocare a drepturilor de accesare a sistemului. 1, Bancile trebuie sa ia masurile necesare pentru a pastra confidentialitatea informatiilor. Bancile tre#uie sa se asi(ure ca toate inre(istrarile si in$ormatiile sunt a ccesi#ile numai celor autori"ati si ca toate datele con$identiale sunt protejate impotriva accesului neautori"at. 'olosirea eronata sau e9punerea neautori"ata de in$ormatii e9pune #anca atat la un risc le(islativ, cat si la unul reputational. 11 Bancile trebuie sa se asigure ca informatiile furnizate pe paginile lor de Web sunt adecvate in permiterea unor potentiali clienti sa isi formeze o opinie in privinta identitatii si statutului bancii.

1) Bancile trebuie sa ia masurile necesare pentru a asigura ada ptarea la regulile de confidentialitate aplicabile in jurisdictia in care ele ofera servicii prin internet. Bancile tre#uie sa depuna e$orturi pentru ajustarea politicilor de con$identialitate la normele juridice e9istente, pre"entarea politicilor clientil or sai, evitarea $olosirii in$ormatiilor private in scopuri nepermise sau neautori"ate. 1- Continuitatea in timp a activitatii. Banca tre#uie sa o$ere servicii pe un timp indelun(at si prev"i#il pentru client. In acest scop, capacitatea curenta si previ"iu nile tre#uie corelate cu dinamica pietei de comert electronic si a ratei viitoare de acceptare de catre clienti a serviciilor #ancare prin internet. 15 Bancile trebuie sa dezvolte planuri adecvate de gestiune a incidentelor pentru a ingradi si minimiza problemele care apar in mod neprevazut, inclusiv atacuri interne sau externe. Aceste actiuni se re$era la mecanisme de identi$icare a unui incident sau cri"a imediat ce a aparut, strate(ii de comunicare cu mass !media in ca"ul aparitiei unor atacuri sau #rese de securitate, procedura simpla de alertare a autoritatilor, procedura de in$ormare a clientilor si mass!media cu privire la eventualele pro#leme din sistem. 2lectronic Ban=in( >roup preci"ea"a ca aceste principii nu sunt de$initive, urmand sa $ie completate si im#unatatite, si nici o#li(atorii, ci au numai un caracter de recomandare pentru evitarea unor evenimente nedorite si intarirea increderii in internetul #ancar. SECURITATEA OPERATIUNILOR BANCARE PRIN INTERNET 4ecuritatea electronica este de$inita de unii e9perti ca ;acele politici, recomandari, procese si actiuni necesare minimi"arii riscului a$erent e$ectuarii tran"actiilor electronice, risc ce se re$era la #rese in sistem, intru"iuni sau $urt<, iar altii ca ;orice mijloc, te nica sau pro ces utili"at pentru a proteja volumul de in$ormatii al unui sistem<. Daloarea in$ormatiei se #a"ea"a pe inte(ritatea sa, iar in ca"ul in care sistemul de securitate nu permite indeplinirea .% acestei cerinte, in$ormatia isi pierde din semni$icatia sa. In aces t conte9t, specialistii Bancii 8ondiale considera ca securitatea este o modalitate de a adau(a valoare, devenind o preocupare majora a institutiei care tre#uie sa o implemente"e. 4istemul (lo#al de securitate al unei #anci tre#uie sa cuprinda elemente de politica, securitate, control, testare si dotare te nica. Banca 8ondia recomanda un sistem de securitate pentru operatiuni #ancare prin internet structurat pe 1) niveleA responsa#ilul cu securitatea, autenti$icarea, $ireCalls /(ranite de protectie0, $iltra rea activa a continutului, sistem de detectare a intru"iunilor, pro(rame anti !virus, criptare, testarea vulnera#ilitatii, administrarea

