Home page

SecurComp srl

Traccia di check list per il controllo del livello di sicurezza delle dipendenze bancarie, con o senza caveau

Sommario

© Adalberto Biasiotti - 1995 - revisione 02 1997

- Trattasi di un elenco di natura generale; può darsi che qualche area di valutazione non sia direttamente applicabile, oppure che aree specifiche non vengano evidenziate, perchè di rilevanza affatto atipica. Resta pertanto affidato all'esperienza ed al buon senso comune dell'Ispettore l'evidenziare eventuali rischi specifici.

- Ho attribuito un punteggio di rilevanza delle aree esaminate, che può essere moltiplicato per il giudizio di qualità affidato all'Ispettore. La scala dei giudizi segue il metodo di Likert (scala pari), per ottenere una valutazione più carica di significato.

Una classificazione di qualità minima richiede almeno quattro classi (insufficiente, appena sufficiente, soddisfacente, ottimo), con moltiplicatore rispettivo

0,1; 0,6; 1; 1,2.

La scelta del moltiplicatore deriva non solo dal desiderio di evidenziare debolezze, ma anche di non premiare oltre misura ottime misure di difesa. E' infatti meglio disporre di molte difese armonizzate, anche se non di eccelso livello, che di poche ottime difese, con grandi aree di scopertura.

Poiché non tutte le aree sono applicabili, per ottenere il punteggio complessivo dell'insediamento il punteggio globale andrà rapportato a 100 (moltiplicare il totale del punteggio per 100 e dividere per il numero delle domande, cui si è data risposta).

Se il numero delle domande cui si da risposta è troppo scarso, è evidente che il criterio di valutazione è inapplicabile ed è opportuna una indagine approfondita sulle domande prive di risposta.

- Il questionario è articolato in due grandi parti ed in altre suddivisioni.

La prima parte corrisponde ad una valutazione oggettiva della presenza o meno di determinati sistemi di difesa, senza entrare nel merito della qualità e della efficienza dei sistemi stessi. Si chiede, ad esempio, se esiste una bussola blindata con rivelatore di metalli, senza entrare nel merito del fatto che il rivelatore sia tarato in modo appropriato.

Nella seconda parte, per contro, si valuta il modo in cui la difesa è gestita ed il livello di preparazione degli addetti. Ad esempio, un conto è constatare che esiste un impianto di difesa antintrusione ed un conto è la verifica della esistenza di un contratto di manutenzione o la conoscenza delle modalità di inserzione e gestione. Questa differenziazione si è resa necessaria, perchè l'esperienza ha mostrato che spesso purtroppo alcuni Istituti si cullano in una falsa sicurezza, dovuta al sapere che esiste una difesa, ma la cui gestione è lacunosa, vanificandone in pratica l'efficacia.

- La valutazione qualitativa va condotta secondo l’esperienza dell’Ispettore e secondo gli indirizzi forniti in occasione dell'eventuale incontro di presentazione di questo documento.

Ove la risposta sia univoca (esiste un impianto antintrusione?), alla risposta va attribuito il punteggio massimo.

- La valutazione deve procedere dall'esterno all'interno. Per una valutazione realmente incisiva, ritengo opportuno che l'Ispettore giunga sul posto prima dell'orario di apertura, per osservare con discrezione le modalità di apertura messe in pratica dai dipendenti (rischio di imboscata). Lo stesso vale per le operazioni di chiusura, che però verranno evidentemente influenzate dalla sua presenza.

- Questo documento rappresenta un punto di partenza, non di arrivo, ed è auspicabile che gli Ispettori e gli addetti alla sicurezza lo mantengano aggiornato. Dovrà essere pertanto caldamente raccomandato un contributo attivo e costruttivo da parte di tutti gli interessati (anch'io farò la mia parte con edizioni successivamente migliorate!).

- Ricordo, infine, che molte valutazioni vanno espresse in funzione dell'esistenza di specifiche disposizioni operative della banca, perchè nella sicurezza bancaria è forse ammessa l'ignoranza o la scarsa sensibilità del dipendente bancario, ma non è ammesso il mancato rispetto o la ignoranza di precise e chiare disposizioni.

