Il cyber risk in banca

(1)

1

Il cyber risk in banca

INDICE

Introduzione

Capitolo 1. Il processo di digitalizzazione nel sistema bancario

1.1 I fattori di cambiamento alla base della Digital Transformation nel settore

bancario

1.1.1 L’ingresso di nuovi competitor nel settore finanziario

1.1.2 La nascita della società digitale e il ripensamento del rapporto

banche-clientela

1.2 L’evoluzione del modello distributivo: dalla banca multicanale alla banca

omnicanale

1.2.1 Integrazione tra canali distributivi tradizionali ed elettronici nel

settore bancario

1.2.2 Evoluzione del ruolo delle filiali bancarie

1.2.3 Il rapporto tra banche e social media

1.3 Le principali innovazioni tecnologiche delle banche

1.3.1 Un nuovo modello di gestione delle risorse ICT: il Cloud

Computing

1.3.2 La tecnologia blockchain in banca

1.3.3 L’interesse delle banche verso l’Internet of Things e

l’Intelligenza Artificiale

1.4 Gli effetti della digitalizzazione sul settore bancario

1.4.1 Dematerializzazione dei documenti e automazione dei processi

1.4.2 La co-produzione tra banca e cliente

(2)

2

1.4.3 Aumento dell’esposizione al cyber risk

Capitolo 2. Una nuova minaccia da fronteggiare per le banche: il cyber

risk

2.1 Le caratteristiche del cyber risk

2.1.1 Definizione di cyber risk e legame con gli altri rischi

2.1.2 Gli autori degli attacchi informatici contro le banche

2.1.3 Le motivazioni alla base degli attacchi informatici

2.2 Le tipologie più diffuse di attacco informatico

2.2.1 Il fenomeno del Ransomware

2.2.2 Attacchi di phishing e social engineering

2.3 Le conseguenze degli attacchi informatici sulle banche

2.3.1 Perdite finanziarie e perdite reputazionali

2.3.2 Azioni legali e richieste di risarcimento

Capitolo 3. La nuova normativa in materia di cyber risk

3.1 Il regolamento generale sulla protezione dei dati: il GDPR

3.1.1 La valutazione d’impatto sulla privacy

3.1.2 I nuovi principi e diritti introdotti con il GDPR

3.1.3 Obbligo di notifica di violazioni informatiche

3.2 L’impatto della Direttiva PSD2 (Payment Services Directive 2) sulla

sicurezza bancaria

3.2.1 Le principali novità normative introdotte

3.2.2 Focus sulla Strong Customer Authentication

3.3 Orientamenti sulla valutazione del cyber risk a norma del processo di

revisione e valutazione prudenziale (SREP)

(3)

3

3.3.1 Introduzione

3.3.2 Valutazione della governance e della strategia degli enti in materia

di ICT

3.3.3 Valutazione dell’esposizione ai rischi ICT e dei relativi controlli

degli enti

3.3.4 Sintesi dei risultati e punteggio

Capitolo 4. Le soluzioni di cybersecurity adottate dalle banche

4.1 Le risposte europee alla minaccia del cyber risk nel settore bancario

4.1.1 Cyber Security Strategy of the European Union

4.1.2 La Direttiva NIS

4.1.3 Gli elementi fondamentali della cybersecurity nel settore

finanziario

4.1.4 Guidance on cyber resilience for financial market infrastructures

4.1.5 Una strategia per la cyber resilience nelle FMI

4.2 Le nuove frontiere della cybersecurity a livello nazionale

4.2.1 La nascita del CERTFin

4.2.2 L’integrazione tra sicurezza fisica e informatica: la Cyber Physical

Security

4.2.3 L’utilizzo dei Big Data per prevenire le frodi

Conclusioni

Bibliografia

(4)

4

INTRODUZIONE

Il periodo storico che stiamo vivendo oggi viene chiamato “quarta rivoluzione industriale” o “rivoluzione 4.0”, in quanto esso si caratterizza per una commistione sempre più intensa tra utilizzo di strumenti fisici e digitali nei processi produttivi di tutti i settori industriali.

Il fenomeno della “digital transformation” è così radicale da costituire un punto di rottura con il passato: si tratta di un processo che obbliga tutte le aziende a rivedere i propri modelli di business e la propria vision, dovendo esse includere al loro interno la componente digitale.

La trasformazione digitale sta colpendo tutti i settori, in particolare quello bancario: gli istituti di credito sono chiamati a evolversi rispetto ai modelli tradizionali, ritenuti obsoleti e ormai superati dall’avvento di nuove tecnologie e da una concorrenza sempre più agguerrita e all’altezza delle aspettative dei consumatori.

Le banche hanno iniziato con un certo ritardo il processo di modernizzazione e risultano ancora indietro nell’integrazione di tecnologie di vario tipo nei propri sistemi.

Questa evoluzione tecnologica nel settore bancario è stata innescata da alcuni fattori: la presenza di player altamente competitivi come le Fintech e di colossi del web come Google e Amazon che offrono prodotti e servizi sempre più all’avanguardia rischia di oscurare l’attività tradizionale delle banche.

Inoltre, gli istituti di credito devono necessariamente adattarsi ai cambiamenti che la tecnologia ha imposto alla società: infatti, in un mondo sempre più orientato al digitale, i clienti diventano portatori di esigenze nuove rispetto al passato. La tecnologia ha cambiato le nostre abitudini, permettendo di rispondere a qualsiasi domanda o soddisfare qualunque necessità in pochi secondi attraverso strumenti che consentono una connessione a Internet, come smartphone, tablet o computer.