adecvata a sistemului, aplicatie de (estionare a politicii #ancii si planul de reactie la incidente. Aspectele c eie ale $unctionarii unui sistem de securitate suntA accesul, autenti$icarea, increderea, non!repudierea, con$identialitatea, disponi#ilitatea. In sistemele electronice de plati autentificarea si non-re udierea repre"inta etapele cele mai importante si de re(ula se $olosesc ec ipamente per$ormante de securitate. 8odalitatile cele mai cunoscute de autenti$icare si non !repudiere sunt urmatoareleA *arole si *IN-uri #*ersonal Identification Number$" Acestea sunt cele mai cunoscute dar si cele mai vulnera#ile din toa te te nicile individuale de autenti$icare. 2$icienta securitatii prin parola depinde de trei $actoriA 1. lun(imea si continutul parolei care depind de valoarea si sensi#ilitatea in$ormatiilor protejateB standardele privind compo"itia parolei prevad utili"are a de ci$re si sim#oluri, precum si litere al$a#etice mari si miciB ). con$identialitatea parolei se asi(ura prin criptarea acesteia si a $isierelor pe 1)% #iti in momentul stocarii sau transmiteriiB cele mai $recvente ca"uri de interceptie a parolei se reali "ea"a in urma studierii comportamentului utili"atorului si captarii acesteia in tran"itul prin diverse site !uri sau prin e9ploatarea vulnera#ilitatii serverului si o#tinerea $isierului cu paroleB -. sistemul de control al parolei @ cerintele minime pentru se curitate prevad urmatoarele metodeA restrictionarea optiunilor de acces automat, #locarea dupa trei incercari esuate, sta#ilirea unui interval de e9pirare a parolei, intreruperea cone9iunii cu clientul dupa o perioada de inactivitate, o$erirea de asistenta pentru selectarea parolelor comple9e, incorporarea unei metode multi !$actor pentru sistemele de mare valoare. Cu toatea ceste precautii, punctele sla#e ale parolelor sunt te nolo(ia si timpul, in sensul ca prin anumite pro(rame si procesoare de mare capa citate / 1 milion com#inatii3sec.0 se pot reali"a, intr!un interval de cateva luni, toate com#inatiile posi#ile si pot $i a$late parolele dorite. To+en si smart card" *o=en!ul este o metoda de autenti$icare #i !$actoriala #a"ata pe un cod personal si o parola sau un element #iometric, in$ormatii care sunt stocate intr !o memorie. *o=en!ul depo"itea"a aceste in$ormatii si ca urmare nu poate identi$ica decat parole statice. *o=en!ul care $oloseste te nolo(ia cip !urilor si care se aplica pe un card $ormea"a smart cardul. >radul de so$isticare a cip !urilor di$era dar acestea, oricat de per$ectionate, pot $i totusi penetrate. Pentru intarirea securitatii cardului, in cip se introduc si in$ormatii de

natura #ionica in ca"ul persoanelor $i"ice. Institutiile $inanciar e utili"ea"a to=en!uri (eneratoare de parole pentru a autenti$ica clientii comerciali in vederea accesului de la distanta a sitemului de operatiuni prin internet. In$rastructura de c eie pu#lica /PEI0 poate incorpora smart carduri care sa contina acreditar i ale utili"atorului si un certi$icat di(ital. Biometria" *e nicile de autenti$icare #iometrica pot acorda sau ne(a accesul la retele prin veri$icarea automata a identitatii persoanei $i"ice sau de comportament. Identi$icatorul #iometric este creat din surse ca $i(ura utili"atorului, (eometria palmei, voce, iris, retina, amprenta de(etului sau a mainii. 7data ;captat< un element #iometric este tradus, al(oritmic, intr!un sir comple9 de numere si stocat intr !o #a"a de date drept sa#lon. +lterior, sa#lonul e ste .9 comparat cu $iecare mostra #iometrica pre"entata de client pentru identi$icare. 8ostra se reali"ea"a cu ajutorul unui dispo"itiv de validare care sesi"ea"a cracterisricile $i"ice si transmite in$ormatiile la #a"a de date. Daca e9ista compati#ilitate in tre cele dou seturi de in$ormatii, veri$icarea identitatii este reali"ata. Pentru a se simpli$ica operatiunile, in$ormatiile #iometrice se pot introduce in cip !ul din smart card si se transmit odata cu in$ormatiile clasice @PIN, numar card, nume etc. Princ ipalele tipuri de dispo"itive #iometrice sunt urmatoareleA - ,canarea irisului" Recunoasterea #iometrica a irisului implica identi$icarea a )66 de trasaturi detecta#ile ale irisului care se convertesc intr !un cod di(ital Iris Code" Nu e9ista doua irisuri identice, nici la aceiasi persoana, nici la (emeni, ceea ce $ace ca (radul de personali"are sa $ie ma9im. In$ormatiile scanate se pot pastra timp indelun(at, deoarece irisul ramane nesc im#at pe toata durata vietii. Conclu"ia analistilor Bancii 8ondiale es te ca scanarea irisului poate deveni o masura importanta de securitate pentru an(ajatii institutiilor $inaciare care sunt responsa#ili cu trans$erurile de valori mari. - ,canarea am rentei" *e nolo(ia permite captarea ima(inilor de inalta calitate ale amprentei, in al#!ne(ru, care sunt procesate in vederea e9tra(erii anumitor in$ormatii si apoi trimise pentru sa#lon. Deci, nu toata amprenta se pastrea"a in #a"a de date ci numai o parte din in$ormatii. Amprentele sunt unice si permit identi$icarea precisa a persoanei utili"atoare. *e nolo(ia optica este cea mai des $olosita, de(etul $iind pus pe o placa de plastic, iar un dispo"itiv converteste ima(inea amprentei intr !un cod di(ital. *e nolo(iile mai noi sunt tot optice dar #a"ate pe silicon si te nolo(ii cu ultra sunete. Deose#it de scanarea amprentei de(etului, se mai $oloseste si scanarea mainii, atat partea $rontala cat si cea laterala ale palmei, lun(imea de(etelor, distanta dintre articulatii sau $orma acestora. Aceasta $orma se $oloseste pentru sistemele cu securitate joasa sau medie. De$ormarile care apar pe parcurs, in special la

