Il settore bancario è in rapida trasformazione. Mobility, moneta virtuale, crowdfunding e social networking sono alcune delle nuove frontiere del mondo digitale che il settore finanziario si appresta a cavalcare. Un percorso verso il business digitale che presenta grandi opportunità. Ma che allo stesso tempo necessita di grande attenzione alla sicurezza per conciliare le esigenze di protezione, riservatezza e privacy con quelle di apertura a clienti, partner e collaboratori
Sembra quasi di vederli. Dreadlock e piercing come contrappunto ai colletti inamidati dei superbanchieri di Wall Street. Sono i profeti, gli evangelisti dei bitcoin. Specialisti che sono riusciti a ritagliarsi uno spazio nei templi mondiali della finanza. O almeno in quelli dove è rimasto quel briciolo di umiltà per capire che per rimanere competitivi occorre essere ancora più bravi nel fiutare il business e poi incorporarlo in fretta nella propria infrastruttura. Prima che altri provino a batterti sul tuo stesso terreno. Proprio quel che sembra abbiano fatto JPMorgan Chase e Goldman Sachs – non esattamente due startup e che di monete qualcosa capiscono – creando piccoli team di trader che si scambiano bitcoin. Per familiarizzare con questa valuta elettronica emergente. E studiarne gli effetti. Non un’innovazione alla portata di tutti. La procedura per acquistare i bitcoin è tutt’altro che friendly. E neppure si può ancora parlare né di capillarità né di diffusa accettazione della moneta elettronica. Le cose però potrebbero cambiare in fretta. Nel giro di una decina d’anni, il numero di negozi disposto ad accettarlo potrebbe raggiungere la massa critica necessaria a decretarne il successo. Se davvero i bitcoin diventeranno un mezzo di pagamento diffuso e accettato, assisteremo a una ramificazione dell’ecosistema che ha generato questa rivoluzione. E il ruolo delle banche – sebbene i più radicali sostengano che i bitcoin sono nati anche per saltare la loro intermediazione – molto probabilmente sarà ancora centrale nel processo.
L’anno della svolta
La scossa in effetti c’è stata. Più di sei miliardi di euro. A tanto ammonta la cifra investita dal sistema bancario in tecnologie digitali. Per la precisione sei miliardi e 400 euro come certifica il rapporto Assinform 2015. Un budget in crescita rispetto all’anno precedente. «Se analizziamo le dinamiche di investimento, emerge chiaramente che quest’anno il settore bancario ricomincia a investire» – ci dice Giorgio Mosca, responsabile area sicurezza informatica di Assinform. Dopo anni di crisi, più contenuta rispetto ad altri settori (- 0,8% lo scorso anno, contro una media del 4 e 5%), la crescita nel 2014 si attesta a un + 0,8%. Solo un timido segnale di ripresa, nulla di eclatante, intendiamoci. Però si arrivava da cinque anni di crisi nera. E dunque il dato va valutato positivamente. Le priorità di investimento secondo il Rapporto Abi Lab (Centro di ricerca e innovazione per la banca promosso dall’ABI) riguardano i processi di dematerializzazione dei documenti, la gestione della relazione con il cliente, l’intercanalità, la modernizzazione delle infrastrutture informatiche. Ma la vera novità degli ultimi due anni è rappresentata dalla crescita degli investimenti in servizi online, mobile banking e mobile payment in prima linea.
«Gli investimenti riguardano soprattutto i servizi Internet e mobile» – ci conferma Mosca. Questo dato certifica la maggiore attenzione del settore alla trasformazione digitale del business. Sempre di più una priorità strategica per le banche. Tanto che oggi tutto il comparto, dal grande gruppo internazionale alle piccole realtà locali, è impegnato nel lancio di nuovi canali dedicati all’Internet e al mobile banking. Ma non solo. La corsa è a riposizionare l’offerta. E a cogliere nuove opportunità, veicolando la vendita di prodotti che sino a pochi anni fa i clienti neppure cercavano in banca. Pensiamo al boom delle assicurazioni auto online, oggi una voce importante di ricavi per il settore. Una multicanalità in cui il digitale fa la parte del leone. Un cambio di marcia che promette bene sia in chiave di servizi innovativi sia di incremento della domanda ICT più evoluta. Il segnale di una maggiore consapevolezza del settore circa l’importanza di innovare. Anche perché nuovi attori e nuovi servizi minacciano di sottrarre quote di mercato e di rendere meno stretto quel rapporto tra banche e clienti costruito negli anni e mai come oggi a rischio di volatilizzazione.