Tali nuove possibilità hanno fatto emergere nuove aspettative da parte dei consumatori, i quali richiedono sempre di più un’offerta di prodotti e servizi bancari real time, in modo da concludere qualsiasi operazione con un ridotto “time consuming”, senza perdere tempo in inutili code agli sportelli; a quest’esigenza si collega quella della semplificazione, che richiede necessariamente la presenza di processi sempre più automatizzati ed economici. La presenza di questi nuovi bisogni ha reso necessario un rinnovamento nell’operatività delle banche, che si sono adattate ai cambiamenti nelle abitudini dei consumatori, in modo

(5)

5

da migliorare il rapporto banche-clientela e scongiurare il pericolo di essere messe ai margini del settore finanziario dalla concorrenza.

Il presente lavoro ha come oggetto l’osservazione di un fenomeno che sta colpendo il settore bancario, ossia l’aumento del cyber risk, un rischio legato all’utilizzo della tecnologia: si tratta di un tema attuale, data l’elevata frequenza e intensità degli attacchi informatici nei confronti delle banche.

L’obiettivo di questa tesi è quello di introdurre il tema della trasformazione digitale nel settore bancario e di analizzarne gli effetti, soprattutto quelli legati alla cybersecurity: infatti, l’introduzione della tecnologia nell’attività degli istituti di credito ha sicuramente apportato numerosi benefici in termini di miglioramento nella relazione con i clienti, di razionalizzazione dei costi legati alla riduzione del numero delle filiali, di automazione dei processi.

Tuttavia, la presenza prevalente della componente tecnologica all’interno dell’attività bancaria ha comportato la nascita di un nuovo rischio per le banche, fino a poco tempo fa “occultato” dai rischi più tradizionali come il rischio di credito e di mercato: si tratta del cyber risk, ovvero del rischio di subire danni a seguito di violazioni dei sistemi informatici delle banche.

In questa tesi il tema dell’evoluzione digitale nel settore bancario viene affrontato mettendo in luce quali sono le problematiche che scaturiscono dall’utilizzo della tecnologia: in particolare, con l’avvento della digitalizzazione, i prodotti e i servizi bancari vengono messi a disposizione degli utenti su smarphone e pc, e ciò comporta la circolazione di una grande quantità di informazioni e dati personali sul web.

Tale flusso di dati accende l’entusiasmo dei cyber criminali, cioè di quei soggetti che vogliono arricchirsi sfruttando le vulnerabilità dei sistemi di sicurezza informatici: dunque, maggiore è l’utilizzo di strumenti digitali, maggiore è l’esposizione al cyber risk. È inevitabile quindi che l’attenzione alla sicurezza informatica sia una delle priorità per l’intero settore finanziario, che deve adottare strategie idonee alla prevenzione e al contrasto delle minacce informatiche.

Il ragionamento che sta alla base della tesi è il seguente: si parte dalla descrizione del contesto di innovazione digitale che sta attraversando il settore bancario, poi vengono messi in luce gli effetti di tale processo con focus sul rischio informatico, infine vengono presentate le soluzioni che le banche stanno adottando per ridurre l’esposizione a questa nuova tipologia di rischio.

(6)

6

In dettaglio, nel primo capitolo viene descritto il processo di trasformazione digitale che stanno affrontando le banche, partendo dai fattori che hanno consentito al settore di intraprendere la strada verso modelli di business improntati alla tecnologia, fino ad arrivare all’analisi dei cambiamenti nei modelli distributivi. Poi vengono descritte le principali innovazioni adottate dalle banche: l’impiego del Cloud Computing come modello di gestione delle risorse informatiche; l’utilizzo della tecnologia blockchain per effettuare pagamenti consentendo così di abbattere i costi di transazione e assicurando una maggiore rapidità nelle operazioni; l’Internet of Things, ovvero l’interconnessione tra oggetti, grazie alla quale le banche potranno raccogliere informazioni utili a predisporre un’offerta personalizzata ai propri clienti adatta a soddisfare le loro specifiche esigenze; l’Intelligenza Artificiale, che nel settore dell’assistenza ai clienti potrà fornire un contributo rilevante, grazie ai ChatBot che saranno in grado di sostituire l’uomo nella risposta alle richieste dei clienti. Il capitolo si chiude con l’analisi degli effetti del processo di “digital transformation” nel settore bancario, in particolare con riferimento ad alcuni aspetti: la riduzione della burocratizzazione amministrativa, grazie alla sostituzione di documenti in formato cartaceo con gli equivalenti in formato digitale; l’automazione dei processi, con vantaggi in termini di efficienza, rapidità e risparmio di costi; la collaborazione sempre più stretta tra banca e cliente, grazie alla possibilità per quest’ultimo di intervenire nella predisposizione dell’offerta bancaria attraverso suggerimenti e critiche costruttive; infine viene messo in evidenza il principale effetto negativo della rivoluzione 4.0 , che consiste nell’aumento dell’esposizione al cyber risk da parte delle banche.

Il secondo capitolo è incentrato sul cyber risk, di cui viene esaminata la definizione e il legame con gli altri rischi, i soggetti che compiono attacchi informatici e le motivazioni che portano i criminali ad attaccare le banche. Segue una descrizione delle tipologie di attacchi informatici contro le banche più diffuse, soffermandosi in particolare sui ransomware, il phishing e le tecniche di social engineering: i primi consistono nell’immissione di virus nei sistemi informatici volti a bloccare i file e nella successiva richiesta di riscatto necessaria per sbloccare i file criptati, mentre gli altri due si differenziano dai ransomware per il fatto di attaccare direttamente i clienti tramite tecniche che sfruttano l’incompetenza e le debolezze psicologiche delle vittime per ottenere dati personali come il numero del conto corrente o le credenziali di accesso ai servizi di internet banking allo scopo di impossessarsi del denaro. Infine vengono accennati gli effetti causati da questi attacchi, tra cui il più immediato che è la perdita

(7)

7

economica, ma anche i danni reputazionali che possono mettere a repentaglio il rapporto di fiducia con la clientela e l’immagine della banca, e i danni legati alle azioni legali e alle richieste di risarcimento da parte dei clienti a fronte dei danni subiti.

