Articoli

Banche e cybersecurity, Maurizio Primanni “I data center decentralizzati generano un problema sistemico”

Gli stress test valuteranno la capacità di resilienza delle banche alle minacce informatiche. Un esercizio simile era già stato condotto in passato dalla Fed. Maurizio Primanni, CEO del Gruppo Excellence, ne ha parlato con We Wealth.

La Banca centrale europea, stando a quanto annunciato dal presidente del Supervisory board of the single supervisory mechanism Andrea Enria in un’intervista rilasciata al quotidiano lituano Verslo žinios e visionata dal Financial Times, sta per lanciare nuovi stress test sulla cybersecurity. La Bce chiederà alle banche soggette alla sua vigilanza diretta di illustrare entro il 2024 come risponderebbero a una potenziale grave violazione delle difese informatiche, ha dichiarato Enria; evidenziando come l’intervento della massima autorità europea di vigilanza bancaria sia stato innescato da “significativo aumento” degli attacchi hacker successivo allo scoppio del conflitto russo-ucraino. 

“Sappiamo che c’è stato un aumento significativo degli attacchi informatici. Non possiamo attribuirlo a una fonte specifica, ma è un dato di fatto che il numero di questi attacchi sia aumentato da quando è iniziata la guerra”, ha osservato Enria. I test sulla cybersecurity che la Bce si prepara a lanciare sono stati progettati per ottenere una “migliore comprensione dei punti di forza e di debolezza delle banche”, ha aggiunto Enria. La banca centrale sta elaborando uno scenario che prevede una violazione teorica delle difese informatiche del sistema finanziario, che sarà inviato appunto alle 111 banche soggette alla sua vigilanza diretta per valutarne la reazione.

Un esercizio simile era già stato condotto in passato dalla Bank of England, che nel 2021 ha lanciato uno stress test su base volontaria per analizzare l’impatto di un possibile attacco al sistema dei pagamenti; la Federal Reserve, dal canto proprio, conduce regolarmente esami sulla sicurezza informatica delle maggiori banche statunitensi insieme ad altre autorità competenti. Lo scorso anno, inoltre, aveva dichiarato di star “monitorando attentamente” il modo in cui le tensioni nell’Est Europa potrebbero innescare un potenziale aumento degli attacchi informatici che potrebbero avere un impatto sulle infrastrutture critiche, compreso il settore dei servizi finanziari.

Le autorità di vigilanza della Bce stanno intanto monitorando anche la crescente dipendenza delle banche da fornitori terzi, che potrebbero essere vulnerabili ad attacchi informatici con effetti a cascata sul sistema finanziario nel suo complesso. “Negli ultimi anni abbiamo assistito a uno spostamento della gestione dei dati sul cloud”, spiega a We Wealth Maurizio Primanni, ceo di Excellence Consulting. “Le infrastrutture cloud non sono gestite direttamente dalle banche e neanche dai paesi ma da grandi aziende internazionali, principalmente americane, come Google o Amazon Web Services. Tutte le banche italiane e internazionali hanno ormai intrapreso questa strada dei data center decentralizzati, il che vale sia per quelle di grandi dimensioni che per le piccole, che per definizione vantano strutture in cloud perché più leggere e meno costose”. Questo però, avverte Primanni, genera un problema sistemico. “Cosa succede il giorno in cui i data center di Amazon Web Services, per esempio, vanno in tilt? Succede che il sistema bancario europeo si inchioda. L’anno scorso la Bank for international settlements, la banca dei regolamenti internazionali, ha rilasciato un documento che rappresentava proprio questo tema, ovvero la necessità di gestire il rischio sistemico legato al cloud”. 

Un altro aspetto da considerare, continua l’esperto, è quello che riguarda i rischi legati alla digitalizzazione di interi processi e intere filiere del settore finanziario. “Dopo la crisi del 2008, infatti, le istituzioni di vigilanza si sono fortemente occupate del monitoraggio, della previsione e della gestione dei rischi finanziari e dei rischi operativi, perché hanno compreso che i mercati erano tutti correlati e che se non venivano gestiti generavano problemi a livello di sistema. Non dedicando però un’attenzione diretta ai rischi informatici”. Su questo fronte, spiega Primanni, è nato un intenso dibattito tra Parlamento e Commissione europea che lo scorso 10 novembre ha portato all’approvazione in via definitiva dell’atto sulla resilienza operativa digitale (dall’inglese Digital operational resilience act o Dora) volto a garantire una maggiore resilienza del settore finanziario a fronte di gravi interruzioni operative e attacchi informatici. 

“Credo che la Bce come sempre stia un po’ anticipando, dettando la strada: nell’inserire all’interno degli stress test anche questo tipo di verifiche si cautela dal fatto che le banche comincino a lavorare in questo senso”, conclude Primanni. “Inoltre, ritengo che questi temi riguardino tutti gli istituti di credito, indipendentemente dalla loro dimensione. È vero che le grandi banche poggiano su architetture informatiche più datate, ma vantano anche una capacità d’investimento maggiore e riescono a rimettersi in riga seguendo le indicazioni che arrivano dalla Commissione europea, dalla Bce e dall’Esma (l’Autorità europea degli strumenti finanziari e dei mercati, ndr) più velocemente rispetto alle neobank”.

LEGGI ANCHE – “Consulenza finanziaria – Abolizione delle retrocessioni non giustificata da una chiara superiorità di modello”

Whistleblowing

L’Istituto del “Whistleblowing” è riconosciuto come strumento fondamentale nell’emersione di illeciti; per il suo efficace operare è pero cruciale assicurare una protezione adeguata ed equilibrata ai segnalanti. In tale ottica, al fine di garantire che i soggetti segnalanti siano meglio protetto da ritorsioni e conseguenze negative, e incoraggiare l’utilizzo dello strumento, in Italia è stato approvato il D.Lgs. n.24 del 10 marzo 2023 a recepimento della Direttiva (UE) 2019/1937 riguardante la protezione delle persone che segnalano violazioni.

Il decreto persegue l’obiettivo di rafforzare la tutela giuridica delle persone che segnalano violazioni di disposizioni normative nazionali o europee, che ledono gli interessi e/o l’integrità dell’ente pubblico o privato di appartenenza, e di cui siano venute a conoscenza nello svolgimento dell’attività lavorativa.

Segnalazione

(*) Campi obbligatori