1.4 Gli effetti della digitalizzazione sul settore bancario
1.4.3 Aumento dell’esposizione al cyber risk
Abbiamo visto che la rivoluzione digitale ha apportato molteplici benefici al settore bancario, riuscendo a modificare modelli di business, strategie e strutture organizzative tradizionali degli istituti di credito. In una società in cui Internet e le nuove tecnologie sono considerati parte integrante delle nostre vite e delle quali non possiamo fare a meno, è stato necessario un adeguamento da parte delle banche, in modo da recuperare la distanza che si era creata negli ultimi tempi tra le stesse banche e i propri clienti. L’avvento delle nuove tecnologie ha infatti avvicinato le due parti, e le banche non sono più considerate una mera istituzione finanziaria, ma un luogo dove i clienti possono trovare le risposte ai propri bisogni, in termini di assistenza e consulenza. Il web e le app
38https://www.rendimax.it/. 39https://community.ingdirect.it/.
44
mobile consentono oggi anche una maggiore indipendenza ai clienti, i quali possono agevolmente effettuare operazioni di pagamento con moneta diversa da quella tradizionale, aprire un conto corrente online, sottoscrivere un contratto attraverso la firma su tablet oppure controllare il proprio saldo tramite uno smartphone in qualsiasi momento e luogo, tutto questo senza necessità di intermediazione.
È innegabile che la rivoluzione 4.0 abbia semplificato la nostra vita, ma il quasi “morboso” utilizzo del web e l’interconnessione tra i vari dispositivi ha causato l’emergere di una nuova categoria di rischio, ossia il cyber risk.
Tutti i device che le aziende si trovano ad utilizzare ogni giorno comportano una diffusione impressionante di informazioni personali e dati sensibili: i facili accessi che gli strumenti digitali consentono costituiscono una ghiotta opportunità per tutti coloro che sono intenzionati a danneggiare un’impresa.
In sostanza, possiamo dire che la digitalizzazione è sì un’opportunità, ma è anche un rischio: è un’opportunità perché consente una maggiore apertura al cliente e una maggiore rapidità negli scambi di flussi informativi, ma rappresenta anche una minaccia perché tale apertura facilita il furto di dati da parte di malintenzionati, che possono essere esterni oppure appartenenti all’azienda stessa, questi ultimi facilitati dal fatto di poter avere accesso a strumenti e informazioni riservate.
Come si intuisce dal nome, il cyber risk è un rischio legato all’utilizzo delle tecnologie dell’informazione e della telecomunicazione. In passato era considerato un rischio quasi residuale, in quanto le banche facevano un uso limitato di strumenti digitali ed erano quindi meno esposte a questa tipologia di rischio. Oggi invece, il cyber risk è una delle sfide più importanti che gli istituti di credito si trovano a dover affrontare, ed essendo un rischio relativamente recente, deve essere compreso e affrontato in maniera adeguata, sperimentando delle strategie di cyber security in modo da poterlo attenuare, se non eliminare.
Il cyber risk colpisce le banche non solo direttamente, ma anche indirettamente: nel primo caso, esse possono subire attacchi da parte di hacker, i quali infettano le infrastrutture informatiche con dei malware; nel secondo caso, sono i clienti ad essere attaccati, tramite tecniche di social engineering. Nel prosieguo del lavoro verranno analizzate in dettaglio queste tipologie di attacchi informatici, ma quello che è importante capire è che la maggiore disponibilità dei clienti nel fornire i propri dati personali alle banche e, viceversa, la presenza di grandi quantità di dati all’interno dei sistemi informativi degli istituti finanziari, aumenta in maniera esponenziale l’esposizione al rischio informatico,
45
ossia il rischio che i propri dati vengano rubati e utilizzati per scopi fraudolenti da parte di soggetti esperti in hackeraggio. Con il passare del tempo, gli attacchi stanno diventando sempre più articolati e sofisticati, per cui diventa più difficile per le banche difendersi: ciò su cui gli istituti dovrebbero focalizzarsi è la predisposizione di strategie di prevenzione nell’ambito del cyber risk40.
L’impressione che proviene dal settore bancario è che gli istituti di credito siano ancora poco consapevoli della pericolosità del cyber risk: infatti, pur essendo un rischio circoscritto all’utilizzo della tecnologia, i suoi potenziali effetti riguardano tutto il business, potendo impattare sia sull’aspetto economico, tramite perdite finanziarie dirette, sia sull’aspetto reputazionale, in quanto un attacco informatico può causare perdite di fiducia da parte del cliente, il quale non si sente più sicuro ad affidare i propri risparmi ad una banca che non può garantire un’idonea protezione nei suoi confronti.
L’entusiasmo nell’adozione della tecnologia dell’Internet of Things ha messo in secondo piano la sicurezza degli oggetti connessi, e questo li rende più appetibili ai cyber criminali e più vulnerabili agli incidenti informatici. Una delle maggiori sfide nell’adozione dell’IoT è indubbiamente la difesa contro il cyber risk. Le tecnologie IoT sono un bersaglio per gli hacker sia per le falle presenti nei sistemi di sicurezza, sia per l’elevata interconnessione che esse creano tra gli oggetti.
Lo sviluppo dell’Internet of Things ha accentuato le probabilità di accadimento di incidenti di sicurezza informatica: nel 2016 sono raddoppiati gli attacchi di tipo DDoS, ossia attacchi distribuiti provenienti da varie fonti che hanno l’obiettivo di impedire di raggiungere e utilizzare un sito web41. La crescita degli attacchi informatici di questo tipo dimostra come sia latente l’affidabilità dei dispositivi connessi a Internet, perciò occorre certamente agire sulla sicurezza fin dalla progettazione del prodotto, ma è altrettanto importante educare i soggetti che utilizzano l’IoT a prestare attenzione alla vulnerabilità dei dispositivi, adottando misure di cybersecurity aggiuntive.
Anche l’utilizzo dell’intelligenza artificiale può diventare una potenziale minaccia per la sicurezza informatica: infatti, se da un lato questo ramo della tecnologia costituisce un’efficiente ed efficace difesa contro il cyber risk, dall’altro gli hacker stanno puntando all’AI per affinare le proprie metodologie di attacchi informatici. I cyber criminali
40 Se non è possibile contrastare un attacco informatico, occorre agire e concentrarsi sulle azioni da
compiere per evitare che l’attacco si compia e che provochi conseguenze devastanti.
41 Techeconomy, “Pochi controlli di sicurezza su dispositivi IoT contribuiscono a raddoppiare cyber
46
possono sfruttare le falle di sicurezza presenti nei robot e dunque manipolarli per raggiungere i propri scopi malevoli, come ad esempio il furto di password dei clienti42.
È importante quindi che le banche, per non perdere i vantaggi ottenuti tramite la digital transformation, mettano al primo posto la cybersecurity, che dovrebbe consentire di utilizzare liberamente le tecnologie e metterle a disposizione dei clienti, ma senza compromettere la sicurezza dell’istituto di credito e degli stessi clienti.
Per concludere, si può affermare come il processo di digitalizzazione affrontato dalle banche sia imprescindibile per mantenere una posizione competitiva sul mercato, anche a fronte dei vantaggi che essa comporta; d’altra parte, le stesse banche devono porre attenzione ai rischi derivanti dall’utilizzo di risorse informatiche nella propria operatività. Il cyber risk è una delle minacce più importanti che il settore bancario dovrà contrastare nel prossimo futuro, ed è necessaria una consapevolezza di tale rischio e una strategia di prevenzione a livello globale.
47