Il terzo capitolo è dedicato ai provvedimenti normativi più incisivi in tema di mitigazione e valutazione del cyber risk nel settore bancario: il GDPR, ossia il Regolamento Europeo sulla protezione dei dati personali, che introduce numerose novità allo scopo di tutelare maggiormente i clienti e incrementare le responsabilità delle banche; la PSD2, cioè la Direttiva sui servizi di pagamento, che vuole rafforzare la sicurezza nelle operazioni di pagamento; gli orientamenti dell’EBA nella valutazione del cyber risk, utili alle autorità per poter effettuare una stima corretta dell’esposizione degli istituti di credito al rischio informatico.

Nel quarto capitolo vengono illustrate le principali iniziative adottate dalle autorità europee per rafforzare la cyber resilience nel settore bancario e consentire un’armonizzazione delle strategie di cybersecurity a livello europeo. Il capitolo si conclude con una panoramica sulle novità in tema di sicurezza informatica per le banche con un focus su tre temi: la nascita del CERTFin, un organismo di natura pubblico-privata che ha il compito di garantire la sicurezza del settore finanziario attraverso attività di infosharing e analisi di informazioni utili a rilevare potenziali minacce; la Cyber Physical Security, cioè l’unione tra sicurezza fisica e informatica, grazie alla quale sarà più semplice rilevare e impedire gli attacchi informatici più evoluti; l’utilizzo dei Big Data nei meccanismi di individuazione delle frodi finanziarie, mediante i quali è possibile costruire l’identikit del frodatore e bloccare il suo tentativo di infiltrarsi nei sistemi informatici delle banche.

(8)

8

CAPITOLO 1

1. Il processo di digitalizzazione nel sistema bancario

Il sistema bancario sta attraversando un periodo di grande trasformazione in seguito al rapido sviluppo della tecnologia. Le banche risultano ancora indietro nell’utilizzo dei nuovi strumenti digitali rispetto ad altri settori, ma stanno pian piano comprendendo che il fattore tecnologico può risultare fondamentale nella realizzazione di strategie di successo. L’obiettivo di questo capitolo è quello di fornire un inquadramento del processo di trasformazione digitale che le banche stanno affrontando: in particolare, il capitolo inizia con una digressione sui fattori che hanno innescato un cambiamento radicale dei modelli di business delle banche, come la presenza di una società orientata al digitale e una concorrenza sempre più agguerrita con l’ingresso di nuovi player nel settore finanziario. Il capitolo prosegue poi con un focus sul concetto di omnicanalità, che rivoluzionerà non solo il rapporto tra banche e clienti, ma porterà anche ad una riconfigurazione delle filiali bancarie e ad un utilizzo da parte degli istituti di credito dei social media quali principali canali di contatto con gli utenti; segue un breve excursus sulle principali innovazioni tecnologiche sviluppate dagli istituti bancari e alla fine del capitolo vengono messi in evidenza gli effetti positivi e negativi che il processo di trasformazione digitale sta avendo sul sistema bancario, con riferimento in particolare all’automazione dei processi bancari, alla dematerializzazione documentale, alla cooperazione tra banche e clienti e alla nascita di nuovi rischi che derivano dall’utilizzo delle tecnologie più avanzate.

1.1 I fattori di cambiamento alla base della Digital Transformation nel

settore bancario

1.1.1 L’ingresso di nuovi competitor nel settore finanziario

Tra i fattori che hanno spinto le banche ad intraprendere il percorso verso la digitalizzazione vi è sicuramente l’aumento della concorrenza nel settore finanziario. La

(9)

9

rivoluzione tecnologica ha favorito la nascita di nuovi player, bancari e non, che sono penetrati in tutti i segmenti dell’attività tradizionale degli istituti di credito. Inoltre, a seguito della crisi, la necessità di una regolamentazione più stringente ha limitato la capacità competitiva delle banche attraverso maggiori obblighi di compliance, e di conseguenza ha spinto verso lo sviluppo di nuovi player tecnologici. Le banche sono chiamate a confrontarsi con i nuovi attori, i quali hanno la capacità di soddisfare adeguatamente i fabbisogni dei clienti, attraverso la predisposizione di un’offerta “su misura”, personalizzata, adatta a rispondere alle loro esigenze.

I nuovi rivali appartengono a varie categorie, ma quelli ritenuti più pericolosi per la competitività delle banche sono le Fintech, ossia start-up innovative che offrono servizi finanziari speculari a quelli delle banche, ma con un elevato utilizzo di tecnologie innovative e a costi più contenuti.

L’industria Fintech comprende cinque principali aree1_:

1) Finanza e investimenti → la maggior parte degli investitori si rivolge a canali di finanziamento alternativi offerti dalle Fintech, in particolare il P2P lending.

2) Operazioni finanziarie e gestione del rischio.

3) Pagamenti e infrastrutture → le Fintech si stanno focalizzando su quest’area, nella quale le loro innovazioni possono contribuire al processo di disintermediazione finanziaria.

4) Sicurezza dei dati → dalla crisi è emerso che la stabilità del sistema bancario è una questione prioritaria. La digitalizzazione dell’industria bancaria comporta una maggiore esposizione al cybercrime e allo spionaggio. A tal proposito, le Fintech si stanno concentrando sull’uso dei “Big Data” per rafforzare l’efficienza dei servizi finanziari. 5) Contatto con i consumatori → si tratta del settore chiave attraverso cui le Fintech potranno competere con le banche tradizionali, in particolare attraverso il mobile banking e l’online banking.

Un paper indaga sui fattori economici e tecnologici che hanno favorito la nascita delle Fintech dopo la crisi del 20082. In particolare, nell’articolo, i fattori trainanti lo sviluppo di queste start-up sono ritenuti i seguenti:

1_{Arner Douglas W., Barberis Janos Nathan, Buckley Ross P., “The evolution of Fintech: a new post crisis}

paradigm?”, Ottobre 2015.

