Blog

I nuovi rischi da presidiare in banca: il problema del cyber risk (e come gestirlo)

25 febbraio 2020

Tra i nuovi rischi che bisogna presidiare in banca il cyber risk è forse quello più insidioso. Al di là del numero crescente di minacce, in particolar modo rivolte al mondo del finance, della sempre maggiore sofisticatezza degli attacchi e dei vincoli normativi per la data protection, il tema è estremamente delicato per una questione molto semplice: specialmente sulla spinta della PSD2, ormai gran parte dei processi di business mission critical è destinata a prendere vita in ecosistemi digitali estesi e aperti, che devono garantire elevati standard di IT security senza rallentare i workflow e senza inficiare la user experience dei servizi offerti. C'è inoltre la questione del cosiddetto “third party risk” su cui si sta già concentrando l’attenzione del mercato e dei regolatori, che puntano a trovare modalità comuni di mitigazione, promuovendo lo scambio di informazioni utili a potenziare gli strumenti di difesa e l'adozione di approcci efficaci alla cyber resilience nell’intero sistema.

 

Gestione dei rischi in banca: il nuovo approccio della normativa alla sicurezza IT

Sul fronte dei sistemi informatici, quindi, governance centralizzata e risk management diventano due pilastri di una strategia multilivello che ogni banca deve costruire in funzione del proprio piano industriale e del quadro normativo in cui opera. Partendo dalla seconda dimensione, è importante sottolineare come, soprattutto negli ultimi anni, l'introduzione di regolamenti e di dispositivi per la disciplina delle iniziative di Data Protection e Cyber Security non abbia come fine primario l'imposizione di obblighi sul piano operativo. Un approccio del genere potrebbe, infatti, vincolare le banche a scelte tecnologiche e procedurali che rischierebbero di rallentare lo sviluppo del business. Strumenti come il Gdpr e il Cyber Security Act lasciano ampi margine d'azione pur dettando precise linee guida e responsabilità. Se, infatti, il primo mette a disposizione delle imprese una serie di strumenti, approcci e figure professionali a tutela dei dati personali dei cittadini europei, il secondo prevede la creazione di un perimetro di sicurezza e la previsione di certificazioni che garantiscano gli standard necessari per minimizzare i rischi ed estendere la fruizione delle nuove tecnologie in banca.

 

I rischi una banca si annidano nei modelli di business più innovativi

D'altra parte, si tratta di affrontare minacce che si annidano soprattutto nelle attività più innovative e a maggior valore aggiunto del business. Basti pensare al fatto che sempre più persone accedono ai propri conti bancari dalle app mobili. In molti casi, però, si ha a che fare con utenti che non adottano nemmeno le misure minime di sicurezza nel gestire device e applicazioni, facendo impennare il potenziale di attacco di malware e cyber-criminali. Tocca alle banche presidiare gli endpoint con soluzioni software bancarie in grado di indirizzare il corretto comportamento da parte degli utenti o prevenire attività dannose.

Succede poi sempre più spesso che, avendo gli istituti finanziari aggiornato le proprie piattaforme di sicurezza informatica con tecnologie allo stato dell'arte, gli hacker si rivolgano a sistemi bancari condivisi e reti di terze parti per ottenere l'accesso ai dati sensibili. Se i network ancillari non sono protetti come quelli della banca designata come vittima, gli attaccanti possono superarli facilmente.

Un altro ambito da tenere sotto particolare osservazione è quello delle criptovalute, dove gli attacchi che vanno a buon fine diventano talvolta eclatanti. Il motivo è presto detto: trattandosi di un settore emergente e in continuo divenire, non sono ancora stati definiti standard e procedure di sicurezza condivise, il che permette agli aggressori di muoversi – grazie a competenze tecnologiche in alcuni casi pari o superiori a quelle delle banche – con estrema agilità.

 

Una moltitudine di strumenti, da scegliere dopo un'attenta valutazione

Starà a ciascuna banca, nel rispetto delle norme vigenti, capire come muoversi e quali strategie e condotte adottare su quelli che ritiene i fronti più scoperti. Prima di implementare qualsiasi nuova soluzione di sicurezza informatica è però indispensabile un controllo approfondito dello status quo. Le azioni di auditing rivelano i punti di forza e di debolezza della configurazione esistente. Inoltre, forniscono raccomandazioni che possono aiutare a risparmiare denaro consentendo nel contempo investimenti adeguati. Investimenti che possono riversarsi su una moltitudine di tool in grado, se usati in maniera di integrata, di far fronte a qualsiasi tipo di minaccia: dai firewall alle applicazioni antivirus e antimalware, passando per i sistemi di autenticazione a più fattori e alle tecnologie biometriche, senza dimenticare lo strumento forse più importante di tutti quando si parla di cyber security, l'educazione degli utenti.

New call-to-action

Topic: Risk Management