Cybersecurity e resilienza operativa: le sfide per il settore finanziario

La dott.ssa Anastasia Kotovskaia, LL.M., dirige il Dipartimento per i mercati finanziari e la tecnologia dell'informazione presso il Centro per le politiche europee di Berlino. Come esperta legale del centro di ricerca per le politiche europee, valuta ed elabora proposte di legge per l’Europa e conosce approfonditamente le politiche europee. È autrice di numerose pubblicazioni in ambito legale, finanziario e informatico. Le abbiamo chiesto la sua opinione sulla sicurezza informatica nel settore finanziario.

La rivoluzione digitale ha contribuito allo sviluppo delle tecnologie informatiche nel settore finanziario. Oggi le banche forniscono a clienti e partner commerciali applicazioni mobili e servizi di online banking che consentono di effettuare transazioni bancarie da remoto in qualsiasi momento. Servizi popolari come online banking e applicazioni bancarie forniscono ai criminali informatici ulteriori occasioni di abuso. Le vulnerabilità di un sistema informatico possono causare gravi conseguenze per l'intero settore. Solo nel 2021, le perdite dovute alla criminalità informatica sono state pari a 5,5 trilioni di euro in tutto il mondo, e gli schemi di frode stanno diventando sempre più sofisticati. I cyberattacchi mirano a carpire, alterare o utilizzare in modo fraudolento dati sensibili, rubare denaro agli utenti o interrompere operazioni aziendali. L'implementazione di misure efficaci per proteggere i sistemi operativi, i programmi e le reti dai cyberattacchi è fondamentale per il funzionamento di una società finanziaria.

Per elaborare transazioni e fornire servizi finanziari, le compagnie del settore hanno bisogno di accedere ai dati sensibili dei clienti, memorizzati in un apposito database. Le informazioni custodite includono dati delle carte di pagamento, rapporti di credito e dati personali, bersagli molto appetibili per i criminali informatici. In caso di violazione della sicurezza, gli hacker possono accedere ai dati sensibili dei clienti e utilizzarli a proprio vantaggio. È quindi fondamentale che le soluzioni di archiviazione delle società finanziarie si mantengano sicure e che qualsiasi eventuale vulnerabilità venga subito individuata e risolta. Le società finanziarie sono sottoposte a una forte competizione, che le spinge a introdurre sempre più spesso nuovi prodotti e servizi digitali per soddisfare le esigenze dei clienti. L'uso di tecnologie all'avanguardia poco collaudate può portare a nuovi rischi informatici nel settore finanziario. Gli hacker possono sfruttare le debolezze del sistema per accedere a informazioni sensibili e utilizzarle per frodi finanziarie e furti di dati. Poiché sempre più sistemi software e dati vengono archiviati nel cloud, anche le violazioni indirizzate al cloud sono in aumento. Le società finanziarie devono assicurarsi che l'infrastruttura tecnica di base sia configurata in modo sicuro, per scongiurare eventuali attacchi esterni.

Al giorno d’oggi, soddisfare i requisiti normativi e mantenere livelli elevati di resilienza operativa e sicurezza informatica rappresenta una crescente pressione per le aziende. Di recente, a livello europeo sono state adottate diverse normative di riferimento. In particolare, la Direttiva 2 sulla sicurezza delle reti e delle informazioni (NIS2), che stabilisce un quadro normativo trasversale per la sicurezza informatica, e la Legge sulla resilienza operativa digitale (DORA), che stabilisce regole atte a garantire la resilienza operativa, rivolte nello specifico ai fornitori di servizi finanziari. Entrambi i regolamenti sono stati promulgati il 28 novembre 2022. Sia la DORA che la Direttiva NIS2 richiedono ulteriori standard tecnici di regolamentazione e implementazione, che dovrebbero essere adottati dall'EBA, dall'ESMA e dall'EIOPA alla fine del 2023 o all'inizio del 2024, allo scopo di definire i dettagli dell'applicazione pratica dei nuovi requisiti normativi. Il Cyber Resilience Act (CRA), ancora in fase di elaborazione legislativa, completa il quadro normativo europeo atto a rafforzare il livello generale di sicurezza informatica.

