Perdite finanziarie e perdite reputazional

La prima conseguenza che deriva da un attacco informatico è quella legata all’aspetto finanziario.

Da una ricerca di PwC si può notare che nel biennio 2015-2016 le frodi hanno causato perdite finanziarie enormi: per il 7% delle organizzazioni italiane le perdite sono comprese tra circa 5 e 92 milioni di euro, per il 20% da 1 a 5 milioni di euro, per il 20% da 92 a mila a 1 milione di euro, per il 10% da 46 a 92 mila euro, per il 27% meno di 46 mila euro67_.

Per quanto riguarda il 2014, sempre da un’indagine di PwC, si legge che in Italia il 26% delle aziende che hanno ammesso di aver subìto frodi informatiche ha dichiarato di aver perso tra gli 0,8 e 75 milioni di euro, contro stime più basse della media globale (18%) e

66_{https://www.abi.it/DOC_Mercati/Analisi/Innovazione-ricerca/Innovazione--}

Ricerca/tmp1120233228212_2Phishing.pdf.

68

dell’Europa Occidentale (15%)68_{. Un dato preoccupante riguarda il fatto che le frodi}

informatiche che hanno causato maggiori danni in termini finanziari sono quelle effettuate per mano di soggetti interni all’azienda: infatti, in Italia, le frodi con gli impatti finanziari tra i 3,7 e i 75 milioni di euro (9%) sono state commesse esclusivamente da autori interni.

I danni recati da un attacco informatico non sono solo di tipo finanziario, ma riguardano anche l’attività aziendale, considerando che ad esempio un ransomware provoca un’interruzione dell’attività operativa della banca o delle altre vittime; ma i danni più significativi concernono l’aspetto motivazionale, la reputazione e il marchio dell’azienda, e i rapporti con le autorità di vigilanza. Le banche sono infatti più spaventate dai danni reputazionali causati da un “data breach” rispetto ai danni economici, in quanto esse ritengono che mentre le perdite finanziarie possono essere in qualche modo recuperate, più difficile è invece ristabilire la relazione di fiducia con il cliente consolidata prima dell’accadimento dell’evento dannoso.

Vista l’importanza attribuita dal settore bancario in merito ai danni reputazionali derivanti dalle frodi informatiche, occorre approfondire questo aspetto mettendo in evidenza quanto la reputazione sia un valore da preservare all’interno di un’azienda.

Il legame tra cyber risk e rischio reputazionale è evidente: il rischio reputazionale è definito dal Comitato di Basilea come “il rischio attuale o prospettico di flessione degli

utili o del capitale derivante da una percezione negativa dell’immagine della banca da parte di clienti, controparti, azionisti della banca, investitori, autorità di vigilanza”.

Il collegamento tra le due tipologie di rischio è reso evidente anche dalla nozione di rischio informatico fornita da Banca d’Italia, che lo definisce come “il rischio di incorrere

in perdite non solo economiche, ma anche di reputazione e di quote di mercato in relazione all’utilizzo di tecnologie dell’informazione e della telecomunicazione”.

Il rischio reputazionale è dunque un rischio di primaria importanza, in quanto può determinare perdite economiche e patrimoniali a causa della percezione negativa degli stakeholders nei confronti della banca.

Il rischio reputazionale è considerato un rischio di secondo livello, poiché è un rischio che si manifesta in seguito ad eventi di rischio operativo, di credito e di liquidità.

Si può comprendere quindi come un attacco informatico, che sia sotto forma di ransomware o phishing, possa avere effetti devastanti per gli istituti di credito in termini

69

di immagine, reputazione e notorietà del marchio. In caso di accadimento di tali eventi infatti, i clienti percepiranno un’immagine negativa della banca e saranno propensi a spostare i propri risparmi e investimenti verso altri soggetti finanziari, ritenuti più sicuri e affidabili.

Gravi conseguenze derivano poi dal rapporto non solo con i clienti, ma anche con gli altri stakeholders, in particolare i partner commerciali, i quali, troncando ogni rapporto con la banca vittima di un attacco informatico, contribuiscono alla perdita di quote di mercato e di competitività delle stesse banche; inoltre, a seguito di ingenti danni reputazionali, le banche ricevono una particolare “attenzione” dai mass media, pronti a cavalcare l’onda e spesso aggravando la già compromessa percezione negativa dell’affidabilità dell’istituto proveniente dall’ambiente esterno.

Un’altra conseguenza derivante dalla perdita di reputazione riguarda la perdita di attrattività nei confronti delle risorse umane: infatti, se un soggetto è alla ricerca di un’occupazione, difficilmente invierà il proprio curriculum ad una banca che è stata vittima di un attacco informatico, poiché essa viene considerata come poco seria e inadatta a fornire determinate garanzie.