2_{Haddad Christian, Hornuf Lars, “The emergence of the Global Fintech Market: Economic and}

(10)

10

1) La presenza di mercati finanziari piuttosto ampi, questo perché un mercato più grande ha una maggiore capacità di trasformare il modello di business esistente attraverso la digitalizzazione e le innovazioni tecnologiche rispetto ad un mercato di dimensioni più limitate.

2) La disponibilità immediata delle tecnologie più recenti, in quanto le Fintech si fondano sull’offerta di servizi più rapidi, semplici, accessibili, e anche più convenienti, vista la riduzione dei costi legati alle transazioni bancarie.

3) La fragilità del settore finanziario, poiché lo sviluppo delle Fintech è legato anche alla crisi del 2008. Queste start-up infatti sono maggiormente presenti nei paesi che hanno risentito maggiormente della crisi, facendo leva sulla sfiducia dei clienti verso i propri istituti di credito, sull’aumento del costo del debito per famiglie e imprese, e sulla maggiore cautela delle banche nel fornire linee di credito.

4) La sottoscrizione di contratti telefonici in quanto, essendo le Fintech basate sull’utilizzo della tecnologia nell’offerta di prodotti e servizi finanziari, esse saranno più richieste nei paesi in cui la popolazione utilizza maggiormente le tecnologie mobile. 5) La presenza di un mercato del lavoro più ampio, poiché si assume che una ricca e varia offerta di lavoro abbia un’influenza positiva sulla formazione di start-up Fintech.

6) La presenza di un basso tasso di disoccupazione, questo perché nei paesi con minore disoccupazione c’è una maggiore mobilità sia per quanto riguarda i lavoratori dipendenti sia quelli autonomi, e ciò permette alle Fintech di disporre di maggiore personale. Le Fintech risultano molto competitive nei confronti delle banche soprattutto nel settore dei prestiti, mediante la predisposizione di piattaforme di lending crowdfunding, che hanno lo scopo di connettere finanziatori e investitori direttamente online, consentendo loro di effettuare operazioni di prestito senza l’intermediazione degli istituti di credito. Queste piattaforme consentono una maggiore rapidità rispetto ai canali di prestito tradizionali poiché sono in grado di ridurre l’intervallo temporale tra la richiesta di finanziamento e l’erogazione del prestito. I benefici riscontrati nel lending crowdfunding consistono anche in una riduzione dei costi derivanti dalla disintermediazione creditizia, nella maggiore diversificazione dei portafogli di imprese e famiglie (con conseguente riduzione del rischio), e infine nella maggiore attrattività dell’offerta.

Oltre alle Fintech, un’ulteriore minaccia per le banche è rappresentata dalla nascita nel 2008 delle criptovalute, la più famosa delle quali è il bitcoin. La peculiarità del Bitcoin consiste nell’essere una rete decentralizzata di pagamento peer-to-peer, nella quale le transazioni avvengono attraverso la rete, senza il sostegno di alcuna autorità centrale o

(11)

11

intermediario, ed è gestita esclusivamente dai suoi utenti. Le criptovalute sono un mezzo di pagamento alternativo alla moneta tradizionale, considerata obsoleta, e rappresentano l’espressione della volontà di semplificazione e immediatezza che si vuole ottenere in un’epoca in cui tutte le attività, ivi comprese le transazioni, possono essere effettuate nel mondo virtuale. Tuttavia, il bitcoin nasconde delle insidie: infatti, essendo una moneta virtuale non controllata da alcun ente governativo, può essere facilmente utilizzata per compiere attività illecite, come il riciclaggio di denaro o il finanziamento al terrorismo. Anche per quanto riguarda le attività di investimento le novità sono molteplici: esistono delle piattaforme di trading online che permettono l’acquisto o la vendita di titoli finanziari con una sensibile riduzione delle commissioni d’intermediazione. E non solo: oggi i broker consentono di scaricare delle app per fare trading online ovunque, tramite il canale mobile.

A fronte di tutte queste innovazioni, sarà quindi fondamentale per le banche correre ai ripari, in modo da recuperare il gap tecnologico nei confronti dei nuovi entranti, per evitare di essere messe ai margini del settore ed essere considerate obsolete.

1.1.2 La nascita della società digitale e il ripensamento del rapporto

banche-clientela

L’avvento di Internet ha cambiato profondamente la nostra società negli ultimi decenni, portandola ad utilizzare strumenti tecnologici in ogni momento della giornata. Stiamo assistendo ad un graduale processo di digitalizzazione della società, che porta con sé un cambiamento nelle modalità con cui gli individui comunicano tra di loro e con cui ricercano le informazioni. Infatti, le relazioni si sono spostate dal reale al virtuale: il cyber space è diventato il principale luogo nel quale gli utenti interagiscono scambiandosi idee, informazioni, oppure effettuando acquisti.

Dalla nascita di Internet a oggi è aumentata sensibilmente la diffusione di infrastrutture che consentono l’accesso al web: da una ricerca dell’Istat è emerso che tra il 2015 e il 2016 la quota di famiglie che può navigare su Internet mediante banda larga è salita dal 64,4% al 67,4%3_{. Il web sta diventando uno strumento attraverso il quale gli utenti}

possono acquisire informazioni e accrescere la propria cultura: infatti, se guardiamo al mercato italiano, sempre in base ai dati dell’Istat, nel 2016 l’85,8% degli utenti ha

(12)

12

utilizzato Internet per leggere riviste on-line o scaricare e-book, il 57,8% per accedere ai social network, mentre il 34,1% ha effettuato acquisti on-line.

Il settore bancario deve prendere consapevolezza del fatto che il fenomeno della digital transformation sta modificando le abitudini e l’atteggiamento dei consumatori, perciò deve adottare le misure idonee all’adeguamento al nuovo contesto caratterizzato da imponenti innovazioni tecnologiche.