Ove la insufficienza del punteggio sia da attribuire alla mancanza di disposizioni in merito, l'Ispettore dovrà ripetere la ispezione ad appropriata distanza di tempo, mettendo nel frattempo in evidenza le lacune sistemistiche, procedurali ed organizzative riscontrate ed indicando un tempo limite per la correzione.

Rilievo delle difese antifurto esistenti

1. L'accesso all'insediamento è protetto da porte blindate o da altre chiusure di sicurezza, poste su tutte le vie di possibile penetrazione, incluse le finestre (grate, serrande, ecc.)?
2. Esiste un sistema di protezione antintrusione, in grado di rivelare tentativi di effrazione notturni od impedire i movimenti di malintenzionati, che siano riusciti a farsi richiudere od a penetrare in un ambiente qualsiasi dell'insediamento?
3. Esiste un sistema di protezione antieffrazione del caveau, in grado di proteggere tutta la zona circostante e le pareti in muratura?
4. Esiste un rilevatore di effrazione sulla cassa continua e/o sul Cash Dispenser od altro dispositivo automatico, contenente valori?
5. In caso di attivazione dell'impianto di allarme, esistono altri mezzi, oltre la sirena, per far giungere l'allarme alle forze dell'ordine?
6. I mezzi forti (Porta forte del caveau, cassa continua, Cash Dispenser, cassaforte di agenzia) sono dotati di Timelock?

1. Il server di dipendenza è esposto a rischi di origine naturale, come allagamenti, smottamenti e simili?
2. Il server è soggetto ad infiltrazioni di acqua dai piani superiori (tubazioni con acque chiare o scure)?
3. Il server è ubicato in locali chiusi a chiave, ed isolati nottetempo, se non presidiati?
4. Esiste un filtro per l'accesso al server (ad esempio una porta con serratura)?
5. L'alimentazione elettrica al server è assicurata da un gruppo di continuità?
6. Il server è protetto da un impianto di rivelazione incendi, sempre in funzione?
7. L'accesso ai dati ed ai programmi è basato su un sistema di controllo accessi, ad esempio basato su parole chiave (password)?
8. Vengono realizzate automaticamente e/o regolarmente delle copie di back up di dati e programmi?
9. Le copie di back up vengono conservate in altro insediamento in modo sicuro?
10. Esiste una procedura di gestione delle squadrature contabili, che permette di chiudere la contabilità elettronica, al termine della giornata di negoziazione?
11. Esiste e veine rispettata una procedura per la distruzione degli stampati obsoleti e contenenti dati riservati?

1. Verificare che tutte le finestre e porte, che possono rappresentare un rischio per la sicurezza, siano rifermate dall'interno (si potrebbe introdurre una pistola da un vasistas socchiuso). Verificare in particolare le finestre dei gabinetti; verificare che le condizioni di manutenzione e funzionamento di serrande avvolgibili; verificare la condizione delle grate metalliche fisse.
2. Verificare l'esistenza di difese antisfondamento ed il rispetto di specifiche disposizioni in merito (ad esempio la raccomandazione che i dipendenti parcheggino la loro vettura davanti alle vetrine, a protezione delle stesse).
3. Se è previsto il presidio di una guardia particolare giurata, verificare l'ora del suo arrivo e confrontarla con l'orario eventualmente stabilito. Verificare anche l'esistenza di un regolare contratto con la indicazione delle modalità di resa del servizio.
4. Osservare attentamente il comportamento della guardia giurata durante il giorno, e confrontare le proprie valutazioni con quelle richieste al responsabile dell'insediamento, onde accertare il suo grado di sensibilità al problema specifico.
5. Verificare che tutte le aperture potenzialmente a rischio siano protette e, se no, verificare quali iniziative ha preso in merito il responsabile dell'insediamento.
6. Controllare lo stato di cerniere, serrature, catenacci lucchetti di ogni tipo, sul perimetro dell'agenzia. Dovranno essere tutti in buono stato, senza segni di ruggine e senza segni apparenti di sollecitazione anormale (indici di scarsa manutenzione e di tentativi di forzamento non rilevati in precedenza).
7. Verificare che tutti i dipendenti entrino ed escano attraverso i varchi autorizzati, rispettando le procedure di sicurezza anti imboscata e che nessuno utilizzi varchi non sufficientemente protetti e/o non autorizzati.