Unicredit ha affrontato in un “case study” l’impatto del rischio reputazionale che può derivare dalle frodi interne attuate contro i clienti delle banche69_{: il working paper ha}

l’obiettivo di stimare l’impatto del rischio reputazionale che deriva dalla reazione negativa dei clienti di fronte alla notizia di 20 casi di frode interna avvenuti in alcune filiali del gruppo italiano Unicredit nel periodo 2008-2010. Per descrivere la reazione dei clienti in merito all’evento dannoso, vengono utilizzati come variabili gli “asset under custody and management” (AUC&M). L’impatto del rischio reputazionale è valutato in termini di intensità della reazione dei clienti a fronte dell’evento e di tempo necessario per il recupero della reputazione. Infine, il lavoro mostra che le frodi interne rilevate attraverso le lamentele dei clienti sono considerate più pericolose da un punto di vista reputazionale rispetto alle frodi interne scoperte mediante controlli interni della banca. Per ciascun caso di frode considerato, il totale degli AUC&M delle filiali dove le frodi sono state perpetrate è definita come variabile esplicativa, mentre il totale delle AUC&M di tutte le filiali dell’area geografica nella quale si sono verificate le frodi è considerato come punto di riferimento (benchmark).

69 _{Unicredit&Universities, “The reputational risk impact of internal frauds on bank customers: a case study}

70

I dati usati nell’analisi sono disponibili su base mensile. Da un lato, l’adozione di dati mensili è considerata una scelta giusta per descrivere la reazione dei clienti: infatti, i clienti necessitano di un certo lasso di tempo per essere consapevoli di un evento di frode, mentre eventuali cambiamenti nei loro comportamenti non possono essere apprezzati in un intervallo più breve (ad esempio giornaliero). Da un punto di vista puramente statistico, invece, l’utilizzo di dati mensili pone delle perplessità sulla robustezza dei risultati ottenuti. Tuttavia, nello studio viene data rilevanza all’approccio pratico, poiché le considerazioni positive sulla capacità e ragionevolezza nella descrizione del comportamento dei consumatori prevalgono sulle paure circa la robustezza dei risultati empirici.

Nello studio viene applicata la metodologia degli event study: attraverso la comparazione dei valori degli AUC&M effettivamente sperimentati nelle varie filiali, è possibile capire se i clienti mostrano una reazione anormale nel momento in cui essi vengono colpiti dell’evento della frode.

Per quanto riguarda il campione di analisi, esso è costituito da 20 casi di frodi interne che sono state estrapolate dal database per le perdite operative di Unicredit in base ai seguenti criteri: 1) la frode interna deve essere avvenuta nelle filiali retail; 2) l’evento deve essere accaduto entro i confini italiani e il periodo di osservazione (che include le date nelle quali l’evento è stato ufficialmente scoperto dalla banca) è compreso tra l’ultimo trimestre del 2008 e il primo trimestre del 2010; 3) più di un cliente deve essere stato colpito dall’evento di frode; 4) le perdite operative devono avere un ammontare superiore a 50.000 euro.

I primi due criteri mirano a definire e a limitare l’obiettivo dell’analisi in termini di tipologia di attori investigati (clienti mass market) e in termini di regione geografica in cui essi risiedono (Italia) e il periodo in cui il loro comportamento è investigato. Gli altri due criteri sono invece introdotti per descrivere la relazione tra l’evento di rischio primario (in questo caso operativo) e l’impatto di rischio reputazionale secondario. Per quanto riguarda i risultati, il lavoro dimostra che esiste un notevole impatto del rischio reputazionale quando si ottiene un valore negativo statisticamente significativo per la media. L’analisi viene effettuata a due livelli: 1) nel primo i casi sono stati investigati tutti insieme; 2) nel secondo i casi sono stati divisi in due campioni, le frodi interne scoperte a causa delle lamentele dei clienti e quelle scoperte in seguito a controlli interni. Questa suddivisione serve a capire se i casi di frode interna che sono scoperti dai consumatori sono potenzialmente più dannosi per le banche da un punto di vista reputazionale rispetto

71

al caso in cui sono scoperti tramite i controlli interni. Nell’analisi vengono considerati i seguenti “event window”, che corrispondono agli intervalli temporali in cui la frode viene scoperta70.

Per quanto riguarda il primo caso, ossia quello in cui i casi di frode vengono considerati nel loro insieme, la tabella 2 sottostante mostra un significato impatto del rischio reputazionale (che corrisponde ad un CAR medio negativo) per ogni “event window” considerato.