Sull’onda della spinta a innovare, anche l’asse degli investimenti in sicurezza si sposta verso i servizi innovativi e non solo in direzione delle tradizionali misure di sicurezza volte a garantire il funzionamento efficace dei sistemi di gestione, la sicurezza delle transazioni, la continuità del business, il disaster recovery, la protezione di dati e applicazioni da intrusioni e malcode. Ma un’iniezione di denaro fresco destinato alla messa in sicurezza dei servizi utilizzati via web dagli utenti. Utenti che le banche avevano la necessità di recuperare. A partire dal quadrante degli investimenti. «Servizi di questo tipo devono per forza accompagnarsi a un’attenzione alla sicurezza. Per ragioni sia di natura regolatoria sia pratica» – premette Mosca. «Se si analizza lo spettro delle aree di investimenti delle banche nell’ultimo periodo, appare chiaro che in questo momento di ripresa le banche cercano di riappropriarsi anzitutto della relazione con il cliente. Lavorando fondamentalmente sull’Internet e mobile banking, sul crm e su tutto quello che serve per identificare i bisogni del cliente. E poi sulla sicurezza sia per motivi pratici che regolatori».
Un fattore quest’ultimo che contribuisce – almeno in parte – a far crescere la spesa globale. L’aumento delle minacce si traduce anche in maggiori investimenti? Senza dubbio le banche sono uno dei target principali degli attacchi. Quelli più recenti poi si concentrano proprio su questi nuovi servizi web e mobile. «Di conseguenza, anche nella parte bancaria, i servizi di sicurezza giocheranno un ruolo crescente e la spesa di sicurezza è probabilmente in crescita» – conferma Mosca. Che gli investimenti crescano in valori assoluti nel settore bancario è indirettamente confermato anche dal trend di crescita positivo degli investimenti in sicurezza tout court. «Consideriamo che in generale, la spesa in cybersecurity è una di quelle che ha un trend di crescita più significativo» – afferma Mosca. E le proiezioni disponibili ci dicono che il dato sarà significativo anche nei prossimi anni. «A livello mondiale, si ipotizza una crescita del 9%, mentre per quel che riguarda l’Italia, la crescita stimabile si aggira attorno all’8,5%» – dichiara Mosca. Valori di tutto rispetto. Che risaltano ancora di più se si confrontano con i dati che Assinform ci fornisce in relazione al valore del mercato (circa 772 milioni di euro in Italia) e al comparto digitale.
Questioni di budget?
La sicurezza è una componente fondamentale del servizio nel settore bancario. Che va di pari passo con il livello del servizio associato. In altre parole: se non c’è una sicurezza adeguata, il cliente lo percepisce subito. Con la diffusione sempre più massiccia dei servizi di web e mobile banking, questa esigenza è se possibile ancora più sentita. E di cui le banche non possono non tenere conto. Per questo la sensibilità ai temi della sicurezza si riscontra sin dalla fase di ideazione di un certo servizio. La security è percepita come un elemento significativo e non accessorio di un servizio. Un tema affrontato sin nelle fasi iniziali di sviluppo di applicazioni e architetture. Un vincolo dal quale non si può derogare. Anche per via di una normativa più stringente. A livello nazionale ed europeo. Alcune raccomandazioni della BCE sulla sicurezza dei pagamenti Internet richiedono la presenza delle soluzioni più sicure esistenti sul mercato (one-time password, strong authentication). Diventa difficile persino progettare nuovi servizi digitali senza dover traguardare anche quelle misure che la BCE e BI hanno definito in termini di sicurezza. In questo quadro, qualcuno potrebbe essere indotto a credere che il budget rappresenti un problema nel settore. Come – in effetti – accade altrove. Ma non è così. «Nel nostro Paese, il settore bancario è tradizionalmente uno di quelli più sensibili, più soggetti a obblighi normativi e, anche per questo, con budget più elevati in materia di sicurezza delle informazioni» – rileva Fabio Guasconi, membro del direttivo CLUSIT.
