Cybersecurity e rischio sistemico. Le autorità lanciano l'allarme

L’innovazione può costituire una fonte di instabilità se non migliorano i presidi sui rischi cibernetici. Pochi fornitori esterni controllano il mondo finanziario.
03/07/2021 | Francesco D'Arco

Le autorità di vigilanza hanno messo al centro delle proprie analisi la cybersicurezza: Ignazio Visco (Banca d’Italia), Paolo Savona (Consob), Luigi Federico Signorini (IVASS) hanno tutti dedicato un passaggio importante, nel corso delle considerazioni finali relative alle rispettive relazioni annuali 2020, all’importanza di agire rapidamente e con decisione sulla gestione dei rischi cibernetici. Soprattutto considerando la forte evoluzione tecnologica che ha travolto l’ambito finanziario in seguito alla pandemia.

 

Il Governatore della Banca d’Italia Ignazio Visco ha sottolineato l’importanza di non trascurare “i rischi di natura cibernetica che la rivoluzione digitale comporta. Attività malevole e azioni criminali, in aumento, possono insidiare la sicurezza dei sistemi informatici e apportare danni economici agli intermediari e alla clientela. Assumono inoltre rilievo rischi operativi quali quelli connessi con il crescente ricorso all’esternalizzazione, spesso presso pochi operatori non soggetti a vigilanza, di fasi rilevanti di processi produttivi, il cui malfunzionamento può assumere rilevanza sistemica. Né va sottovalutato il pericolo di frodi, di comportamenti discriminatori, di un uso improprio dei dati personali generato da applicazioni che si avvalgono di big data e dell’intelligenza artificiale”. Per questo, secondo Visco, le autorità di controllo sono chiamate “a definire regole e procedure non per frenare i cambiamenti in atto, ma per fare in modo che l’innovazione non costituisca una fonte di instabilità o di esclusione finanziaria. Il presidio dei rischi cibernetici richiede la collaborazione delle autorità e degli operatori; nelle sedi di cooperazione si realizzano lo scambio tempestivo e l’analisi delle informazioni sulle principali minacce e si definiscono le iniziative di sensibilizzazione su tale tipologia di rischi”.

 

Alcune settimana dopo gli ha fatto eco il presidente della Consob Paolo Savona che ha definito la cybersecurity un “bene pubblico”: “La sicurezza delle tecniche usate resta il fianco scoperto di tutti i processi di digitalizzazione ed è perciò ragionevole considerare la cybersecurity un “bene pubblico”, ossia un’infrastruttura produttiva e sociale posta al servizio degli interessi generali, ma utile per ciascun cittadino. Perciò l’esistenza e il funzionamento di un sistema di sicurezza, anche se lasciato ai privati, deve essere garantito e presidiato dallo Stato, che deve però tenere presente che la diffusione delle tecniche digitali nella finanza pone esigenze specifiche che vanno affrontate globalmente, pena la riduzione della sua efficacia”.

 

A rincarare, infine, la dose ci ha pensato il presidente dell’IVASS Luigi Federico Signorini che proprio questa settimana ha ribadito “la necessità di rafforzare continuamente le difese contro i rischi cibernetici, inclusi quelli derivanti da attacchi malevoli, che ormai coinvolgono anche il settore assicurativo”. Anche Signorini, in linea con quanto affermato dallo stesso Visco, ha però messo nel mirino soprattutto i fornitori esterni: “il fatto su cui intendo attrarre l’attenzione è il ruolo rapidamente crescente del ricorso a fornitori esterni per l’adempimento di molte funzioni degli operatori finanziari e assicurativi. L’outsourcing non cambia le responsabilità dell’impresa per il corretto ed efficiente funzionamento delle operazioni; esso accresce, non riduce, la necessità di presidi di governo, organizzativi e operativi pienamente adeguati e funzionanti. Soprattutto, la concentrazione delle attività esterne in un numero ristretto di grandi operatori, se può migliorare l’efficienza e ridurre i costi, intensifica il rischio sistemico legato alla possibilità di una caduta operativa di uno di questi fornitori, ovvero all’esposizione delle informazioni individuali a usi illeciti, in seguito ad attacchi intenzionali o anche a semplici errori o fatalità. La materia, che rileva non solo per le assicurazioni ma per tutto il sistema finanziario e oltre, è al centro di un Regolamento in corso di definizione a livello europeo (il cosiddetto Digital Operational Resilience Act, DORA). L’Istituto segue con attenzione i relativi lavori; sollecitiamo il contributo propositivo e informativo di tutti”.

 

IVASS e Bankitalia non sembrano avere dubbi sul fatto che oggi l’approccio alla digitalizzazione rischia di trascurare il fattore sicurezza. Soprattutto perché si tende ad affidarsi sempre più frequentemente a poche società fintech che potrebbero avere un domani un controllo importante su numerose attività finanziarie e per questo essere fonte di un “rischio sistemico” che, ad oggi, è difficile da controllare perché tali realtà non rientrano nei perimetri di controllo delle autorità di vigilanza.

Hai trovato questa news interessante?
CONDIVIDILA

ISCRIVITI ALLA NEWSLETTER
Vuoi rimanere aggiornato e ricevere news come questa?
Iscriviti alla nostra newsletter e non perderti tutti gli approfondimenti.