Event window N. casi di frode CAR medio

[-3;0] 20 -0.031 [-3;3] 20 -0.063 [-3;5] 20 -0.077 [-3;7] 20 -0.082 [0;1] 20 -0.024 [0;3] 20 -0.041 [0;5] 20 -0.055 [0;7] 20 -0.061

Tabella 2- Frodi totali

Fonte: Unicredit&Universities, “The reputational risk impact of internal frauds on bank

customers: a case study on Unicredit Group” (2011)

Dai valori riportati nella tabella si può notare come sia gli event window del tipo [-3; x] che quelli del tipo [0; x] abbiano un trend di crescita del CAR medio, ciò significa che la reazione del cliente diventa sempre più intensa con il passare del tempo. Inoltre, considerando che per entrambe le tipologie di event window, il trend di crescita non si ferma alle ultime osservazioni disponibili, questo significa che, in media, sette mesi dopo la rilevazione della frode la banca non è stata in grado di attenuare le conseguenze negative dell’evento dannoso. Perciò nel lavoro viene affermato che, considerando che gli effetti si notano a partire dai tre mesi precedenti il rilevamento dell’evento, questo

70 _{Le osservazioni vanno quindi dai tre mesi antecedenti il riconoscimento dell’evento ai sette mesi}

72

vuol dire che l’impatto del rischio reputazionale dura almeno per 11 mesi (dai 3 mesi precedenti ai 7 successivi).

Se guardiamo ai risultati della seconda parte dell’analisi, le tabelle 3 e 4 mostrano dei trend diversi a seconda dei casi.

Event window N. casi di frode CAR medio

[-3;0] 10 -0.011 [-3;3] 10 -0.021 [-3;5] 10 -0.034 [-3;7] 10 -0.027 [0;1] 10 -0.005 [0;3] 10 -0.008 [0;5] 10 -0.021 [0;7] 10 -0.015

Tabella 3- Frodi rilevate tramite controlli interni

Fonte: Unicredit&Universities, “The reputational risk impact of internal frauds on bank customers: a case study on Unicredit Group” (2011)

La tabella sopra riportata mostra che nel caso in cui la frode venga rilevata tramite controlli interni il range dei CAR oscilla tra -0.0034e -0.005, quindi si rileva una sostanziale omogeneità nell’impatto legato al rischio reputazionale.

Event window N.casi di frode CAR medio

[-3;0] 10 -0.051 [-3;3] 10 -0.105 [-3;5] 10 -0.120 [-3;7] 10 -0.138 [0;1] 10 -0.044 [0;3] 10 -0.074 [0;5] 10 -0.089 [0;7] 10 -0.107

73

Tabella 4- Frodi rilevate tramite lamentele dei clienti

Fonte: Unicredit&Universities, “The reputational risk impact of internal frauds on bank customers: a case study on Unicredit Group” (2011)

Questa tabella mostra invece come nl caso delle frodi rilevate mediante le lamentele dei clienti l’intervallo dei valori del CAR medio oscillino maggiormente rispetto al caso dei controlli interni, con un range compreso tra -0.138 e -0.044. Questi numeri confermano le ipotesi iniziali fatte nel working paper: poiché sia i valori sia la significatività statistica del CAR medio sono più alti nel caso in cui la frode sia scoperta tramite le lamentele dei clienti, si può concludere che questo tipo di frode interna produce più danni reputazionali rispetto a quella scoperta mediante i controlli interni. Un’ultima osservazione concerne le tempistiche utili alla banca per consentirle di recuperare la propria reputazione: i risultati evidenziano che mentre nel caso delle lamentele dei clienti il trend negativo del CAR non termina al termine del settimo mese successivo alla scoperta della frode, nel caso della rilevazione ad opera del sistema di controlli interni il trend di crescita negativo del CAR finisce alla fine del quinto mese successivo al rilevamento della frode. Questi dati fanno capire che nel caso in cui la frode sia scoperta in seguito a controlli interni è possibile per la banca attenuare l’impatto del rischio reputazionale non solo in termini di intensità della reazione dei clienti, ma anche in termini di tempo necessario a recuperare il livello di reputazione preesistente prima dell’evento fraudolento. Dall’altro lato invece questo esito dimostra che quando la frode viene alla luce tramite le lamentele dei clienti non è possibile recuperare il livello di reputazione esistente prima della frode (almeno su un orizzonte temporale di un anno) ciò significando che la relazione di fiducia con i clienti è stata compromessa. Questo “case study” relativo al gruppo Unicredit ha permesso di rilevare che le frodi interne sono in grado di produrre un rilevante impatto dal punto di vista della reputazione dell’istituto bancario vittima dell’attività illecita. In particolare, l’effetto reputazionale dell’evento dannoso inizia tre mesi prima che l’evento sia ufficialmente riconosciuto dalla banca e perdura per i sette mesi successivi. Vista la lunghezza dell’intervallo temporale in cui si verificano gli effetti negativi in termini di immagine della frode, si può affermare che in generale le banche non sono in grado di recuperare il livello di reputazione prima dell’evento nei confronti dei clienti almeno nel breve periodo (in un orizzonte temporale di un anno). Con riferimento a quest’ultimo aspetto, l’analisi conferma che le prospettive di recupero della reputazione delle banche

74

che hanno subito frodi interne sono più rosee nel caso in cui esse vengano rilevate internamente alla banca, piuttosto che dai clienti.