Le maggiori esigenze dei clienti si tramutano in nuove aspettative, riguardanti innanzitutto la possibilità di utilizzare più canali in una medesima “esperienza di consumo”: i clienti vogliono effettuare le operazioni il più rapidamente possibile, al fine di soddisfare l’esigenza di ottimizzazione dei tempi; essi richiedono procedure più semplici non solo per l’accesso ai vari dispositivi, ma anche per il loro utilizzo, in quanto la tecnologia, tra gli altri, ha anche l’obiettivo di abbattere le barriere che impediscono a molti utenti di poter usufruire di certi prodotti o servizi; co-produzione, ovvero i consumatori si aspettano di esercitare un ruolo attivo nel rapporto banche-clientela fino a partecipare alla realizzazione di un prodotto; disintermediazione della relazione, ossia i consumatori vogliono accedere ai servizi bancari senza l’aiuto della banca, in un’ottica di self-banking; maggiore efficienza, in termini di razionalizzazione dei costi e delle procedure. In sostanza, ciò che gli utenti vogliono è ottenere il massimo risultato con il minimo sforzo intellettuale, grazie alla presenza di strumenti tecnologici, come ad esempio gli ATM (Automated Teller Machine), che rendono le operazioni rapide e automatiche.

Dalle molteplici indagini condotte sui Millennials, i cosiddetti nativi dell’era digitale, è evidente la diffidenza di tale generazione verso le banche tradizionali, a seguito dei recenti scandali che hanno colpito il settore bancario4. I Millennials mostrano, oltre alla diffidenza, poca fedeltà nei confronti del proprio istituto bancario: un rispondente su tre è pronto a cambiare banca nel giro di pochi giorni. Un Millennial su tre ritiene che in futuro non avrà più bisogno di una banca a causa della presenza di un’offerta similare da parte di concorrenti quali Google, Apple, Paypal. La maggior parte dei rispondenti dichiara di utilizzare, tra i servizi offerti dalle proprie banche, principalmente l’online-banking; inoltre, i Millennials non si recano in filiale per avere una consulenza, ma

(13)

13

cercano di trovare risposte alle loro domande attraverso i social media; infine, i giovani fanno un uso esteso delle app mobile per controllare il proprio conto o per altre necessità. I consumatori stanno diventando sempre più competenti, grazie alla facilità di accesso e alla diffusione di Internet, e più esigenti nei riguardi dell’offerta di prodotti e servizi, che deve essere sempre più personalizzata, in modo da poter vivere una customer experience ottimale.

I dati sull’utilizzo di Internet sono positivi, in quanto, sempre secondo la ricerca di KPMG, nel 2015 ben il 68% della popolazione italiana ha la possibilità di accedere al web. Se questi dati vengono confrontati con quelli europei, emerge che l’utilizzo di Internet in Italia risulta ancora al di sotto della media: infatti, la media europea si attesta intorno all’81%. Nonostante questo, il 2016 è stato l’anno in cui l’accesso a Internet da dispositivi mobile ha superato l’accesso a Internet dal pc. Rispetto al 2014 sono aumentati del 35% gli italiani che navigano dal mobile. L’accesso da mobile viene fatto per attività di svago e per effettuare acquisti online, mentre dal pc si consultano news e portali per i servizi bancari.

Il processo di digitalizzazione del settore bancario sta cambiando l’equilibrio nel rapporto banche-clienti: se fino a qualche tempo fa la banca era il soggetto “forte” che guidava la relazione, oggi i ruoli si sono invertiti. I clienti stanno superando le banche, sono più informati, hanno maggiore familiarità con gli strumenti digitali rispetto al passato, sono più esigenti riguardo all’offerta di prodotti e servizi. Queste nuove caratteristiche del cliente bancario “moderno” richiedono un ripensamento del rapporto tra banca e clientela fino ad oggi consolidato. I principali concorrenti degli istituti di credito, le Fintech, si stanno accaparrando una parte della clientela tipicamente bancaria, grazie alla predisposizione di un’offerta basata sul digitale e focalizzata sui bisogni del cliente. Queste start-up mettono al centro delle loro strategie la customer experience, che si riferisce al modo in cui il cliente valuta la propria esperienza di consumo: il consumatore infatti, quando interagisce con una banca, non dà importanza a cosa gli viene offerto, ma all’impatto emotivo che i prodotti o servizi gli possono trasmettere. È attraverso la customer experience che il consumatore dà un giudizio positivo o negativo sulla banca. Ed è dalle percezioni del cliente che dipende la stabilità della relazione con la banca: se sono positive, allora sarà più facile instaurare un rapporto di fiducia duraturo tra consumatore e istituto bancario; se invece sono negative, il cliente sarà propenso a interrompere la relazione con la banca, con conseguenze inevitabili sulla redditività aziendale.

(14)

14

Secondo i dati rilevati dal World Retail Banking Report del 2016, l’indice di customer experience (CEI) è cresciuto tra il 2015 e il 2016, passando dal 72,7% al 75,6%; questo innalzamento dell’indice è dovuto al fatto che le banche, sotto la pressione competitiva delle Fintech, stanno aumentando gli investimenti in dotazioni tecnologiche rispetto agli ultimi anni. Nonostante questi dati positivi, molti consumatori mostrano ancora delle perplessità riguardo alla capacità delle banche di migliorare la customer experience. Infatti, dal report emerge come le Fintech stiano influenzando sempre di più le decisioni finanziarie dei consumatori rispetto ai tradizionali istituti di credito: circa due consumatori su tre utilizzano prodotti e servizi Fintech, e il 55% è propenso a consigliare a conoscenti il provider Fintech anziché la propria banca (38%). Il report evidenzia come le aziende Fintech stiano diventando popolari soprattutto nei mercati emergenti e tra i Millennials, poiché percepite come di più facile fruizione (82%), con servizi più veloci (81%) e con una customer experience positiva (80%). Dal canto loro, il 70% delle banche vede nella fiducia del cliente il principale punto di forza, seguito dalla stabilità della relazione con il consumatore (65,3%) e da una solida gestione del rischio (65,3%). Tuttavia, anche la fiducia nelle banche è in bilico, in quanto il report mostra come sia in rapida crescita la fiducia dei clienti nelle aziende Fintech (87,9%). Le banche sottovalutano le potenzialità dei nuovi concorrenti con riferimento alla capacità di sviluppare un’esperienza di consumo positiva e di fidelizzazione del cliente. Per non perdere quote di mercato e rimanere competitive all’interno del settore finanziario, dunque, gli istituti di credito devono porsi come obiettivo primario la realizzazione di una customer experience ottimale.

