Intervista con Il Sole 24 Ore

Intervista ad Anneli Tuominen, Membro del Consiglio di vigilanza della BCE, condotta da Isabella Bufacchi

28 marzo 2024

I rischi informatici sono in aumento? E se lo sono, perché?

Negli ultimi anni si è prestata maggiore attenzione ai rischi informatici e cibernetici nel settore bancario europeo. Le banche europee sono più digitali di quanto non fossero in passato, ma alcune utilizzano ancora sistemi informatici obsoleti. Anche il ricorso ai servizi esternalizzati è cresciuto, rendendole più vulnerabili ai rischi cibernetici. È importante che le banche investano maggiormente nell’infrastruttura informatica, comprese la gestione del rischio informatico e l’igiene cibernetica. Però non dovrebbero abbassare il rapporto costi/ricavi a scapito di una sana gestione del rischio informatico. La digitalizzazione non significa solo ridurre i costi e migliorare l’efficienza, ma anche soddisfare le esigenze della clientela e avere servizi semplici e competitivi. Finora le banche hanno dimostrato di essere resilienti, ma non devono abbassare la guardia.

La gestione del rischio informatico non è nuova quanto la gestione dei rischi climatici nel mondo bancario. Da decenni le banche hanno a che fare con Internet, software, hardware e digitalizzazione. Perché adesso le autorità di vigilanza bancaria guardano soprattutto alla gestione del rischio informatico?

In passato i modelli di business potevano anche essere più semplici. Oggi quasi tutte le banche offrono servizi digitali, che sono imprescindibili per poter sopravvivere nel panorama attuale. Di conseguenza la loro infrastruttura informatica è diventata più complessa. I vecchi sistemi informatici, i servizi esternalizzati e le minacce cibernetiche hanno costretto le autorità di vigilanza a rivolgere maggiore attenzione a quest’area di rischio.

Abbiamo notato che non tutti gli organi di amministrazione hanno una conoscenza sufficiente dei rischi informatici e cibernetici e che tuttora alcuni di essi non hanno un membro con competenze informatiche specifiche. Vogliamo che gli organi di amministrazione delle banche abbiano una profonda comprensione dei rischi informatici, in modo da poterne valutare l’impatto nelle varie aree operative della banca. I nostri esperti di vigilanza hanno condotto numerose ispezioni in loco e indagini mirate su questo tema. Dai nostri rilievi emerge che vi è ancora margine di miglioramento per soddisfare le nostre aspettative riguardo alla gestione dei rischi informatici e cibernetici.

Le vostre nuove aspettative di vigilanza sulle conoscenze e sull’esperienza dei membri degli organi di amministrazione nel campo delle tecnologie dell’informazione e della comunicazione e dei rischi per la sicurezza digitale sono applicabili dall’inizio del mese. Quali cambiamenti raccomandate alle banche?

Il nostro obiettivo è migliorare l’idoneità complessiva delle banche a livello di organo di amministrazione. Ciò significa che almeno un membro non esecutivo dovrebbe avere competenze informatiche approfondite. Tuttavia, sotto questo profilo, applichiamo sempre il principio di proporzionalità e valutiamo ogni nomina caso per caso. Di conseguenza la nostra valutazione potrebbe differire a seconda delle caratteristiche specifiche delle singole banche.

Può fare un esempio di cosa intendete per standard informatici? Come fa una banca a capire che non è conforme allo standard richiesto?

Tutte le banche dovrebbero disporre di una mappa informatica che tracci le modalità operative, comprese tutte le attività e interdipendenze informatiche, e gli eventuali servizi forniti da terzi. Dovrebbero conoscere e testare regolarmente la strategia di gestione del rischio informatico e gli strumenti utilizzati. E dovrebbero dotarsi di un meccanismo di sicurezza a più livelli per proteggersi dai rischi esterni e interni. Le verifiche dell’identità e i controlli degli accessi hanno acquisito maggiore importanza perché la criminalità cibernetica è sempre più diffusa. Le banche dipendono dai dati, e quindi hanno bisogno di sistemi di back-up per recuperare i dati critici se qualcosa va storto. Il ripristino dei dati è ciò che esaminiamo, fra le altre cose, nella prova di stress sulla resilienza cibernetica.

Può dare qualche indicazione sulla prima prova di stress sulla resilienza cibernetica che la Vigilanza bancaria della BCE dovrebbe svolgere quest’anno?

