Rischi tecnologici e modalità di misurazione e gestione

Nell’ambito della gestione IT le banche si trovano nella fase di definizione dell’organizzazione più adatta, tenendo conto non solo del contesto economico, del budget a disposizione e della propria dimensione operativa. Risulta fondamentale analizzare l’ambiente esterno e quali siano non solo i possibili vantaggi derivanti dall’investimento in ICT, ma anche quali siano i rischi e le minacce.

L’evoluzione tecnologica diventa per la banca un contesto molto complesso e pieno di sfide in quanto occorre saper conciliare esigenze di protezione dei dati, sicurezza e velocità di trasmissione dei flussi informativi, i quali possono esser considerati elementi che poi vanno ad incidere sull’aspetto strategico e sul core business. L’evoluzione digitale ha infatti favorito l’interazione tra individui, aziende e istituzioni ma ha anche incrementato le opportunità per attività criminali di vario tipo, quali frodi finanziarie e abuso di credenziali, generando a loro volta un intenso mercato di strumenti per attacchi cybernetici accessibili a tutti. Si osserva infatti un mercato che risulta stratificato per livelli di conoscenza:

 Cyber criminali che vendono principalmente beni finanziari e contraffatti ma con competenze di base (circa 80-90% di quota di mercato);

 Cyber criminali altamente qualificati che offrono strumenti e prodotti più avanzati e che colpiscono aziende, istituzioni ed enti governativi. Tra essi si distinguono:

o Cyber professionisti che lavorano singolarmente o in gruppo; o Organizzazioni criminali;

o Cyber terroristi;

o Cyber criminali assoldati da enti governativi; o Attivisti.

5 _{CIPA, ABI, Rilevazione economica sull’IT nel sistema bancario italiano: profili economici ed organizzativi, Rapporto}

5

A livello geografico le maggiori minacce provengono dall’Europa dell’Est, dall’America latina e da alcune zone dell’Asia. Si osserva un trend di continua crescita della numerosità degli attacchi indirizzati soprattutto sui dati sensibili, dato l’incremento dell’e-commerce e dello sfruttamento dei sistemi informatici per qualsiasi tipo di servizio. Tale incremento risulta dovuto soprattutto alla sempre maggior facilità di acquistare Trojan bancari o affittarli con importi veramente ridotti e con la capacità di produrre danni ingenti, ma anche la possibilità di acquistare Botnet, che permettono di tutelare l’anonimato di chi effettua tali attacchi e frodi.6

A livello internazionale si evidenzia quindi la necessità di maggiore cooperazione per quanto riguarda la sicurezza informatica, la governance di Internet e la libertà di espressione. Occorre infatti sviluppare una forte collaborazione tra enti pubblici e privati per impegnarsi contrastare tali minacce che provengono dallo spazio cibernetico, evitare che le principali attività legate ad Internet siano regolamentate in base ad un modello anti-stakeholder, in quanto renderebbe la regolamentazione stessa meno indirizzata ad interessi relativi a pochi enti e imprese private (come invece è il contesto odierno) e che ci sia una maggior spinta alla cultura cybernetica, in modo da impedire eccessivi flussi informativi che rendano più sensibili i soggetti di fronte ai nuovi attacchi che si stanno sviluppando.

A livello di sistema bancario, in Italia, risulta molto importante il lavoro svolto dai principali attori della sicurezza in ambito bancario, quali ABI, OSSIF, AbiLab. Il loro lavoro ha fatto sì che venissero introdotte normative ad hoc sugli attacchi cybernetici, quali la Legge n. 133/2012 e il DPCM del 19/03/2012 n. 66. In particolare il DPCM/66 va a indicare “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle IC materiali ed immateriali, con particolare riguardo alla protezione cybernetica e alla sicurezza informatica nazionale” su tre livelli indicando per ciascun livello i relativi compiti e responsabilità, al fine di prevenire i rischi e rispondere prontamente agli attacchi:

 Al primo livello si ha l’indirizzo politico e di coordinamento strategico finalizzato all’elaborazione di un piano strategico nazionale dello spazio cybernetico. In questa fase risulta fondamentale la stretta collaborazione tra pubblico e privato per determinare un sistema di sicurezza centralizzato e condiviso;

6 _{R. Baldoni, R. de Nicola, Il futuro della Cyber security in Italia, Whitepaer a cura di Cyber Security National Lab e}

6

 Il secondo livello è la fase di raccordo e supporto verso le amministrazioni ed enti nel raggiungimento degli obiettivi del piano;

 Il terzo livello riguarda la gestione delle crisi, la cura e il coordinamento delle attività di risposta e rispristino di funzionalità e sistemi.