«Dai dati del nostro rapporto, emerge chiaramente che la sicurezza è una delle priorità d’investimento nel settore bancario» – riprende Mosca di Assinform. Si tratta di perseguire continuità, equilibrio e flessibilità degli investimenti. Questo contesto inoltre ha portato a una maggiore analiticità nel volume degli investimenti. Gli investimenti non sono più un esercizio arbitrario, ma correlati al rischio valutato analiticamente. Questo cambio di paradigma modifica completamente l’approccio al problema. Non si tratta più di diffondere una maggiore cultura del business tra il personale di banca che segue l’IT, quanto di aver definito delle valutazioni analitiche che mettano in evidenza le soluzioni tecniche necessarie per proteggere i servizi digitali. E di conseguenza investire di più. In altre parole, il range entro cui oscilla il budget destinato alla sicurezza è il risultato di considerazioni sempre più analitiche. Se a un certo punto ci si trova a dover far fronte a un trend crescente di rischi e a perdite economiche ma si dispone di una valutazione dei rischi – passati e futuri – che restituisce la situazione di quel che si è già investito e si sta investendo, si possiede la forza organizzativa per giustificare e rafforzare gli investimenti in sicurezza informatica. E se necessario, l’IT è in condizioni di fare arrivare queste decisioni – e la normativa lo prevede – sul tavolo dell’AD e del board. Ciò dà ancora più forza a chi valuta la necessità di investire di più, potendo appoggiarsi a un processo strutturato di valutazione del rischio per trovare il giusto equilibrio tra le varie voci di investimento. In questo periodo, il tema interno alle banche è di bilanciare gli investimenti tra la sicurezza del front-end e quella del back-end. «Le banche hanno sempre investito molto sulla sicurezza del back-end. Oggi, che gli investimenti si sono spostati sul front-end, le due aree si devono allineare» – spiega Mosca. Gli investimenti poi dovrebbero procedere in linea con la strategia che la banca delinea. Fare in modo cioè che le risorse dedicate alla sicurezza siano coerenti con le scelte strategiche di fondo. Improntate se possibile alla continuità. Ma allo stesso tempo abbastanza flessibili per adeguarsi al cambiamento. Come in effetti è avvenuto con la già citata svolta digitale e l’accantonamento di budget dedicati alla sicurezza più consistenti.
Minacce e analisi dei rischi
Attenzione al problema della sicurezza e obblighi normativi incidono sui budget in materia di sicurezza delle informazioni nel comparto bancario. Budget adeguati, obblighi normativi e attenzione al problema pur costituendo un buon punto di partenza non sono di per sé sufficienti a garantire un livello adeguato di sicurezza né a rispondere alle nuove minacce che ogni giorno si evolvono nel mondo, come spiega Guasconi di CLUSIT. Assistiamo allo sviluppo di modalità sempre più complesse. E cresce continuamente la cosiddetta superficie di attacco, cioè il numero e l’ampiezza di quelle che sono le aree che è possibile sottoporre a un attacco. «Una realtà di cui bisogna tenere conto. La superficie d’attacco cresce perché continuiamo ad aggiungere dispositivi e applicazioni. E tra le prime organizzazioni a farlo ci sono sicuramente le istituzioni finanziarie» – afferma Mosca. Una sfida impegnativa anche per le banche, che richiede una capacità di risposta adeguata. Non solo. «Problematiche possono riscontrarsi da parte delle singole organizzazioni piuttosto che del sistema nel suo complesso, nel mettere in atto con un approccio dinamico le azioni di prevenzione, protezione e governance necessarie, lavorando sul piano tecnologico, organizzativo, di processo» – conferma Fabio Rizzotto, research director di IDC. Ed è lecito chiedersi per esempio se l’analisi dei rischi e dei danni che gli attacchi informatici possono provocare sul piano del business e dell’immagine aziendale sia correttamente valutata dal settore bancario in Italia. Alcune recenti indagini di IDC Italia ci forniscono una prima bussola per orientarci tra la serie di rischi di business e IT percepiti dalle istituzioni bancarie. «In termini di intensità percepita, la perdita di dati personali/finanziari e potenziali danni alla reputazione sono ai primi posti. Non mancano anche i rischi legati a possibili sanzioni da parte di autorità di controllo, oltre che i costi di intervento IT. Tuttavia, il settore bancario in Italia è «consapevole dei rischi e dell’esposizione – dichiara Rizzotto di IDC. Perciò non riteniamo che ci siano carenze sotto il profilo dell’osservazione e della valutazione del fenomeno, seppur sfuggente e complesso».