La direttiva nota come NIS2 (Direttiva n.2 sulla sicurezza delle reti e dei sistemi informativi) mira a raggiungere un elevato livello comune di sicurezza informatica nell'Unione, e stabilisce i requisiti di cybersecurity essenziali per il funzionamento delle società del settore. Queste includono, tra l’altro, gli istituti bancari, le banche centrali e le borse valori. Tutti gli enti che rientrano nell'ambito di applicazione della NIS2 sono tenuti ad adottare le misure tecniche, operative e organizzative necessarie per affrontare i rischi di sicurezza della rete e dei sistemi informativi, e per evitare le conseguenze negative di un incidente informatico.

La direttiva prevede requisiti rigorosi per la gestione del rischio, un sistema di segnalazione tempestiva degli incidenti alle autorità di vigilanza e piani di emergenza completi da applicare in caso di minaccia alla sicurezza o di attacco informatico. La direttiva NIS2 stabilisce chiaramente che le misure di gestione del rischio sono di competenza degli organi direttivi dell'azienda. Ciò significa che in caso di non conformità alla NIS2, la responsabilità ricade sulla direzione aziendale. In particolare, le misure di gestione del rischio devono includere i seguenti fattori:

• Analisi del rischio
• Piano di sicurezza per i sistemi informativi
• Sistemi di gestione e prevenzione degli incidenti informatici
• Gestione del back-up e delle crisi
• Misure per garantire la sicurezza di tutta la filiera tecnologica
• Formazione del personale sulla sicurezza informatica
• Utilizzo di sistemi di autenticazione a più fattori e di tecniche di crittografia

La NIS2 stabilisce una normativa uniforme per la gestione dei rischi di sicurezza informatica, per tutti gli enti che rientrano nel suddetto campo di applicazione. Gli istituti finanziari sono tuttavia soggetti a requisiti aggiuntivi, specifici per il settore e applicati come "lex specialis". Per le banche e le altre società finanziarie, le norme del regolamento sulla resilienza operativa dei sistemi digitali del settore finanziario (DORA) hanno dunque la precedenza sulla direttiva NIS2. Ciò riguarda principalmente le norme sulla gestione del rischio ICT e sulla segnalazione di minacce e incidenti informatici. La NIS2 deve essere recepita dal diritto nazionale entro il 17 ottobre 2024. Dopodiché i suoi regolamenti saranno interamente applicabili in tutti gli Stati membri dell'UE.

Nel settore finanziario, prima dell’emanazione del Regolamento DORA, esistevano già diversi requisiti atti a minimizzare le principali categorie di rischio finanziario, come il rischio di credito, di mercato, di insolvenza della controparte, di liquidità e di condotta di mercato. Questi regolamenti hanno affrontato di volta in volta la gestione del rischio operativo nell'allocazione del capitale, senza mai trattare in modo esaustivo la resilienza operativa in tutte le sue componenti. Infatti, oltre a denotare la mancanza di resilienza operativa, gli incidenti nella sicurezza possono minacciare la resilienza dell'intero sistema finanziario. Per rafforzare la resilienza digitale nel settore finanziario, DORA stabilisce requisiti uniformi per la sicurezza delle reti e dei sistemi informativi che supportano i processi aziendali delle organizzazioni finanziarie. Le banche non sono le sole a rientrare nel campo di applicazione di DORA. Il regolamento si riferisce a un'ampia gamma di istituzioni finanziarie, tra cui istituti di pagamento, istituti di moneta elettronica, società di investimenti, fornitori di servizi di criptovalute, depositari centrali di titoli, gestori di fondi di investimento alternativi, società di gestione di OICVM, autorità di vigilanza e fornitori di servizi di crowdfunding. DORA non agisce solamente sulla resilienza operativa digitale e sulla sicurezza informatica, ma affronta anche i rischi legati alle tecnologie dell'informazione e della comunicazione (ICT) in tutta l'UE. Le imprese finanziarie dipendono sempre più dai prodotti e servizi ICT offerti da terzi. Il legislatore europeo ha quindi riconosciuto la possibilità che i rischi possano moltiplicarsi, in particolare con i fornitori di servizi cloud. Secondo le statistiche, infatti, circa il 45% delle violazioni di dati registrate a livello mondiale avviene nel cloud. DORA stabilisce i seguenti requisiti per le società finanziarie:

• Sulla gestione dei rischi ICT: DORA richiede che gli istituti finanziari dispongano di una gestione completa del rischio informatico. Ciò significa che gli istituti finanziari devono implementare apposite politiche, procedure e strumenti ICT che consentano loro di identificare tempestivamente i rischi, proteggere i sistemi ICT e mitigare il rischio di incidenti di cybersecurity. Devono inoltre mettere a punto metodi di back-up e di recupero dei dati, ed essere in grado di superare le situazioni di crisi il più rapidamente possibile in caso di minacce alla sicurezza informatica. Le aziende sono inoltre obbligate a valutare i rischi associati ai servizi dei propri fornitori, e ad elaborare strategie per garantire l’utilizzo degli stessi in totale sicurezza.
• Sulla propria resilienza operativa: La normativa prevede che gli istituti finanziari verifichino regolarmente la propria resilienza operativa. I test dovrebbero adottare un approccio basato sul rischio ed evitare un approccio standardizzato. Questo approccio è volto a garantire che i controlli sul rischio informatico delle imprese siano adattati ai singoli modelli operativi.
• Sulla segnalazione di gravi incidenti in ambito ICT alle autorità di vigilanza finanziaria: Se si verifica un cyberattacco o un incidente di sicurezza, le aziende devono registrare l’avvenimento e segnalarlo all'autorità di vigilanza competente. Il procedimento ricalca la segnalazione delle violazioni dei dati all'autorità competente ai sensi del Regolamento generale sulla protezione dei dati (RGPD). Le scadenze per la segnalazione degli incidenti saranno specificate negli standard tecnici di regolamentazione di prossima emanazione.

In più, DORA determina i requisiti per i contratti tra le società finanziarie e i fornitori terzi di ICT, e stabilisce un quadro di vigilanza per i fornitori del settore ICT che lavorano con le società finanziarie. Il regolamento richiede agli istituti finanziari di includere disposizioni specifiche nei contratti con i fornitori. Nonostante si rilevi una parziale sovrapposizione con le disposizioni delle linee guida dell'EBA sull'outsourcing, DORA introduce nuovi requisiti e va a integrare una normativa non del tutto coerente. A fronte di questa interferenza, le aziende dovrebbero confrontare i contratti in essere e gli eventuali modelli contrattuali con i requisiti emanati da DORA, adottando le misure necessarie per garantire che le eventuali lacune individuate vengano colmate prima della scadenza del periodo di attuazione. Data l'importanza della cybersecurity e della relativa gestione del rischio per il sistema finanziario, i requisiti di sicurezza vengono così innalzati a un nuovo livello. DORA avrà un impatto sull'intero settore, dalle banche agli intermediari assicurativi, fino ai fornitori di servizi informatici. La responsabilità della conformità alle nuove norme spetta alla direzione, che ha il compito di rivedere, approvare, implementare e aggiornare il quadro di gestione del rischio. Ciò richiede che l'alta direzione esamini con attenzione l'uso dei sistemi ICT da parte dell’istituto finanziario, nonché il profilo di rischio a essi collegato. DORA entrerà in vigore in tutti gli Stati membri dell'UE il 17 gennaio 2025. Tuttavia, l'intero settore finanziario dovrà prendere le dovute precauzioni per garantire la conformità alle norme al momento dell'entrata in vigore, predisponendo un'analisi delle lacune e stabilendo una tabella di marcia per uniformarsi alla normativa. Analizzando il profilo aziendale, le strategie e gli standard di gestione del rischio ICT preesistenti, le aziende possono determinare l’adeguatezza delle proprie misure di sicurezza ed evitare brutte sorprese in futuro. DORA, infatti, prevede sanzioni amministrative per chi viola il regolamento. Le autorità di supervisione finanziaria, inoltre, sono in grado di imporre la sospensione dei contratti con i fornitori terzi ICT, se questi non rispettano i requisiti di legge.

Il 15 settembre 2022 la Commissione europea ha presentato la bozza del Cyber Resilience Act (CRA), che contiene una normativa sulla sicurezza informatica per i prodotti hardware e software e per le soluzioni di elaborazione dati a distanza. I produttori, i distributori e gli importatori di prodotti con elementi digitali saranno soggetti a considerevoli obblighi normativi. La legge non impone provvedimenti alle società finanziarie, a meno che non sviluppino prodotti hardware e software e sistemi di elaborazione dati a distanza. Il CRA avrà tuttavia un impatto immediato e significativo sul mercato finanziario. I requisiti stabiliti nel CRA colmeranno le lacune di sicurezza dei prodotti digitali di cui le società si servono per fornire i loro servizi.

