Finora le prassi delle banche e degli attori finanziari non hanno seguito schemi comuni sulla cybersicurezza e, per quanto generalmente buone, non esistono standard veri e propri per tutelare la un settore altamente sensibile agli attacchi dei criminali. Da questo gennaio, le cose cambiano: diventa vincolante, infatti, il regolamento DORA (Digital Operational Resilience Act), la normativa che impone regole uniformi a livello europeo per garantire la cyber resilienza delle entità finanziarie. Ma attualmente com’è messa la sicurezza informatica delle banche?
L’estate scorsa la Bce ha completato il suo primo stress test sulla cyber resilienza degli istituti, ma i risultati saranno pubblicati solo con i dati SREP 2024. Per il momento, si sa solo che le banche che hanno mostrato mancanze stanno già lavorando per colmarle. Di sicuro, l’urgenza per farlo c’è tutta. Secondo i dati pubblicati da Kroll, una società di consulenza specializzata in gestione dei rischi, il settore finanziario è diventato il primo bersaglio dei cyber attacchi, con una quota del 27% sul totale delle violazioni gestite dalla società. Nella media globale del 2024, ogni data breach costa 4,88 milioni di dollari, per superare i 6 milioni nel caso di violazioni nel settore finanziario. “Anche grandi player internazionali sono stati vittime di attacchi informatici”, racconta a We Wealth il Ceo di Excellence Consulting, Maurizio Primanni. “Alcuni dei più noti: Hong Kong & Shanghai Banking Corporation, Crédit Industriel et Commercial, Crédit Lyonnais, Banque Nationale de Paris, Barclays, Société Générale, tra gli altri”, presegue l’esperto, “questi attacchi dimostrano quanto la sicurezza informatica sia ormai una questione globale e cruciale per tutti gli istituti bancari”.
DORA punta a migliorare la “resilienza operativa digitale, ossia la capacità di costruire, assicurare e riesaminare la propria integrità e affidabilità operativa, garantendo tramite i servizi informatici di fornitori terzi, la sicurezza dei sistemi informatici anche a fronte di eventuali perturbazioni”, spiegano gli avvocati Fabio Coco e Loris Cottoni di ADVANT Nctm. Per questo, “è cruciale che le entità finanziarie ed i loro provider di servizi ICT adottino misure idonee a garantire la sicurezza e l’affidabilità delle loro operazioni”. Ma le banche non dovrebbero già adottare misure di questo tipo, anche per il solo fatto di essere soggetti-bersaglio? In buona parte sì, per quanto alcune “mancanze” la Bce le avrebbe rilevate. “Sulla base della nostra esperienza posso dire che le banche italiane si sono attrezzate e stanno affrontando con serietà e consapevolezza le sfide imposte dalla normativa”, dice Primanni, “ovviamente, tutto dipenderà dai criteri specifici che i verificatori di DORA adotteranno per valutare la sicurezza e la resilienza dei sistemi bancari”.
“Sebbene molte banche italiane abbiano già avviato processi di miglioramento nella protezione dei dati, dei sistemi informatici e delle infrastrutture di rete, la vera sfida risiede nel consolidare un approccio integrato e coordinato tra le diverse strutture interne della banca, con l’obiettivo di mantenere aggiornati e al passo coi tempi i sistemi di difesa contro minacce in continua evoluzione”, aggiungono Coco e Cottoni. “Ciascuna entità finanziaria dovrà individuare i contratti riconducibili a servizi ICT e distinguere i servizi essenziali o importanti”, vale a dire quelli che, in caso di interruzione, potrebbero minare “sostanzialmente i risultati finanziari o la continuità dei servizi” della banca. Insomma, bisognerà capire e prevedere dove un cyber attacco potrebbe fare davvero male, anche se mirato ai fornitori della banca-bersaglio e non direttamente all’istituto. Successivamente, si dovrà svolgere una gap analysis per individuare carenze nei processi o nei sistemi e adeguare policy e contratti ai nuovi requisiti previsti da DORA.
Dopo la piena applicazione del DORA, le diverse entità finanziarie andranno incontro a nuovi paletti, a seconda del settore specifico. Per le banche, data la loro rilevanza sistemica, l’adeguamento a DORA comporterà un aumento degli oneri regolamentari. “Le banche dovranno ora implementare ulteriori misure rispetto a quelle già esistenti, consolidando i sistemi di gestione del rischio informatico e potenziando le capacità di resilienza operativa”, spiegano Coco e Cottoni. Anche le imprese di assicurazione, le società di gestione del risparmio (Sgr) e i gestori di fondi alternativi (FIA) saranno coinvolti, sebbene l’impatto vari in base alla complessità delle attività ICT e alle normative già applicate.
Una volta messe in campo difese documentate allo stato dell'arte, c'è già chi immagina come, in un futuro non troppo lontano, la solidità informatica possa diventare un vanto nei confronti dei clienti e una vera e propria leva di marketing bancario. “Tra i valori fondamentali delle banche c'è la riservatezza, un aspetto che diventa tanto più rilevante quanto maggiore è l’importanza del cliente”, afferma Primanni. “Non è da escludere che la cybersecurity diventi un 'marchio di garanzia', proprio come è successo dopo la crisi del 2008, quando le banche hanno fatto leva sulla solidità patrimoniale promuovendo i CET1 (Core Equity Tier 1), ovvero i coefficienti di capitale previsti dalle normative della Bce. Ed è plausibile pensare che la cybersecurity diventi un 'marchio di garanzia' nella comunicazione tra le banche, i clienti e gli stakeholder in generale”. C'è poi il rovescio della medaglia: il rischio che, un giorno o l'altro, un attacco hacker con evidenti interruzioni nella continuità dei servizi costringa la banca a comunicare all'esterno cos'è successo, con una gravissima perdita di fiducia. Insomma, la posta in gioco è molto alta.