persoanele in varsta sau la cele cu anumite maladii, ridica pro#leme in e9tinderea acestei $orme de autenti$icare. - Autentificarea vocala" *e nolo(ia se #a"ea"a pe calitati le distincte ale vocii $iecarei persoane. In aplicatiile de tele$onie, autenti$icarea vocii $unctionea"a prin tele$onul o#isnuit, in timp ce in aplicatiile PC este disponi#ila o paleta lar(a de com#inatii intre micro$oane si placi de sunet compati#ile cu o rice computer. De"avantajul este ca e9ista posi#ilitatea inre(istrarii in preala#il a vocii unui su#iect si a reluarii ulterioare a inre(istrarii, ajun(andu !se la $alsa acceptare a unui in$ractor intr !o retea sau intr!un sistem de conturi al unei #anci. Pentru diminuarea acestui risc tre#uie de"voltate o serie de metode de identi$icare e9acta a utili"atorilor, una dintre acestea $iind solicitarea sa !si con$irme identitatea prin rostirea unor secvente numerice aleatoare. - ,canarea semnaturii" Pentru determinarea manierei in care o persoana semnea"a, te nolo(ia e9aminea"a vite"a, presiunea si alti $actori relativi la e$ectuarea semnaturii. Biometria unei semnaturi manuale nu se #a"ea"a doar pe $orma semnaturii, ci si pe dinamica acesteia. 4emnatura e captata odata cu elementele temporale @ vite"a, acceleratie, presiune si anumite sa#loane ! spre e9emplu se poate determina daca punctul pe ;i< a $ost pus ls s$arsitul semnaturii sau pe parcurs. 8ajoritatea rau !voitorilor au acces doar la $orma $i"ica a semnaturii (asind $ie o c itanta, $ie un card pierdut. 2i nu pot copia intensitatea $olosita in timpul e$ectuarii semnaturii si nici vite"a, am#ele sc im#andu !se in timpul procesului de semnare. Acest tip de scanare este $oarte util in sistemul #ancar unde se ve ic ulea"a multe documente si de valori importante. *e nolo(ia pentru scanarea semnaturii este compara#ila, din punct de vedere al acuratetei, cu cea $olosita la scanarea retinei sau a amprentelor. 2*AP2&2 +N2I P&A*I PRIN IN*2RN2*A 1 Cumparatorul o#tine de la #anca lui un card virtual incarcat cu o anumita suma de #ani ) Cumparatorul /posesorul de card virtual0 accesea"a site !ul ma(a"inului virtual care accepta plata prin card si apoi ale(e produsul - Cumparatorul lansea"a comanda si completea"a in$ormatiile privitoare la card 5 Comerciantul transmite #ancii lui in$ormatiile privitoare la card si tran"actie 6 Banca comerciantului autenti$ica mesajul si transmite in$ormatiile prin sistemul DI4A #ancii emitente a cardului 6 Banca emitenta validea"a mesajul s i il retransmite prin sistemul DI4A #ancii #ene$iciarului /comerciantului0 . Comerciantul primeste mesajul de autori"are si poate eli#era mar$a

% *ransmiterea $isierului cu tran"actiile 9 *rans$erul $ondurilor.