1. Verificare il corretto funzionamento della porta, in particolare accertarsi che il chiudiporta funzioni con dolcezza e con sicurezza.
2. Verificare il funzionamento di tutti gli interblocchi tra le porte.
3. Verificate con gli appositi strumenti di prova la taratura del rilevatore di metalli (N.B. Usare un test go-no go per verificare la correttezza della taratura).
4. Verificare le condizioni della cassettiera e dei porta ombrelli (tutte le chiavi presenti e funzionanti).
5. Intervistare uno o più dipendenti addetti alla gestione dell'ingresso, verificando la loro preparazione in merito al comportamento da tenere in caso di:
   • richiesta d'ingresso di persona in uniforme delle Forze dell'Ordine, che fa scattare il rivelatore di metalli;
   • richiesta d'ingresso di persona con stampelle od altri palesi oggetti metallici;
   • richiesta d'ingresso di persona che fa mostra di non capire la lingua italiana.
6. Verificare il funzionamento della porta di emergenza (sbarra antipanico ed eventuali chiavi di sicurezza).

1. Verificare il corretto funzionamento del lettore di tessera, sulla porta, e delle segnalazioni ottiche.
2. Verificare lo stato di pulizia dell'ambiente.
3. Verificare le condizioni di leggibilità del monitor dell'ATM (polvere che si accumula sotto lo schermo produttivo), le condizioni della tastiera e l'apparenza generale del dispositivo (eventuali segni di attacchi vandalici).
4. Verificare il regolare funzionamento della Cassa Continua, l'apparenza generale del dispositivo (segni di atti vandalici).
5. Verificare come sopra eventuali altri apparati self service presenti.

1. Verificare la buona visibilità di ogni angolo della sala, dai posti operativi e l'assenza di pannelli, mobili od altri ostacoli, onde evitare che qualcuno si possa celare dietro.
2. Verificare il funzionamento e le condizioni di manutenzione della separazione tra aree pubbliche ed aree impiegati.
3. Verificare la possibilità di osservazione dei movimenti dei dipendenti da e per la cassaforte, da parte di persone che stazionino in sala di negoziazione.
4. Verificare le modalità di conservazione di titoli di qualsiasi tipo e di contanti (sui tavoli, in cassetti aperti), visibili dalla sala.
5. Verificare la possibilità di fuga dei rapinatori da uscite secondarie, visibili dalla sala di negoziazione o facilmente osservabili dall'esterno.
6. Verificare il posizionamento delle telecamere, che non devono poter essere riorientate e coperte da malintenzionati.

1. Verificare dall'interno la chiusura di tutte le aperture a rischio.
2. Verificare le modalità di conservazione di titoli di qualsiasi tipo e di contanti (sui tavoli, in cassetti aperti), non visibili dalla sala, ma visibili da visitatori che abbiano accesso al back office.
3. Verificare l'isolamento acustico delle aree destinate alla negoziazione riservate.
4. Verificare che nessuna chiave di porta od ambiente uso archivio sia legata alla sua copia ed infilata nella toppa.
5. Verificare che i gabinetti siano chiudibili dall'interno solo con catenaccio e non con chiavi (rischio di segregazione).

