Sappiamo tutti che nel 2020 dire Cyber Security equivale a dire tutela a 360 gradi del business, e ciò è ancor più vero se si parla di sicurezza informatica in banca. Il Cyber risk è infatti diventato uno dei capitoli più rilevanti nella gestione dei rischi operativi all'interno del mondo finanziario. Questo perché un'intromissione esterna nei network di una banca – così come un episodio “malevolo” provocato all'interno dell'architettura IT – può comportare conseguenze in grado di compromettere il normale funzionamento dei processi aziendali, con ripercussioni anche gravi sui risultati attesi. C'è poi il tema dalla data protection e della compliance rispetto alle norme per la tutela della privacy, a partire dal GDPR. La mancata assunzione di precauzioni, contromisure e strategie di mitigazione dei rischi legati a un possibile data breach, da questo punto di vista, può esporre l'organizzazione alle sanzioni delle autorità preposte al controllo e – elemento da non sottovalutare – generare danni consistenti sul piano reputazionale. Pensiamo ad esempio a quanto è successo a Capital One, il quinto istituto bancario negli Stati Uniti, che la scorsa primavera ha subito un Data Breach che ha esposto i dati personali di quasi 100 milioni di utenti negli Stati Uniti e altri 6 milioni in Canada. La violazione ha permesso agli aggressori di sottrarre informazioni sui clienti che avevano richiesto una carta di credito tra il 2005 e il 2019.
Il tutto è naturalmente amplificato dalla continua commistione tra tecnologie digitali e procedure finanziarie, che consentono a un numero sempre più esteso di clienti e utenti di accedere alle funzionalità degli istituti di credito attraverso una miriade di touch point diversi. Touch point che, se non adeguatamente presidiati, diventano porte d'ingresso anche per hacker, cyber criminali e malware.
Garantire la cyber security in banca vuol dire dunque predisporre una serie di professionalità, strumenti e approcci che, lavorando di concerto, consentano di tracciare una mappa dei rischi informatici, di dettare policy coerenti con gli obiettivi aziendali e soprattutto di delineare strategie di risposta agli incidenti che comunque si verificheranno. “Non è infatti una questione di se, ma di quando”, è il mantra ripetuto da esperti di sicurezza IT e analisti di mercato.
A differenza di quanto si possa immaginare, il primo passo da fare riguarda la riprogettazione dei processi aziendali di gestione del dato, un'operazione da condurre assumendo le prospettive della privacy by default e della security by design. Antivirus e antimalware, soluzioni per la sicurezza di rete e crittografia dei dati rappresentano, è quasi superfluo dirlo, una dotazione tecnologica imprescindibile. Ma se manca la cultura della data protection all'interno dell'organizzazione, sarà impossibile far fronte alle falle che gli stessi utenti, inconsapevolmente, apriranno tra uno strato e l'altro della superficie aziendale. Si tratta, in altre parole, di individuare le giuste misure tecniche e organizzative da applicare ai trattamenti delle informazioni sensibili. In questo senso, le tecnologie digitali possono contribuire in modo sostanziale ad aiutare gli analisti a lavorare in modo più rapido e più accurato: intelligenza artificiale, machine learning e piattaforme di analisi del linguaggio naturale offrono alle banche la possibilità di elaborare dati non strutturati, rendendo processabili e identificabili le lacune e le vulnerabilità dell'organizzazione rispetto ai framework di riferimento.
I Data Breach si possono verificare per una serie di motivi, anche accidentali, riconducibili a quattro cluster:
Come detto, è quindi necessario adottare delle misure puntuali per mitigare i rischi legati alle piattaforme informatiche. Nel farlo bisogna fare i conti con il fatto che gli attacchi si fanno sempre più sofisticati, e sempre più complessi sono gli ecosistemi in cui si muovono collaboratori, partner e clienti: un'intrusione di software malevoli o una perdita di dati sono eventi probabilisticamente ineliminabili. Per questo è opportuno – per non dire indispensabile – anche elaborare un piano definito di risposta agli incidenti, dando per assodato che prima o poi se ne verificherà uno. Si tratta ancora una volta di coinvolgere il personale trasferendo nozioni, strumenti e buone pratiche utili a individuare immediatamente le anomalie di sistema e a limitare gli effetti delle minacce andate a buon fine, ma anche di testare con frequenza la preparazione dei sistemi IT, simulando attacchi e data breach e valutando il modo in cui organizzazione e architettura reagiscono alle emergenze.