Per poter essere giudicata tale, la customer experience deve presentare certe caratteristiche: innanzitutto, il cliente deve percepire la semplicità nell’utilizzo di un prodotto o servizio offerto dalla banca. Questa semplicità deve essere ravvisabile fin dall’accesso ad un dato servizio: ad esempio, oggi molte banche mettono a disposizione app che non richiedono procedure complesse per navigare. Invece di accedere ad un’app tramite inserimento di codici complessi, gli utenti possono autenticarsi semplicemente attraverso impronte digitali o comandi vocali. Con questi metodi le banche possono contribuire a semplificare l’accesso ad un certo servizio da parte dell’utente: infatti, anziché sforzarsi di memorizzare codici diversi per servizi diversi, è possibile utilizzare molteplici metodi di autenticazione, coniugando la sicurezza con la fruibilità.

(15)

15

Oltre che semplice, la customer experience deve essere estremamente personalizzata: l’offerta di prodotti e servizi non deve essere standardizzata, ma deve variare in funzione delle aspettative e dei bisogni del cliente in un dato momento.

Un altro aspetto da prendere in considerazione per garantire una buona customer experience è la trasparenza: a tal proposito, le banche si stanno muovendo nella direzione di una maggiore semplicità e chiarezza delle informazioni. In passato i documenti bancari erano lunghi, dettagliati, scritti con un linguaggio troppo tecnico e spesso incomprensibile per i clienti; inoltre, la complessità del documento non permetteva di confrontare un prodotto con un altro. Il rapporto banca-cliente risultava così contraddistinto da asimmetria informativa: spesso i clienti non erano a conoscenza di informazioni critiche per prendere decisioni di investimento o finanziamento consapevoli e ponderate. Per andare incontro alle esigenze di famiglie e imprese, le banche oggi predispongono documenti più standardizzati, in modo da facilitare la comprensione e la comparabilità tra prezzi, condizioni e rischi dei vari prodotti.

Un esempio di customer experience di successo nel settore bancario è costituito dal modello di Fineco Bank: questa banca ha realizzato un modello di business distintivo, “One stop solution”, che riunisce in un unico conto tutti i servizi, dal banking, al credit, al brokerage, ai servizi d’investimento5_{. Tale modello possiede tutte e tre le caratteristiche}

di una customer experience ottimale: esso garantisce semplicità, poiché prevede un’unica password per accedere ai vari servizi; personalizzazione, in quanto il cliente percepisce come unica la propria esperienza di consumo; trasparenza nei confronti degli utenti. In conclusione, possiamo dire che è necessario che le banche adottino un approccio orientato al cliente anziché sul prodotto, anche e soprattutto avvalendosi del supporto della tecnologia.

Un primo passo verso il miglioramento nell’interazione tra banca e cliente consiste nell’utilizzo dell’Artificial Intelligence (AI). Tramite questa sarà più facile per le banche conoscere e prevedere le intenzioni e le emozioni dei propri clienti. Inoltre, l’utilizzo dell’AI permetterà alle banche di ridurre i costi operativi, in particolare a seguito della riduzione dell’impiego di personale umano; infine, si potrà estendere il servizio di consulenza specializzata a certi segmenti di clientela ai quali, a causa degli elevati costi del servizio, era finora preclusa questa possibilità.

(16)

16

Per migliorare la customer experience le banche possono ricorrere anche a partnership con le start-up Fintech: infatti, tali aziende, invece di essere considerate una pura minaccia nell’ambito del settore finanziario, potrebbero rivelarsi un’occasione per instaurare rapporti di cooperazione al fine di migliorare il grado di soddisfazione dei clienti. Le sinergie tra banche e Fintech, per essere efficaci, devono apportare benefici ad entrambe le parti: da un lato, le banche possono sfruttare le innovazioni delle Fintech per recuperare le quote di mercato perse negli ultimi anni e per ridurre il rischio di rimanere ai margini dell’ecosistema digitale moderno; dall’altro, le Fintech possono fare leva sull’accesso alla grande quantità di dati sui clienti contenuti nei database delle banche. Tuttavia, ciò che potrebbe rendere difficile una collaborazione tra banche e Fintech è la presenza di elevati costi di gestione cui devono far fronte le banche, causati dalla presenza di molti dipendenti e dall’eccessiva burocratizzazione. Dal lato delle Fintech, i problemi nel formare partnership con le banche derivano dal non avere una posizione consolidata sul mercato: si tratta pur sempre di start-up, e come tali, nonostante il successo degli ultimi anni, devono ancora acquisire una certa esperienza.

Malgrado le molte perplessità riguardo a future partnership tra banche e Fintech, il 65,3% dei dirigenti bancari vede queste nuove aziende come potenziali partner; per il 45,5% si tratterà di collaborazioni, mentre per il 43,6% la sinergia riguarderà forme di investimento; infine, pochissimi dirigenti intendono sviluppare collaborazioni tramite operazioni di fusione o acquisizione di aziende Fintech6_.

Qualunque sia la strategia scelta dalle banche, quest’ultime dovranno rivedere i propri obiettivi e considerare come prioritario quello della realizzazione di un’esperienza di consumo positiva per i loro clienti; solo attraverso l’evoluzione della relazione tra banca e cliente sarà possibile sopravvivere in un’era caratterizzata dall’onnipresenza della tecnologia e da una società sempre più aperta al digitale.