Problemi organizzativi
La trasformazione organizzativa e culturale potrebbe rappresentare un elemento di debolezza nel quadro degli ambiti di intervento delle banche. «Accanto agli aspetti di metodo e progettuali, nel percorso evolutivo è importante prestare attenzione da un lato alle novità tecnologiche (per esempio soluzioni di Security Intelligence o di Predictive Security) e dall’altro alla crescita di attitudini e competenze. Chief security officer (CSO), security manager, risk manager dovranno sempre più bilanciare le competenze tecnologiche con le competenze di processo e applicative, la capacità di relazione con il business, la capacità di osservare fenomeni complessi, lavorando su dati e informazione, policy making…» – osserva Rizzotto. In questo senso disporre di una «struttura organizzativa dedicata alla sicurezza e una figura apicale che risponda ai vertici aziendali è un passaggio fondamentale in questa prospettiva, già intrapreso in altri settori in tutto il mondo ma che ancora langue in quello bancario» – afferma Guasconi. Per esempio, il grande gruppo bancario con sedi e filiali in tutto il mondo dispone senza dubbio di strutture specializzate dedicate alla sicurezza. Che aggiornano e informano sull’evoluzione degli attacchi e lo stato della sicurezza nel gruppo. Questi team gestiscono molti aspetti che riguardano la sicurezza, compreso la scelta dei prodotti e dei servizi che vengono acquistati centralmente e poi adattati alle singole realtà locali. Tuttavia, una struttura troppo centralizzata con un unico CSO per tutto il gruppo rischia di allontanarsi troppo dalle singole realtà e dai problemi locali. Inoltre, diventa difficile per quest’unico CSO riuscire a delineare una strategia unica adattabile alle peculiarità (anche normative) dei singoli paesi. Un problema questo particolarmente evidente quando si tratta di compliance. La gestione centralizzata della sicurezza inoltre può generare situazioni di sovrapposizioni di policy. In ogni caso – anche quando si tratti di un gruppo presente solo sul territorio nazionale – lavorare sulla consapevolezza del management non è mai un esercizio inutile. A partire dai chief information security officer (CISO). è importante riuscire a sensibilizzare il top management. Portare cioè all’attenzione dei vertici i dati che riescono a dare una visione chiara dei problemi. In questo senso una comunicazione efficace tra le parti è sempre auspicabile. Senza dubbio è importante che gli uomini della security siano capaci di farsi ascoltare dal management. E per questo servono procedure che consentano un confronto periodico e la discussione dei risultati che si vogliono ottenere. Solo così sarà possibile far accettare l’idea che la sicurezza è una componente essenziale della qualità di prodotti e servizi e non un componente accessorio.
