Più spese per la sicurezza
Cresce il budget dedicato dal sistema finanziario alla protezione dagli attacchi informatici
È sufficiente dare un’occhiata alle cronache recenti e alle notizie di giganteschi furti di dati, incursioni informatiche in siti politicamente sensibili per accorgersi di quanto il tema della cyber sicurezza sia destinato ad assumere sempre maggiore importanza. A maggior ragione in un settore come quello di banche e istituzioni finanziarie, tra i più esposti alle mire della criminalità informatica per i movimenti di denaro gestiti e il valore dei dati custoditi.
Il 2013 si può considerare un anno di svolta. Organizzazioni cyber criminali come Carbanak alzano drammaticamente il livello degli attacchi riuscendo a sottrarre in più operazioni circa 1 miliardo di dollari introducendosi nei sistemi delle banche attraverso “malware” contenuti in allegati Microsoft Office. Secondo rilevazioni di PwC effettuate in 55 paesi, tra oltre 1.000 financial services, dal 2013 il numero di attacchi nel settore finanziario si è stabilizzato. Nel 2016 si sono registrati poco meno di 5 mila incidenti ma se gli attacchi verso istituzioni medio grandi risulta sostanzialmente stabile, crescono le incursioni a danno dei soggetti più piccoli. Ad aumentare sono anche l’impatto economico medio delle frodi e gli investimenti per proteggersi.
Dal 2013 le spese per la difesa informatica sono cresciute del 67% (+ 11% solo nel 2016) con importi che in media superano or- mai i 7 milioni di dollari. I budget per la cyber sicurezza sono destinati a crescere ancora nei prossimi anni, anche in ragione di novità regolamentari che entreranno a regime da qui al 2018. Secondo Paolo Carcano, Director technology FS e Roberto Lorini, responsabile Fintech Italia entrambi di PwC è verosimile che il 30-40% dei nuovi investimenti del settore sarà destinato ad iniziative di compliance guidate da nuovi obblighi normativi anche in materia di sicurezza informatica.
Il nuovo regolamento europeo sulla privacy (GDPR - 2016/679) sarà infatti direttamente applicabile in tutti i paesi dal 25 maggio 2018 ed introduce criteri e pratiche più stringenti a tutela del consumatore. Va detto che la normativa italiana è già particolarmente evoluta a confronto di altri paesi europei e quindi per gli operatori del nostro paese non si tratta di una rivoluzione. In particolare il nuovo regolamento prevede anche per i dati bancari il diritto all’oblio, la portabilità dei dati (un po’ sul modello di quanto accade oggi per i gestori telefonici), procedure più efficienti e severe per la segnalazione di attacchi e violazioni dei dati, l’istituzione di un “data protection officier”. Inoltre le sanzioni vengono di molto elevate fino a raggiungere, in alcuni casi, il 4% del fatturato globale.
Entro il 13 gennaio del 2018 gli stati europeo dovranno recepire anche l a direttiva europea sui servizi di pagamenti 2015/2366 (PSD2) che promette un forte impatti sui modelli di business del settore. È infatti prevista la possibilità per chi usa un conto on line di effettuare pagamenti o accedere alla rendicontazione bancaria attraverso software realizzati da terze parti (ad esempio applicazioni per pagamenti on line o monitoraggio di più conti correnti). Per aumentare gli standard di sicurezza, a fronte di potenziali rischi che crescono con il numero dei soggetti coinvolti, verranno definite metodologie per la certificazione dell’identità dell’utente.
Alcune indicazioni in merito sono contenute in un paper pubblicato dall’Autorità bancaria europea ( EBA) lo scorso agosto mentre la versione definitiva è attesa per il prossimo febbraio. In caso di transazioni non autorizzate la nuova direttiva prevede che la banca dove è aperto il conto dovrà rimborsare immediatamente il titolare salvo poi disporre di un diritto di regresso verso la terza parte eventualmente responsabile. Non solo. In base agli ultimi aggiornamenti della circolare 285 di Banca d’Italia le banche italiane sono chiamate a valutare e gestire i rischi della propria filiera produttiva definendo requisiti e controlli anche verso i fornitori e le terze parti in generale, inclusi eventuali servizi in cloud.