1.2 L’evoluzione del modello distributivo: dalla banca multicanale alla

banca omnicanale

1.2.1 Integrazione tra canali distributivi tradizionali ed elettronici nel

settore bancario

(17)

17

La rivoluzione digitale implica per le banche una revisione del proprio modello di business tradizionale, allo scopo di adeguarsi ad un contesto caratterizzato da innumerevoli innovazioni tecnologiche in ogni settore. Grazie a queste, per le banche si possono profilare delle opportunità attraverso le quali ottenere vantaggi competitivi. Una prima opportunità consiste nell’evoluzione del modello distributivo: si è in sostanza passati dalla banca multicanale a quella omnicanale. La differenza tra i due modelli di banca sta nel fatto che, mentre la banca multicanale si limita a mettere a disposizione della clientela sia canali fisici che digitali, offrendo più alternative ma senza prevederne un utilizzo congiunto, nel modello di banca omnicanale si ha un’integrazione tra canali tradizionali ed elettronici, affinché il cliente percepisca un maggior valore aggiunto nella propria esperienza di consumo. Questa sinergia viene imposta dai cambiamenti nelle abitudini dei consumatori, i quali sono sempre più propensi a scegliere canali differenti a seconda del prodotto o servizio di cui essi necessitano. I clienti avvertono l’esigenza di vivere un’esperienza di utilizzo dei vari dispositivi unica e senza interruzioni, passando da un canale all’altro in modo fluido. Nella banca omnicanale i canali si sostengono l’uno con l’altro, operando e dialogando in maniera interconnessa, in un’ottica di integrazione. L’omnicanalità consente alle banche di instaurare relazioni estremamente personalizzate con i propri clienti. A questo proposito, in uno studio di KPMG vengono analizzate le principali tipologie di relazione tra banca e cliente, che vengono classificate in base al tipo di canale maggiormente utilizzato7:

1. Self → si tratta di uno stile relazionale adatto ai clienti fai-da-te, ossia a quei clienti che fanno un elevato uso della tecnologia nell’ambito dei servizi bancari e che perciò non hanno bisogno di sfruttare il canale fisico; i canali principalmente utilizzati in questo tipo di relazione sono internet e il mobile.

2. Self-assisted → è uno stile che si colloca in una posizione intermedia rispetto al precedente, nel quale il cliente si “serve da solo” facendo un uso abbastanza frequente della tecnologia, ma prevedendo la possibilità di richiedere assistenza nelle fasi più critiche; in questo caso il cliente utilizza prevalentemente i canali web e mobile, ma in caso di necessità predilige il canale telefonico.

(18)

18

3. Face-to-face remote → stile adatto a clienti con una propensione medio-alta all’utilizzo di tecnologie e con preferenza per l’interazione tramite il canale del contact center; in questo approccio è presente un contatto umano con gli operatori, i quali, attraverso il dialogo con i consumatori, possono risolvere i loro problemi dando risposte immediate.

4. Face-to-face → è uno stile che si adatta ai clienti che propendono per i canali fisici e per un basso utilizzo della tecnologia; in tale circostanza, i clienti preferiscono recarsi in filiale anziché utilizzare i canali virtuali, mantenendo una relazione tradizionale con l’istituto bancario, non solo per effettuare le ordinarie operazioni, ma anche per richiedere servizi di consulenza.

5. Face-to-face outdoor → stile adatto ai clienti che esigono un contatto fisico con la filiale in ogni momento del rapporto, rifiutando qualsiasi supporto tecnologico. Dall’indagine di KPMG, il cui campione è costituito da più di 1.000 individui italiani che utilizzano i servizi bancari e che appartengono a varie fasce di età, emerge come Internet e la filiale rappresentino i canali prediletti per la gestione e l’acquisto di prodotti e servizi bancari, con una leggera prevalenza di Internet (63%) rispetto allo sportello (58%)8. Questa preferenza è supportata dal fatto che la fascia di età che utilizza il web si colloca tra i 35 e i 55 anni, mentre la filiale risulta il canale di riferimento per i clienti con un’età superiore ai 55 anni.

Il canale dell’Internet banking da pc viene utilizzato dagli utenti prevalentemente per operazioni informative e dispositive; al contrario, per operazioni più semplici, si preferisce l’Internet banking da mobile. Il canale tradizionale dello sportello bancario viene scelto per servizi di consulenza e per la sottoscrizione di contratti di mutuo, operazioni considerate più complesse, per le quali i clienti ritengono indispensabile recarsi in filiale. I canali digitali sono considerati più utili nelle fasi pre e post vendita: i clienti, attraverso questi canali, ricercano informazioni su un prodotto e confrontano le condizioni contrattuali di diverse banche prima di acquistarlo. Invece nella fase concreta di acquisto e sottoscrizione di un prodotto i clienti preferiscono utilizzare i canali tradizionali.

Se da un lato dunque l’omnicanalità riesce a soddisfare maggiormente le aspettative dei consumatori in termini di maggior qualità del servizio e immediatezza, consentendo

8_{Il 34,6% del campione è composto da soggetti di età inferiore a 35 anni, il 47,5% da persone di età}

(19)

19

altresì una riduzione dei costi operativi, dall’altro questo nuovo modello distributivo comporta per le banche delle difficoltà, soprattutto in termini di scarsità di risorse professionali dotate di competenze specifiche e di complessità nell’integrazione di canali innovativi (come quelli on-line, mobile e social) con quelli già esistenti.

Una delle sfide più importanti per le banche nell’era digitale attuale (in un’ottica di miglioramento della relazione con il cliente) è quindi quella di non costringere il cliente a scegliere tra canali fisici e virtuali, ma quella di consentirgli di utilizzare, nell’ambito della customer experience, tutti i canali messi a disposizione, iniziando con uno e terminando con un altro, allo scopo di garantire in ogni momento un’esperienza ottimale e omogenea.

