Focus sulla Cybersecurity. Momento delicato per il settore finanziario, che attraversa una fase di tumultuoso sviluppo, sospinto dalla digitalizzazione. Clientela più evoluta, nuovi servizi e strumenti, ricerca di maggiore efficienza sono gli asset sui quali si costruisce il futuro.
Ma la tecnologia porta con sé anche nuovi rischi, mentre ne riaffiorano altri già noti: quelli di credito, Mercato e liquidità aumentano. Acquistano poi rilievo temi legati all’esternalizzazione di servizi informatici critici, tanto a livello di singolo intermediario quanto di sistema.
E le minacce inedite? L’aumento della superficie di attacco per le violazioni della privacy e per la pirateria informatica è rilevante. Aspetti un tempo catalogati come operativi, oggi più che mai strategici.
«Nel continuo monitoraggio che svolgiamo, gli incidenti gravi segnalati dagli operatori finanziari sono passati dai circa 50 del 2020 ai poco più di 100 del 2023. L’attenzione delle autorità è alta», dice Alessandra Perrazzelli, Membro del Direttorio e Vice Direttrice Generale della Banca d’Italia.
Quali sono le sfide legate alla tutela dei dati personali e della cybersecurity in generale?
«Le banche trattano un’enorme quantità di informazioni sensibili relative ai propri clienti. Garantirne la sicurezza è essenziale, non solo per rispettare le normative vigenti. Ma anche per preservare la fiducia dei clienti e l’integrità del sistema. Considerazioni analoghe valgono per il settore assicurativo, si pensi ai dati sanitari. Nel settore finanziario sono previste regole specifiche in materia di accesso ai dati, abilitazioni ai sistemi informativi e controlli interni. Che si affiancano al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla disciplina applicativa nazionale.
Ma la protezione dei dati non è solo una questione di conformità normativa. In un contesto in cui le modalità di accesso illegale alle informazioni e la loro diffusione sono sempre più sofisticate – come testimoniato anche dalla cronaca recente – le istituzioni finanziarie devono adottare un approccio proattivo. Migliorando costantemente le proprie pratiche di sicurezza informatica e continuando a investire in tecnologie e formazione. È un tema centrale anche per la Banca d’Italia, che adotta misure organizzative, tecniche e di controllo per mantenere un livello molto elevato di sicurezza informatica. L’azione di consulenza e di sorveglianza del Responsabile della Protezione dei Dati accompagna la progressiva transizione digitale dei processi dell’Istituto».
Qual è la panoramica delle priorità e delle iniziative che avete messo in piedi nel campo della cybersecurity e della privacy?
«La Banca d’Italia è impegnata ad accrescere la capacità del sistema finanziario di affrontare i rischi connessi con la cyber-sicurezza, anche in considerazione delle criticità nel contesto geopolitico. La sicurezza cibernetica e la continuità operativa del settore sono precondizioni indispensabili per i nostri obiettivi, quali la sana e prudente gestione degli intermediari, l’efficienza e l’affidabilità dei sistemi di pagamento, la tutela degli utenti. Questi rischi sono presidiati attraverso una serie di azioni contenute nella pianificazione strategica della Banca».
Di che tipo di interventi si tratta?
«Da un lato, sono fondamentali le misure difensive che ciascun operatore pone in essere, adeguando strategie, assetti di governo, investimenti e processi. Dall’altro, le Autorità sono impegnate ad adeguare ai nuovi rischi le regole di settore e le metodologie di controllo, data la centralità della sicurezza dei servizi e delle infrastrutture. Un terzo piano di azione è la collaborazione tra le diverse autorità di settore, l’Agenzia per la cyber-sicurezza nazionale e le forze dell’ordine. Cui si affianca la cooperazione pubblico-privato attraverso il CERTFin – co-presieduto da Banca d’Italia e ABI – la sede in cui le autorità e una settantina di operatori finanziari lavorano insieme per individuare buone prassi in tema di cyber-sicurezza. Vi è infine la componente legata all’accrescimento delle competenze economico-finanziarie dei cittadini. Elemento molto importante per aumentare la sicurezza del sistema finanziario e, in ultima analisi, la protezione del risparmio».
Minacce crescenti e cyber-rischi: quali sono i tipi di attacchi più preoccupanti?
«La maggiore preoccupazione riguarda gli attacchi di tipo ransomware (da ransom, “riscatto”, ndr), per gli effetti dirompenti che possono avere sui singoli operatori e sull’intero sistema finanziario. Tra gli attacchi rilevati più di frequente, ma con impatto più limitato. Vi sono poi quelli alla disponibilità di servizi offerti alla clientela. Come accennato in precedenza, non meno importanti sono i rischi connessi alla catena di fornitura di servizi tecnologici e, più in generale, alla sicurezza delle terze parti».
Come si affrontano questi attacchi informatici e si alimenta la cybersecurity?
«In primo luogo, attraverso regole più robuste. La principale novità è il Digital Operation Resilience Act (DORA), che da gennaio 2025 disciplinerà la resilienza operativa digitale nel settore finanziario, prevedendo regole armonizzate per la gestione del rischio informatico, per la segnalazione degli incidenti e la gestione del rischio di terza parte. Il DORA introduce anche un quadro di sorveglianza diretta sui fornitori di servizi informatici considerati critici per il sistema, assegnando nuove responsabilità alle autorità europee (EBA, ESMA ed EIOPA) con il contributo di quelle nazionali, di fatto ampliandone il raggio di intervento.
