Da quando l’Unione Europea ha pubblicato circa tre anni fa sulla Gazzetta Ufficiale il Regolamento del 17 aprile 2019, noto anche come Cybersecurity Act, abrogando il precedente regolamento n.526/2013, in tema di cybersicurezza, gli Stati e con essi infrastrutture, aziende e imprese bancarie, hanno chi più chi meno accelerato sugli investimenti di tecnologie atte a contrastare il cyber crime. Lo scopo di questo regolamento è quello di creare un punto di incontro tra gli stati membri europei sulla certificazione della sicurezza informatica attraverso un modello europeo strutturato ed efficiente in tema di sicurezza cibernetica sia per le imprese sia per i cittadini.
A regolamentare il tutto concorrono tre soggetti: le istituzioni europee, i governi e le imprese, sotto l’osservazione e l’assistenza dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione (ENISA). Quest’ultima, secondo quanto disposto dal regolamento dovrebbe, tra tante altre cose, interessarsi del potenziamento e dello sviluppo di gruppi di intervento (Csirt – computer security incident response teams) in materia di sicurezza informatica nei casi di incidenti occorsi alle nazioni e all’Unione Europea. Nello stesso regolamento non passa inosservato un punto nell’elenco delle considerazioni che riguarda in modo esplicito la cultura della conoscenza e della formazione in tema cyber, richiamando l’attenzione di chiunque verso questo argomento: «la cybersicurezza non costituisce soltanto una questione relativa alla tecnologia, ma anche una in cui il comportamento umano è di pari importanza. Di conseguenza, è opportuno promuovere energicamente “l’igiene informatica”, ovvero semplici misure di routine che, se attivate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche».
Oggi a dare maggiore supporto alla sicurezza cibernetica o meglio a volere predisporsi in maniera idonea nel contrastare i crimini informatici arriva anche l’ormai nota Agenzia per la Cybersicurezza Nazionale (ACN), la quale – attualmente ancora in fase di organizzazione – dovrebbe occuparsi di tutto ciò che riguarda, appunto, la cybersicurezza nazionale e quindi non solo delle istituzioni ma anche e soprattutto delle aziende. Anche se ormai tutto è attenzionato dai cyber criminali, non tutto ciò che ci interessa, come vita quotidiana, lavoro, professione e attività pone, a sua volta, la necessaria attenzione verso la sicurezza informatica. Oggi dire cyber security non significa pronunciare solo due parole, vuol dire invece argomentare e soprattutto interessarsi alla sicurezza in senso straordinariamente esteso. Un problema che si interfaccia con le potenzialità di difesa di ogni destinatario possibile, dal privato, alle istituzioni, dalle aziende alle infrastrutture, e se queste linee di difesa mancano o scarseggiano ecco allora che il cyber crime ne trae molte e diverse condizioni di vantaggio. In tutto questo gli Istituti Bancari sanno bene cosa vuol dire, oggi, sicurezza informatica, sanno bene che una configurazione cloud errata, una disattenzione nella procedura della gestione e sicurezza dei dati (data breach) un bug nel sistema dell’home banking, oppure semplicemente un link cliccato per sbaglio e così via, cosa e quanto potrà produrre in termini di danni. Già tre anni fa le Banche hanno dato maggiore riguardo agli investimenti per mitigare il rischio informatico e ancor più per la sicurezza dei pagamenti on line, il core banking, nonché sulla gestione dei dati (Gdpr – General Data Protection Regulation); sui programmi di connessione che consentono altre applicazioni come l’Application Programming Interface; sulla tecnologia del Cloud Computing; sui software tipo Robotic Process Automation occorrenti per svolgere attività automatizzate, e via dicendo fino alla formazione del personale, la quale non deve essere limitata al solo personale specialistico ma a tutto il comparto risorse umane.
Quello cui le Banche devono e dovranno porre maggiore attenzione, più di ogni altra difesa, è il rischio di data breach, ovvero quell’incidente informatico – se così possiamo chiamarlo – che consente a terzi di consultare, copiare, rubare, utilizzare, diffondere dati personali sensibili, protetti e riservati. Questo rischio può verificarsi in maniera involontaria (smarrimento di un supporto esterno di archiviazione dati); per sottrazione di password o strumenti informatici contenenti appunto dati e informazioni riservate; per intromissione o accesso abusivo nei sistemi informatizzati dell’istituto bancario con conseguente furto dei dati dei clienti; e non per ultimo anche per infedeltà (ad esempio un dipendente che ha accesso ai dati riservati ne produce copia per poi cederli a terze persone). Precauzioni, si dirà, di normale amministrazione nella sicurezza di una azienda e ancor più in una Banca, ovvio che si, certamente, anzi ci auguriamo sia così. Tuttavia gli scenari più appetibili per un criminal hacker restano ancora gli istituti di credito, o per precisare, i dati riservati di carte di credito, conti bancari e accessi on line di home banking. Al di la degli obblighi di comunicazione in caso di smarrimento o sottrazione di dati che una impresa ha nei riguardi del garante, l’impresa stessa ha un altro obbligo, più importante, ed è quello di prevenire incidenti informatici di tale natura, iniziando dalla valutazione sulle minacce, vulnerabilità, gestione e controlli incrociati; dai rischi e dalle misure da adottare di natura tecnologica e in seno all’organizzazione interna del personale e della strumentazione informatica.
In quest’epoca, dove niente e nessuno può ritenersi al sicuro di fronte all’eventualità di essere oggetto di attacchi cyber, specialmente per lo scopo principale che questi hanno, ovvero la sottrazione di informazioni, occorre che prima di ogni altra cosa si entri nella cultura organizzativa di un programma di ricerca interdisciplinare verso lo studio di sistemi artificiali e dell’informatica nel suo insieme. Non è un caso che gli hacker prendano di mira le banche oppure gli operatori finanziari, sanno bene che in questi ambienti vengono custoditi dati e informazioni preziosi e dunque di grande interesse criminale ed è qui che la banche devono predisporre di un adeguato quanto efficiente piano di azione e reazione.
La cybersicurezza cambia, si trasforma ed evolve continuamente, alla pari degli attacchi informatici, e dunque qui il fattore umano è e deve restare coerente al suo ruolo, sia come operatore coadiuvato dai sistemi e dai software di sicurezza, sia come strategia di sicurezza per gli asset aziendali. Pertanto, una violazione dei dati, che può avvenire per scopi, attori e mezzi diversi, non deve costituire per le banche solo la finale azione di segnalare, in base agli ex articoli 33 e 34 del GPR, l’avvenuta sottrazione di dati, ma è necessario, per le banche e per i clienti, che ciò non avvenga. A tale scopo però occorre che banche e operatori finanziari si predispongano, per necessità, urgenza e prevenzione, nell’adottare un protocollo per la gestione e la risoluzione di eventuali perdite o sottrazioni di dati; adottare la prevenzione come strumento prioritario per la sicurezza (attiva, passiva e affidabile) dei sistemi informatici; effettuare periodicamente test di sottrazione o perdita di dati; tenere sotto controllo le eventuali minacce (ricerca di probabili metodologie di infiltrazione nei sistemi informatici, di estrapolazione dei dati, di tentativi di intromissione e così via. In pratica, già in senso generale il dato personale non è da sottovalutare nei contesti della sicurezza, nelle attività bancarie diviene ancor più importante tutelarlo, a beneficio del cliente, della banca stessa e della sicurezza in generale.
Cybersicurezza: le Banche e il rischio Data Breach