1. Verificare l'esistenza del manuale di istruzione, verificare che i dipendenti incaricati conoscano bene la manovra del centralino (ad esempio indicare un segnalatore ottico od un tasto e chiedere che funzioni il svolge).
2. Verificare che il responsabile dell'insediamento disponga di copia del contratto di manutenzione, che abbia copia delle bolle di intervento (chiedere di esaminare le ultime due bolle) e che conosca a perfezione la ubicazione di tutti i sensori ed i circuiti di allarme (ad esempio, per quanto tempo resta in funzione la sirena?). Se l'allarme è inviato su selezionatore telefonico, chiedere quali numeri sono impostati.
3. Effettuare una prova di funzionamento dell'impianto antirapina antintrusione (opzione).
4. Verificare che i dipendenti conoscano l'ubicazione dei pulsanti antirapina (attenzione: almeno uno deve essere nell'ufficio del direttore).
5. Verificare che tutti i dipendenti abbiano ad immediata portata di mano il questionario di riconoscimento di persone sospette e sappiano come comportarsi in caso di pericolo.
6. In caso di ronda notturna, verificare che il responsabile dell'insediamento effettui un controllo sulla ronda (ritiro bigliettino e controllo di orologio punzonatore).
7. Verificare che il responsabile sappia leggere correttamente le indicazioni dell'orologio timbratore e che i dischi siano archiviati in modo ordinato.
8. Verificare che il responsabile allestisca "trappole" atte a controllare la efficacia della ronda notturna e mattutina, se prevista (scatoloni in mezzo al corridoio, lampade svitate, pezzi di nastro adesivo sulle porte, ecc.).
9. Verificare la completezza della copertura delle aree di rischio, riprese dalle telecamere dell'impianto TVCC
10. Verificare la qualità dell'immagine dell'impianto TVCC (se non si riconosce nessuno, non serve a nulla!) sia in osservazione diretta che in osservazione di riprese precedenti (qualità della registrazione - mettersi nei panni di un poliziotto che debba cercare di identificare dei malviventi).
11. Verificare le modalità di conservazione dei nastri nei 15 giorni precedenti (disposizioni antirapina dell'ANIE).

1. Verificare la temporizzazione impostata sulle casseforti antirapina di ogni singola cassa.
2. Verificare la temporizzazione impostata su altri mezzi forti.
3. Verificare le condizioni in cui viene tenuta la cassaforte, durante la normale attività di negoziazione (tesoretto racchiuso a chiave? Sportello chiuso a chiave, ma non combinazione?).
4. Verificare le condizioni della chiave o delle chiavi (denti piegati e/o usurati).
5. Verificare come vengono custodite le chiavi durante la negoziazione.
6. Verificare come vengono custodite le chiavi alla fine della giornata di negoziazione.
7. Verificare la esistenza e la chiara leggibilità degli adesivi che mettono in guardia sulla presenza di dispositivi a tempo (all'ingresso, sui posti di lavoro, su ogni singola cassa continua).
8. Nel caso di uso di serratura a chiavi cambiabili verificare da quanto tempo sono state cambiate le chiavi.
9. Nel caso di uso di serratura a combinazione verificare da quanto tempo sono stati cambiati i codici.

1. Verificare che durante la negoziazione la porta forte sia aperta, i catenacci espansi, le chiavi asportate, coem misura anti segregazione.
2. Verificare che il cancelletto sia sempre tenuto chiuso a chiave.
3. Verificare l'esistenza ed il rispetto delle procedure di accesso per i clienti.
4. Verificare il rispetto delle procedure di accesso per i dipendenti.
5. Verificare, all'interno del caveau, che le cassette utilizzate come deposito per i cassieri e di valori della banca non siano riconoscibili da particolari segni di usura (se del caso cambiare le cassette a rotazione).
6. Far chiudere la porta forte in propria presenza e far riaprire utilizzando la sola combinazione, per verificare che il responsabile dell'insediamento non l'abbia scritta su un pezzo di carta, ma la ricordi a memoria.
7. Si accerti che il Timelock venga sempre caricato da due persone diverse (vale per tutti i Timelock).
8. Verificare che i dipendenti, nella scelta della combinazione, abbiano seguito le raccomandazioni impartite onde evitare sequenze omogenee ecc.
9. Verificare da quanto tempo è stata cambiata la combinazione dei mezzi forti.
10. Ove il tesoro banca ed il caveau siano separati, verificare gli orari di chiusura del secondo (in genere, appena possibile).