Alla nuova regolamentazione si affianca il rafforzamento della supervisione, come la verifica dell’efficacia dei controlli di sicurezza informatica e la valutazione del livello di preparazione degli intermediari: tra questi occorre citare le prove di stress sulla resilienza cibernetica svolte quest’anno dalla BCE su 109 intermediari europei con la collaborazione delle autorità nazionali, per testare la capacità di risposta e ripresa nel caso di eventi avversi. Una strategia e strumenti di supervisione specifici sono applicati dalle Banche Centrali europee per valutare la resilienza cibernetica delle infrastrutture finanziarie e dei sistemi di pagamento.
Tra gli strumenti più innovativi ci sono i test di penetrazione basati sull’analisi della minaccia, che in base al DORA saranno obbligatori per i maggiori intermediari. Simulano tentativi realistici di intrusione da parte di attori della minaccia (Threat Led Penetration Test, TLPT). Sono poi importanti le esercitazioni di sistema, che svolgiamo periodicamente per testare le capacità di coordinamento, di comunicazione e di risposta del settore finanziario, anche in ambito internazionale.
È fondamentale, infine, il dialogo con il mercato. Oltre al già citato CERTFin, la Banca d’Italia favorisce la cooperazione in campo cibernetico con diversi attori istituzionali, attraverso il proprio Computer Emergency Response Team (CERT-BI). Nell’ambito della cooperazione abbiamo promosso campagne informative per il pubblico – come “I navigati informati e sicuri” – e per le imprese (CYBERSICURI, Impresa possibile)».
Cybersecurity: in che modo le nuove tecnologie vengono impiegate per la sicurezza e quali benefici e sfide comportano?
«Le nuove tecnologie offrono opportunità per rafforzare la sicurezza cibernetica del sistema finanziario, ma se non ben governate potrebbero produrre effetti indesiderati, o addirittura aumentare l’esposizione al rischio. L’intelligenza artificiale, per esempio, può potenziare le capacità di prevenzione e risposta agli attacchi cyber e alle frodi informatiche – sia migliorando le analisi predittive delle minacce, sia attraverso il rilevamento e la risposta automatica – fino all’esecuzione di controlli e azioni correttive senza il bisogno dell’intervento umano.
Anche il Quantum Computing, sebbene rappresenti una potenziale minaccia per la possibile capacità di violare gli algoritmi crittografici, può consentire di migliorare i processi di risk management e rendere più sicure le comunicazioni grazie alla crittografia post-quantistica. In una prospettiva di supervisione, occorre prendere in considerazione il trade-off tra opportunità e rischi che l’adozione di queste tecnologie comporta in termini di sicurezza cibernetica, valutando i rischi specifici delle singole tecnologie innovative.
Per esempio, l’utilizzo dell’AI nei sistemi di difesa deve tenere conto della possibilità di attacchi e incidenti operativi ai componenti stessi di questa tecnologia e della complessità nell’interpretare e utilizzare correttamente i risultati che essa produce».
Quali sono gli investimenti e le innovazioni future relative al tema della cybersecurity?
«Gli intermediari effettuano già da anni investimenti rilevanti per la sicurezza informatica, a presidio delle proprie infrastrutture. Risorse crescenti sono dedicate alle iniziative di consapevolizzazione interna e degli utenti. Gli investimenti sono indirizzati anche alla realizzazione di servizi basati su tecnologie innovative. Come l’AI in chiave difensiva e l’acquisizione di servizi per lo svolgimento dei citati test di penetrazione avanzati basati sulla minaccia.
Le risorse destinate al Quantum Computing sono invece ancora relativamente limitate, circoscritte a pochi grandi gruppi e concentrate nelle attività di ottimizzazione dei processi di tipo finanziario e nell’analisi dei profili di sicurezza della crittografia post-quantistica. In questo ultimo campo è necessario investire tanto sulla conoscenza del sistema quanto sulla predisposizione di una roadmap di migrazione a sistemi “quantum safe”. A partire dai soggetti a rilevanza sistemica e dalle infrastrutture critiche.
Questi investimenti potrebbero beneficiare delle sperimentazioni condotte nelle sedi di cooperazione tra soggetti pubblici e privati. Gli investimenti in tecnologia da soli non sono tuttavia sufficienti; l’altro fattore chiave è il reclutamento di personale specializzato. Trattandosi di risorse scarse, occorre sviluppare forme nuove di collaborazione all’interno del sistema, con l’Accademia e con i centri di competenza. In un’ottica di sinergia a livello di settore e Paese».
Crede che la più larga diffusione delle tecnologie AI abbia portato più vantaggi agli hacker o alla cybersecurity?
«L’AI può essere sfruttata tanto sul fronte difensivo quanto su quello offensivo; tanto i team di sicurezza informatica quanto gli hacker utilizzano strategicamente questa tecnologia, creando una competizione che evolve di continuo. Con l’AI è possibile perpetrare truffe e attacchi informatici sempre più sofisticati: si pensi al social engineering, ai deepfake o all’automatizzazione di attività di attacco.
Ma anche escludendo il dolo, per qualunque processo basato sull’AI, la cyber-sicurezza è una pre-condizione necessaria a garantire il corretto funzionamento dei relativi sistemi. Spinte al rafforzamento della cybersecurity possono derivare anche dall’utilizzo dell’AI generativa. Per esempio tramite i modelli di apprendimento automatico, utili per prevedere, rilevare e contrastare le minacce informatiche. L’utilizzo di queste tecnologie nel settore bancario è tuttavia ancora alle prime fasi di diffusione.
Il loro sviluppo richiederà agli operatori del settore finanziario un approccio responsabile, nel rispetto delle regole contenute nell’AI Act entrato in vigore a giugno scorso. E di quelle complementari in via di definizione a livello nazionale, per realizzare adeguati processi di governance, di attuazione, utilizzo e controllo di tali tecnologie». ©
Articolo tratto dal numero del 15 novembre 2024 de Il Bollettino. Abbonati!
📸 credits: Unsplash, Pixabay, Banca d’Italia