La politica cyber sta assumendo una importanza tale da rendere necessaria a livello nazionale la creazione di una struttura ad hoc; a livello di settore bancario, risulta fondamentale il lavoro di ABI e CIPA, i quali svolgono una forte attività in materia di automazione interbancaria data una integrazione a livello europeo crescente in termini di infrastrutture, mercati, strumenti della finanza e di pagamento, ma anche in termini di analisi del lavoro svolto dalle banche in termini di sicurezza informatica, sia per quanto riguarda gli attacchi cybernetici, sia per quanto riguarda le infrastrutture informatiche su cui investono, che si tratti di modelli di insourcing o outsourcing.7

Le singole banche ancora osservano tali minacce e rischi con poca concentrazione, trattandosi di concetti che ancora non sono ben conosciuti. L’organizzazione, del sistema IT di una banca, risulta ancora in alcuni casi poco osservato dagli organi direttivi nonostante siano loro a definire le strategie di investimento. La normativa nazionale, seguendo le indicazioni a livello internazionale, va a richiedere che i vertici aziendali siano direttamente interessati alla gestione dell’IT e conseguentemente anche all’analisi dei rischi mentre in realtà risulta comune che si abbia una accettazione formale di documenti quali il quadro di riferimento per l’analisi dei rischi informatici, la propensione a tali rischi e i continui report in merito all’aggiornamento dello stato di sviluppo dei rischi nei confronti della propensione al rischio. Si osserva ancora una forte presenza delle deleghe e una assenza negli organi direttivi di componenti o comitati specifici, indicando quindi ancora una scarsa sensibilizzazione alla materia. La spinta non solo da parte della normativa ma anche da normative e standards internazionali per una sensibilizzazione si giustifica per il fatto che l’organo con funzione di supervisione strategica ha come compito la definizione delle policy aziendali, le quali definiscono ambiti, compiti e criteri che le funzioni tecniche devono poi assolvere, quali:

 Le caratteristiche dei rischi informatici;  Il perimetro di applicazione;

 Criteri e modalità di misurazione;

7 _{Bucci P., Cyber Security e Sicurezza in Banca: strategie di difesa e nuove minacce, articolo sul sito} www.datamanager.it, Il portale dell’ICT professionale, del 24/10/2013

7  Propensione al rischio informatico;  Integrazione con altri rischi aziendali;  Altri rischi.

Andando a determinare tali criteri e misure, si va a influire anche sulla scelta delle modalità e approcci di valutazione delle esposizioni rischiose. Per quanto riguarda i possibili approcci, si può distinguere tra metodologie che non richiedono il coinvolgimento delle Business unit e che vanno a valutare le esposizioni rischiose in modo centralizzato mediante informazioni ottenute da dati contabili, controllo i gestione, valore di mercato dell’azienda, i quali vengono definiti approcci top-down, e approcci che invece vengono definiti bottom up, i quali si basano sull’apporto della singola business unit per andare a definire quali siano le sue esposizioni rischiose data la propria operatività e i propri processi. La scelta tra le due tipologie di approcci va a dipendere essenzialmente dalle tempistiche richieste, dagli obiettivi del controllo dell’esposizione e dai destinatari delle informazioni ottenute.

Gli approcci top –down, ad esempio, risultano più immediati in termini di calcolo dei risultati, comportando però una minor efficacia informativa nei confronti del Sistema di Controlli Interni ma più utili per andare a fornire le informazioni al senior management. Tra questi si possono indicare:

 CAPM, il quale risulta però non facilmente estendibile al calcolo per la singola business unit e la necessità di ampie serie storiche;

 Approccio alla volatilità, il quale calcola l’esposizione al rischio misurando la volatilità espressa come valore a rischio di una serie di dati di conto economico risultanti sul bilancio, superando il limite della necessità di serie storiche e superando la problematica di riconoscimento di tutti gli eventi diretti ed indiretti interessati ma mantenendo come limite l’influenza delle scelte di bilancio derivanti dalle politiche a favore della redditività;