1. Verificare l'esistenza, il grado di conoscenza ed il rispetto delle modalità impartite dalla direzione, attinenti la gestione del contante.
2. Verificare se la giacenza nei cassetti di pronto impiego supera il limite stabilito, anche in relazione alla specifica giornata di negoziazione, in cui si svolge l’ispezione.
3. Verificare se la giacenza nel ripostiglio ad accesso temporizzato della cassaforte antirapina supera il limite stabilito, anche in relazione alla specifica giornata di negoziazione, in cui si svolge l’ispezione.
4. Verificare se la giacenza nel Bancomat supera l'importo ragionevolmente necessario fino alla prossima ricarica

1. Verificare il numero e la distribuzione degli estintori. Verificare l'aggiornamento del controllo (ogni 6 mesi). Verificare se i dipendenti conoscono le modalità di uso e sanno indicare dove si trovano gli estintori. Verificare che siano al posto giusto (e non usati come fermaporta).
2. Verificare che non vi siano accumuli di materiali infiammabili nel sottoscala o in ripostigli (cartoni, fogli di plastica, detriti in genere).
3. Verificare che vi sia una cassetta di pronto soccorso, che i dipendenti sappiano dov'è e che i presidi sanitari siano completi.

1. Verificare che il responsabile dell'insediamento abbia sottomano tutti i numeri telefonici di emergenza (PS, CC, VV FF, Pronto Soccorso).
2. Verificare che il responsabile dell'insediamento conosca il nome dei responsabili delle Forze dell'Ordine ed abbia con esso dimestichezza diretta (chiedere quando l'ha incontrato l'ultima volta).
3. Verificare che il responsabile dell'insediamento conosce il cronista del giornale locale e quali sono i suoi rapporti con lui (può "ammorbidire" i servizi giornalistici in caso di atto criminoso).
4. Verificare che il responsabile dell'insediamento abbia concordato con le Forze dell'Ordine un piano di intervento, in caso di aggressione (ha consegnato le piantine dell'insediamento? Ha già indicato quali sono le vie di fuga?).
5. Verificare che il responsabile dell'insediamento abbia concordato con le Forze dell'Ordine una parola d'ordine, in caso debba essere costretto a parlare sotto coercizione.
6. Verificare il grado di conoscenza del responsabile dell'insediamento nei confronti delle difese delle agenzie bancarie sulla piazza e verificare il tipo di rapporto che egli ha con i direttori, per quanto riguarda la sicurezza (includere anche il Direttore dell'Ufficio Postale).

1. Chiedere ad un paio di dipendenti da quanto tempo hanno cambiato le parole chiave loro assegnate e se hanno ricevuto istruzioni su come sceglierle.
2. Chiedere ad un dipendente qualsiasi di indicare l'ubicazione di un estintore, se ha mai avuto occasione di usarlo e se no, se ritiene di esser capace di usarlo, in caso di necessità.
3. Verificare se esiste un regolare contratto di manutenzione per i sistemi di prevenzione incendio e di sicurezza del server, e chiedere quando è stata fatta l'ultima ispezione.
4. Chiedere quando è stata fatta l'ultima copia completa di back up dei dati e dei programmi del server.
5. Chiedere quando è stata compiuta l'ultima distruzione di documenti obsoleti e riservati.

1. Verificare che almeno il responsabile dell'insediamento conosca le modalità di comportamento in caso di ricezione di telefonate minatorie (minacce di bombe) o estorsive.

   coeff x9	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

2. Verificare che i dipendenti conoscano le modalità di trasporto dei valori sia a piedi che in vettura normale.

   coeff x8	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

3. Verificare l'esistenza, ed il rispetto di procedure specifiche durante la fase di movimentazione dei valori in proprio o a mezzi di servizio di istituti di vigilanza.

   coeff x8	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

4. Verificare le modalità di accesso del personale addetto alle pulizie, se esso accede fuori dell'orario di lavoro.

   coeff x6	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

5. Esaminare l'ubicazione dell'archivio e le modalità di controllo dell'accesso.

   coeff x5	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

6. Chiedere se esiste un funzionario, individuato come responsabile della sicurezza e chiedere quando è stata fatta l'ultima riunione, in cui sono stati affrontati temi di sicurezza.

   coeff x7	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo

7. Chiedere se i dipendenti hanno ricevuto specifiche istruzioni di comportamento in caso di rapina o minacce, e verificare se ciò è avvenuto per iscritto od a voce.

   coeff x8	0,1	0,6	1	1,2	totale
   valutazione	insufficiente	appena suff.	soddisfacente	ottimo