Formazione e continuità
Il cybercrime ha ampiamente dimostrato di essere in grado di sfruttare efficacemente tutte le tecnologie disponibili, anche quelle più innovative, piegandole ai propri scopi. Allo stesso modo si serve delle persone. E delle loro debolezze. Per questo rimane sempre attuale puntare sulla formazione delle persone. Fare in modo che i propri collaboratori siano pronti, anche dal punto di vista mentale, ad affrontare e se possibile prevenire i nuovi attacchi è un obiettivo che le aziende dovrebbero continuamente perseguire. «è necessario sensibilizzare costantemente tutto il personale sull’importanza del tema e sul comportamento da utilizzare, sfruttando le nuove tecnologie per garantire sempre un alto livello di sicurezza delle informazioni» – conferma Guasconi di CLUSIT. Un investimento il cui ritorno non è sempre immediato, ma importante per l’azienda. Purtroppo, il problema non si esaurisce formando il personale interno e riguarda soprattutto la clientela delle banche, prese da due necessità. Da un lato rendere i servizi semplici da utilizzare da parte della clientela e dall’altro mettere in campo delle misure che assicurino un elevato grado di sicurezza. Occorre cioè muoversi nei riguardi del cliente sia per rafforzarne la consapevolezza sia per spingerlo all’adozione di comportamenti di sicurezza adeguati alla gravità della minaccia. Oggi, in modo sempre più capillare, un gran numero di istituzioni del settore bancario è sceso in campo. Per esempio, Banca d’Italia ha approntato un vademecum in cui si sintetizzano le misure di sicurezza fondamentali che banche e utenza debbono adottare. Tutte le banche poi emettono informative a livello contrattuale, cercando di rappresentare già al momento dell’adesione al servizio la natura degli eventuali rischi e il livello di attenzione che devono avere i clienti. L’azione di sensibilizzazione prosegue sia in filiale sia attraverso il contact center. Il rapporto ABI Lab conferma che queste azioni sono portate avanti da una percentuale elevatissima di banche. Abi LAB – inoltre – porta avanti nel mondo dell’associazione bancaria un’opera di sensibilizzazione attraverso la collaborazione con la polizia postale. Mentre per le aziende è disponibile un documento specifico Linee guida sulla sicurezza informatica.
Uno sforzo che nasce da una constatazione precisa, l’elevato grado di rischiosità rilevato. Secondo un sondaggio realizzato da Kaspersky Lab e B2B International, quasi la metà (42%) degli utenti Internet italiani crede che le attività bancarie tradizionali siano più sicure di quelle online. Tuttavia, nonostante questi timori, la maggior parte degli intervistati effettua alcuni pagamenti online senza prendere neppure le misure di sicurezza di base, mettendo i propri soldi e la reputazione delle banche a rischio. Perciò va ancora una volta sottolineata la necessità di fare formazione. La sicurezza poggia su un pilastro fondamentale: la consapevolezza del problema, che si ottiene soltanto attraverso la formazione e la sensibilizzazione. Le aziende associate che operano in questo settore tendono a dire che ci sono tre pilastri: la tecnologia, l’organizzazione e la consapevolezza. Non a caso, una buona parte delle vulnerabilità sono strettamente collegate a temi quali il social engineering, lo spear phishing e tutte quelle forme di attacchi che fanno leva sulla mancanza di informazioni da parte delle persone che dovrebbero operare. «In Italia, il settore bancario è tradizionalmente molto sensibile al rischio (operativo, di credito…), ma sfortunatamente il rischio relativo alla sicurezza informatica rientra sempre con una certa difficoltà nei modelli di calcolo del rischio a supporto delle decisioni strategiche e anche tattiche» – afferma Guasconi. La continuità pertanto rappresenta un atout importante nella strategia di sicurezza di una banca. E per dare continuità alla strategia di sicurezza, un buon punto di partenza è di misurare l’impatto degli investimenti e delle misure di sicurezza adottate. «La sicurezza è sempre un compromesso tra diversi fattori: costi, rischi e opportunità. Massimizzare i ritorni di business da investimenti in sicurezza significa quindi anche misurare miglioramenti di processo e organizzativi, oltre che rispetto e “aderenza” alle norme» – dichiara Rizzotto di IDC Italia. Ritorna ancora una volta l’importanza della formazione. Una preparazione adeguata consente all’IT di rispondere alle sfide lanciate dalle minacce informatiche. Riuscire a misurare periodicamente e in modo sistematico l’impatto degli attacchi, degli incidenti, dei falsi positivi conferisce un vantaggio importante all’IT. Serve – una volta ancora – un aggiornamento continuo del personale IT sull’evoluzione dello scenario cybercrime e sicurezza. Senza lesinare mezzi e risorse. Evitando in ultima analisi di interpretare la sicurezza come un modello passivo, proiettato soltanto verso la mera protezione di asset e dati, e non invece come un processo continuo che si deve integrare in modo armonico con la strategia digitale dell’istituto finanziario.