Per la prima volta, le banche dovranno mostrare come risponderebbero a un attacco cibernetico che riesca a interrompere i servizi di base. Un attacco cibernetico è considerato “riuscito” se la banca non è in grado di continuare a fornire i servizi di base dopo l’attacco. Vogliamo vedere come le banche reagiscono, ripristinano l’operatività e anche come comunicherebbero l’attacco cibernetico ai propri clienti. Gli incidenti cibernetici devono essere segnalati alle autorità di vigilanza, ma le banche dovrebbero anche essere preparate a comunicare con il mondo esterno in queste circostanze.

Perché la comunicazione con la clientela è così importante nella gestione del rischio informatico?

Le banche dovrebbero pianificare come comunicare un attacco cibernetico all’esterno o come contrastare le notizie false. Prima dell’entrata in funzione del Meccanismo di vigilanza unico, abbiamo visto in Bulgaria quanto questo sia importante. Nel luglio 2014 un attacco cibernetico insieme a una newsletter spam sui social media ha scatenato corse agli sportelli di due importanti banche bulgare. E l’anno scorso la crisi bancaria regionale negli Stati Uniti ha mostrato come oggi le corse agli sportelli possano essere innescate in pochi minuti sui social media.

La priorità principale di una banca è comunicare un evento del genere all’autorità di vigilanza, in linea con il quadro di riferimento per la segnalazione degli incidenti. Le banche però dovrebbero anche informare i clienti in merito a questi incidenti. Nell’ambito del proprio piano di comunicazione in caso di crisi, una banca dovrebbe essere in grado di comunicare immediatamente se diventa oggetto di notizie false dannose o di disinformazione attraverso i social media o qualsiasi altro canale.

In caso di attacco cibernetico o disfunzioni informatiche, le banche dipendono da una buona reputazione maturata su un periodo lungo riguardo alla comunicazione. Devono conquistare la fiducia dei clienti quando non vi sono problemi, di modo che, se si verificano, la comunicazione sia efficace e affidabile. Com’è ovvio, influiscono favorevolmente anche una buona base patrimoniale, una liquidità sufficiente, un modello di business redditizio e infrastrutture ben funzionanti.

Gli attacchi cibernetici sono aumentati? E se lo sono, di quanto?

Il numero di incidenti cibernetici segnalati nel settore bancario europeo è quasi raddoppiato nel 2023 rispetto al 2022. Il contesto cibernetico è diventato più ostile rispetto al passato, per via degli atti aggressivi di Stati autoritari o di cibercriminali riconducibili a questi. Gli attacchi sono aumentati numericamente e sono diventati più sofisticati. Non si può ribadire abbastanza quanto sia importante che le banche restino vigili e continuino a prestare attenzione alla resilienza. Il Comitato europeo per il rischio sistemico sta studiando l’impatto sistemico degli attacchi cibernetici sul sistema bancario e la perdita di fiducia nel settore che possono causare, nonché il modo in cui le banche possono prepararsi a questi scenari.

Quali sono le forme più comuni di attacco cibernetico contro le banche?

In base alle segnalazioni gli attacchi di tipo “distributed denial of service” sono i più diffusi negli ultimi anni. Anche gli attacchi ransomware sono diventati più comuni, un fatto allarmante perché bloccano l’accesso della banca ai propri dati. Gli attacchi cibernetici prendono spesso di mira i fornitori terzi di servizi. Per mitigare il rischio informatico le banche devono effettuare controlli sul livello di sicurezza informatica posto in essere dalle parti terze. Devono considerare dove avviene l’esternalizzazione: le parti terze nei paesi in una situazione politica fragile o con infrastrutture deboli possono comportare costi minori, ma anche maggiori rischi. Il nuovo regolamento dell’UE sulla resilienza operativa digitale (DORA), che entrerà in vigore il 17 gennaio 2025, darà un contributo al riguardo.

Perché il regolamento DORA è così importante?

Grazie al regolamento DORA i fornitori terzi di servizi critici saranno sottoposti a vigilanza. Pur non essendo direttamente responsabile, la Vigilanza bancaria della BCE parteciperà ai nuovi gruppi di vigilanza congiunti. Si tratta di un’area del tutto nuova che prevede segnalazioni speciali da parte delle banche e test di penetrazione basati sulle minacce, i “threat-led penetration test”, condotti da esperti esterni indipendenti. La BCE avrà poteri più ampi in quest’area e, pertanto, anche noi dovremo assumere un maggior numero di esperti in questo settore in crescita, cosa che potrebbe rivelarsi difficile data l’attuale scarsità di lavoratori qualificati.