 Modelli cost-based, i quali associano il rischio alla volatilità dei costi, ma che risulta inadeguato in termini di scelte di allocazione del capitale;

 Modelli basati su indicatori patrimoniali e di conto economico, i quali prendono vita dall’idea che i rischi siano direttamente proporzionali al grado di sviluppo dell’impresa e al volume dell’operatività, assunzione che però risulta poco realistica;

 Analisi di scenario, la quale permette una miglior comprensione dell’impatto in termini di perdite e con cui diviene più facile la definizione di piani di emergenza, ottenendo una

8

maggior consapevolezza dei possibili eventi estremi ma con una mancanza di oggettività e dispendiosità di tempo;

 Risk- profiling models e modelli multifattoriali, che si occupano ad identificare i fattori che determinano in modo significativo il rischio mirando ad ottenere una equazione che colleghi il livello di rischio assunto dalla banca con i diversi fattori; il suo limite è dato dalla sua incapacità a determinare quali siano le cause effettive, andando a determinare gli effetti.

Gli approcci bottom up, invece, richiedono tempistiche più lunghe ma forniscono una maggior accuratezza dei risultati in quanto fanno interessare le singole Business unit alla analisi delle esposizioni rischiose. Si ha, conseguentemente, una maggior capacità informativa; tra questi:

 Modelli di perdita attuariali, i quali vengono usati molto più in ambito assicurativo, in quanto necessitano di basi di dati ampie e che invece il settore bancario non possiede;  Modelli casuali i quali si basano sul concetto di probabilità condizionata, giungendo al

calcolo del VaR per ogni business line e complessivo;

 Varianze operative, che misurano il rischio come differenza tra costi attuali e costi standard, evidenziando aree problematiche e dividendo la varianza in una componente di volume e una di costo unitario;

 Stress test, che stima l’impatto delle perdite potenziali che però son ritenute improbabili al fine di scoprire debolezze nei processi e nei sistemi che potrebbero causare perdite inattese;

 Self- assessment approach, un approccio qualitativo di valutazione dell’esposizione al rischio e della validità dei controlli in essere, incrementando la cultura nelle varie business unit del risk management e migliorando la consapevolezza della gestione dei rischi mediante anche un efficiente controllo interno; è un prerequisito essenziale per la costruzione dei Key risk indicators, ma allo stesso tempo soffrono della soggettività dell’analisi, la quale potrebbe comportare il rischio di omissione di informazioni;

 Business line approach, il quale è un processo basato su una serie di fasi, quali l’assegnazione di uno score a ciascuna business line, l’individuazione per ciascuna dei rischi più ricorrenti, identificazione per la business line di un valore che identifichi il suo volume operativo, l’assegnazione di un rating al livello di controlli in essere e calcolo del capitale indirizzato per il determinato rischio.

9

Andando a definire le caratteristiche dei rischi si va poi ad influire sulla definizione di quali siano le metodologie più adatte, distinguendo tra qualitative e quantitative. La scelta tra le due metodologie va a dipendere soprattutto dalla tipologia di dati a disposizione, in quanto in alcuni casi si può far affidamento a osservazioni, giudizi e opinioni, comportando quindi la scelta di metodologie qualitative, che però risultano tendenzialmente più influenzabili da distorsioni derivanti da visioni personali. Nel caso di modelli quantitativi, invece, si ha la possibilità di andare a definire in modo immediato dei valori che poi possono essere tramutati in variabili statistiche e probabilistiche che vanno a determinare la probabilità di accadimento di un evento e il suo impatto. Si ha però la necessità di una integrazione tra le due metodologie, in quanto ciò permetterebbe dell’oggettività di una analisi quantitativa accompagnata dalla maggiore sensibilità al business derivante da valutazioni soggettive, con conseguente migliore completezza del quadro di eventi pregiudizievoli, verifica della correttezza delle stime soggettive in merito al livello di rischio di un processo rispetto all’altro arricchimento informativo relativo agli eventi di perdita e eventuali perdite derivanti, correzione di dati estrapolati da database esterni con valutazioni interne. Negli approcci avanzati, infatti, si indica che si debba avere un uso combinato di tali metodologie, lasciando però che sia la banca a definire il peso assegnato a ciascuna delle due.8