Il potenziamento della resilienza operativa e della cybersecurity non è solo un obiettivo dei legislatori. L'utilizzo di meccanismi affidabili e scorrevoli per garantire la sicurezza e la resilienza operativa è nell'interesse delle imprese finanziarie. Le ragioni sono molteplici: in primo luogo, le vulnerabilità informatiche rappresentano un rischio per la reputazione delle società finanziarie. Per i clienti è fondamentale che l'istituto finanziario sia pienamente affidabile e che il capitale sia sempre al sicuro. In secondo luogo, i cyberattacchi comportano gravi perdite non solo per i clienti, ma anche per le società finanziarie. Ricerche di settore dimostrano che il costo annuale delle violazioni dei dati nel settore finanziario è compreso tra i 2 e i 27 miliardi di euro nella sola UE. In terzo luogo, gli incidenti di sicurezza rappresentano una minaccia per la stabilità finanziaria in generale. Poiché nel moderno mercato finanziario tutte le aziende sono interconnesse, le vulnerabilità della cybersecurity e gli incidenti di sicurezza all'interno di un'azienda possono diffondersi in tutto il settore molto rapidamente, causando danni economici significativi. In quarto luogo, l'implementazione di strumenti efficaci e affidabili per affrontare le minacce alla sicurezza contribuisce a ridurre i costi per le imprese finanziarie nel lungo periodo.

La posta in gioco nel settore finanziario è alta: prendere sotto gamba i rischi per la sicurezza non è un’opzione possibile. È fondamentale che gli istituti finanziari rafforzino costantemente la sicurezza e la stabilità operativa dei sistemi digitali da essi adottati, a prescindere dal fatto che il legislatore lo imponga con regolamenti più o meno restrittivi. Estese verifiche su eventuali vulnerabilità devono essere condotte regolarmente, per identificare e valutare tempestivamente le lacune di sicurezza nei sistemi, nei processi, nelle strategie, nelle politiche, nei protocolli e negli strumenti ICT utilizzati dagli istituti finanziari. Per evitare di confondersi nella giungla normativa, le imprese finanziarie devono padroneggiare le basi della sicurezza informatica, la stabilità operativa dei sistemi digitali e la prevenzione delle frodi, tutti ambiti strettamente collegati tra loro. È dunque fondamentale che gli istituti finanziari mettano in atto una serie di provvedimenti atti a soddisfare i requisiti delle varie normative. Nello sviluppo di meccanismi efficaci di prevenzione delle minacce informatiche e di controllo dei danni, l'intero settore si trova a combattere contro un nemico comune. Le imprese finanziarie dovrebbero agire in modo proattivo, promuovendo e incrementando la sicurezza a prescindere dai requisiti normativi. A questo proposito, è auspicabile una regolare condivisione delle migliori pratiche del settore e degli insegnamenti tratti dalle singole esperienze, nonché una maggiore divulgazione spontanea delle misure antifrode e degli incidenti che si verificano all'interno del settore. Inoltre, le società finanziarie dovrebbero sforzarsi di formare accuratamente i propri dipendenti, in modo che un codice di comportamento responsabile diventi prassi comune anche per il personale. Infine, l’opera di formazione deve essere accompagnata da una comunicazione efficace con i clienti, in modo che anche questi ultimi acquisiscano gli strumenti per proteggersi dalla criminalità informatica. N26 concorda espressamente con i punti sopra citati e utilizza i meccanismi di sicurezza avanzati per garantire transazioni online sicure, come l'autenticazione biometrica e il protocollo 3D Secure. Per sviluppare costantemente l'elevato standard di sicurezza dei propri prodotti e servizi, N26 si avvale di un team dedicato, che analizza le potenziali minacce e testa la sicurezza tecnica dei prodotti. Attraverso il blog, N26 informa regolarmente i clienti su nuovi tipi di bonifici, carte, frodi telefoniche e truffe online, spiegando come prevenirle.

Il settore finanziario subisce in media 1.130 cyberattacchi alla settimana, il doppio rispetto all'anno scorso. Le istituzioni finanziarie continueranno a essere bersaglio di attacchi informatici anche in futuro. Allo stesso tempo, le tattiche dei criminali informatici diventeranno sempre più sofisticate. Le istituzioni finanziarie devono quindi essere in grado di far fronte alla situazione, sviluppando regolarmente nuove strategie per combattere con efficacia minacce informatiche sempre più incalzanti.