Definizione di cyber risk e legame con gli altri risch

48

La rivoluzione tecnologica che sta investendo il settore bancario ha fatto emergere una nuova categoria di rischio: il cyber risk. Una definizione ufficiale di cyber risk è contenuta nel 15° aggiornamento della Circolare 263/2006 di Banca d’Italia: esso è definito nel capitolo 8 dedicato ai sistemi informativi come “il rischio di incorrere in perdite

economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologie dell’informazione e della comunicazione (ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici”43. Da questa definizione fornita dalla Banca d’Italia emerge una sostanziale trasversalità del rischio informatico: infatti, sebbene il cyber risk sia un rischio legato all’utilizzo della tecnologia, le sue conseguenze impattano su vari aspetti, come quello economico, reputazionale e competitivo/strategico.

Il cyber risk è un rischio a sé stante, tuttavia esso può essere collocato, nell’ambito della vigilanza prudenziale, nella categoria dei rischi operativi. Infatti, per rischio operativo si intende il “rischio di perdite derivanti dall’inadeguatezza o dalla disfunzione di

procedure, risorse umane e sistemi interni, oppure da eventi esogeni”44_.

Con questa definizione Banca d’Italia mette in luce quattro fonti di rischio operativo, ovvero processi, risorse umane, sistemi informativi ed eventi esogeni; è evidente dunque che il rischio informatico può essere fatto rientrare tra i rischi operativi, poiché il cyber risk è un rischio che ha a che fare con l’operatività bancaria.

In un paper viene fornita una classificazione minuziosa delle quattro fonti di rischio operativo, le quali vengono suddivise in sottocategorie, e poi ciascuna di esse è ulteriormente scomposta in vari “elementi”45_.

Nell’articolo sono evidenziati i rischi più frequenti per ogni categoria e la loro suddivisione in vari elementi, che possono essere riassunti nella seguente tabella 1:

43 _{L’emanazione della Circolare n°285/2013 ha permesso di abrogare la precedente Circolare n°263/2006,}

che rimane comunque valida per le banche e i gruppi bancari in particolare per quanto riguarda alcuni capitoli, come il capitolo 7 denominato “Il sistema dei controlli interni”, il capitolo 8 intitolato “Il sistema informativo” e il capitolo 9 dal titolo “La continuità operativa”.

44 _{Banca d’Italia, “Recepimento della nuova regolamentazione prudenziale internazionale. Rischi operativi}

(Metodi avanzati-AMA)”, Luglio 2006.

49 Fonti di rischio operativo Sottocategorie Elementi Risorse umane - Azioni involontarie/casuali - Azioni volontarie/deliberate - Inazioni/inerzia

- Errori causati da incomprensione, ignoranza o negligenza

- Frode, sabotaggio, furto, vandalismo

- Skills, knowledge, assistenza, disponibilità Disfunzioni di sistemi e tecnologie - Hardware - Software - Sistemi - Capacità, performance, manutenzione, obsolescenza

- Compatibilità, gestione della configurazione, controlli, regolamentazione della sicurezza, procedure di verifica, codifiche - Design, requisiti, integrazione,

complessità Disfunzioni delle procedure - Design ed esecuzione dei processi - Controlli - Supporto ai processi

- Flusso e documentazione dei processi, ruoli e responsabilità, notifiche e allarmi, flussi informativi, accordi sui livelli di servizio

- Monitoraggio dello status dei processi, metrica, revisione periodica, responsabilità dei processi

- Personale, funding, training and development, approvvigionamento - Calamità

- Questioni legali

- Fenomeni atmosferici, incendi, alluvioni, terremoti, disordini e instabilità, pandemia

- Conformità alla normativa, impatto

50 Eventi esogeni - Questioni d’affari - Dipendenze sull’organizzazione, contenziosi contro l’organizzazione

- Difficoltà nella fornitura, condizioni economiche e di mercato - Utenza, servizi di emergenza,

carburante, trasporto

Tabella 1 – Categorie e sottocategorie dei rischi operativi

Fonte: Cebula J. James, Young R. Lisa, “A Taxonomy of Operational Cyber Security Risks” (2010)

Questa classificazione dettagliata delle categorie di rischi operativi fa emergere come il legame di questi ultimi con il cyber risk sia reale: infatti, rientrano nel rischio informatico sicuramente i rischi che derivano da disfunzioni nei sistemi e nelle tecnologie, ma ne fanno parte anche i rischi derivanti dal fattore umano. Difatti, spesso gli incidenti informatici sono causati dalla negligenza dei dipendenti e dagli errori commessi nel compimento di una data operazione (cioè da azioni involontarie).

Tuttavia, le preoccupazioni maggiori per i clienti di una banca sono legate agli attacchi hacker, cioè alle azioni deliberate: le minacce informatiche infatti spesso provengono dal cyber crime, nel quale agiscono soggetti esterni, anche se sempre più spesso gli hacker sono gli stessi dipendenti della banca, i quali sono favoriti dalla conoscenza di informazioni riservate e codici di accesso ai servizi degli istituti di credito.

Tale collegamento tra cyber risk e rischio operativo è importante, perché consente di comprendere quali sono i fattori all’origine della manifestazione del rischio informatico; ma il cyber risk può essere fatto rientrare non solo tra i rischi operativi, bensì anche tra i rischi reputazionali, per via delle conseguenze negative a livello di immagine e “brand” che possono derivare a seguito di un incidente informatico. Infatti, come si vedrà più avanti, le banche sono più spaventate dalle ripercussioni del cyber risk di tipo reputazionale rispetto a quelle prettamente economiche, poiché un danno di tipo reputazionale va ad impattare direttamente sulla relazione tra istituto di credito e cliente. Se una banca subisce un attacco informatico, la fiducia che il cliente ha sempre riposto nei confronti del proprio istituto di credito sparisce, e al contrario il consumatore ha una percezione negativa dell’immagine della banca, in quanto viene considerata come non affidabile e non sicura, e ciò comporta spesso la perdita definitiva del cliente.

51

Infine, il cyber risk viene definito anche come un rischio strategico, questo perché una banca che subisce attacchi informatici si trova a dover affrontare una riduzione dei ricavi e un incremento dei costi di ristrutturazione, oltre che ad una perdita di competitività. Il cyber risk è considerato comunque un rischio “strategico” per la banca, in quanto un’adeguata gestione e mitigazione di questo rischio particolarmente diffuso e pericoloso è cruciale per poter sopravvivere in un contesto competitivo caratterizzato da un cambiamento degli obiettivi dei principali competitor delle banche, che si focalizzano sempre di più sulla soddisfazione del cliente e non sulla qualità del prodotto.

Per concludere, si può affermare dunque che, potendo considerare il rischio informatico un rischio operativo, reputazionale e strategico, maggiore è la sua prevenzione, maggiori saranno gli effetti benefici in molti aspetti, specialmente in termini di miglioramento dell’attività operativa della banca, con un’attenzione rivolta alle risorse umane e a quelle tecnologiche, della reputazione aziendale e delle strategie implementate.