1.2.2 Evoluzione del ruolo delle filiali bancarie

La revisione del modello di business tradizionale delle banche sta comportando anche dei cambiamenti nel ruolo delle filiali. Alcune circostanze hanno reso necessaria un’evoluzione della concezione di filiale a cui siamo sempre stati abituati. In primis, i cambiamenti nelle abitudini dei consumatori: oggi i clienti utilizzano quotidianamente la tecnologia, e questo li ha portati ad allontanarsi sempre di più dal contatto con lo sportello, potendo effettuare le principali operazioni bancarie in qualsiasi momento e in qualsiasi luogo tramite i canali internet e mobile. Oltre a questo fattore, i clienti stanno perdendo fiducia negli istituti di credito, per colpa degli scandali che li colpiscono sempre più di frequente. Negli ultimi tempi si è diffusa nell’opinione pubblica l’idea che la banca non sia più il luogo sicuro nel quale vengono custoditi i propri depositi, ma al contrario, viene percepita come una minaccia soprattutto per i piccoli risparmiatori, i quali ritengono che la banca non faccia i loro interessi. In questo scenario, si prevede che nel prossimo futuro le transazioni bancarie svolte esclusivamente dalle filiali rappresenteranno solo una piccola parte del totale, mentre le transazioni online saranno in costante aumento, fino a superare quelle tradizionali9.

Per riuscire a trattenere la clientela, le banche non dovranno quindi solo pensare ad integrare i canali distributivi e a spostare il focus sul cliente, ma dovranno anche rivedere il ruolo stesso della filiale bancaria, adattandolo ad un contesto caratterizzato dall’innovazione digitale. Per anni la filiale è stata concepita come il luogo d’incontro

(20)

20

fisico tra clienti e banche e il centro delle transazioni finanziarie. Le filiali erano distribuite in maniera capillare sul territorio, poiché l’obiettivo prioritario era quello di acquisire il maggior numero di clienti e diffondere il proprio brand sul territorio. Nelle filiali erano presenti tutti i ruoli tradizionali che caratterizzavano l’operatività bancaria, ma era disponibile anche personale con competenze specialistiche, come la figura del consulente e del promotore finanziario. I clienti quindi trovavano all’interno degli sportelli bancari tutte le figure professionali in grado di rispondere alle loro molteplici esigenze. Le filiali di un tempo non presentavano rapporti di subordinazione, in quanto ognuna di esse era autonoma rispetto agli altri sportelli bancari; inoltre, gli orari di apertura erano molto rigidi, costringendo i clienti a sprecare molto tempo anche solo per fare un’operazione che richiederebbe pochi minuti.

Oggi la presenza di bassi margini di redditività delle banche ha imposto una razionalizzazione dei costi, che sta avvenendo anche tramite la riduzione delle filiali; in più, la possibilità per i consumatori di utilizzare molteplici canali per comunicare ha ridotto l’importanza della filiale quale canale di contatto tra banca e clientela.

Per queste ragioni, le banche stanno passando dal modello di filiale tradizionale al modello “Hub and Spoke”, che risponde sia all’esigenza di riduzione dei costi operativi, sia a quella di adattamento al modello distributivo della banca omnicanale. Il modello “Hub and Spoke” consente infatti una maggiore efficienza e flessibilità rispetto al modello tradizionale, ed è capace di sfruttare tutti i canali di contatto, compreso quello fisico. Tale modello presenta una configurazione “a grappolo”, con a capo una filiale di tipo “Hub” connessa a più filiali di tipo “Spoke”10_.

Nel documento del CeTIF viene rappresentato il nuovo modello di filiale: la “Hub” si configura come una “holding”, è situata in posizione centrale e coordina una rete di filiali più piccole denominate “Spoke”. È dotata di autonomia organizzativa e decisionale ed è in grado di offrire una gamma completa di prodotti e servizi, potendo disporre sia di personale che ricopre i ruoli tipici della filiale, sia di personale con competenze specialistiche, che all’occorrenza viene messo a disposizione delle filiali “Spoke” per supportarne l’operatività.

Le filiali “Spoke” invece sono dipendenti dalla capofila e si caratterizzano per una maggiore flessibilità rispetto alla “Hub”, sia nell’orario, che spesso risulta prolungato

10_{CeTIF, “L’evoluzione dello Sportello bancario. Modelli distributivi, innovazione tecnologica e supporto}

(21)

21

rispetto alla filiale tradizionale, sia nei giorni di apertura, prevedendo l’operatività anche in alcuni giorni festivi. Grazie a tale configurazione, si garantisce una maggiore prossimità al cliente, oltre che un efficiente presidio del territorio. Queste filiali tuttavia hanno un’operatività più limitata rispetto alla capofila, in quanto non dispongono di personale completo, sia per quanto riguarda i ruoli tradizionali, sia per quelli specialistici; tuttavia, in risposta all’aumento necessario del grado di innovazione tecnologica, le “Spoke” presentano un maggior grado di automazione rispetto alla “Hub”.

Sempre in base al documento del CeTIF, le filiali “Spoke” si possono differenziare ulteriormente in sportelli Cash Light e sportelli Cash Less, a seconda dell’intensità dell’attività transazionale svolta. I primi si caratterizzano per una parziale attività transazionale assistita da un cassiere, che viene appunto esercitata soltanto ad orari prestabiliti o per specifiche operazioni. La figura del gestore è spesso sostituita dal cassiere il quale, una volta terminata l’attività di cassa, si può trovare ad esercitare quella di consulenza. Negli sportelli Cash Light manca anche la figura del direttore di filiale. La filiale Cash Less ha la peculiarità di essere una filiale senza cassa per il deposito o il prelievo di contante, in cui le operazioni sono completamente automatizzate, conferendo massima autonomia operativa all’utente attraverso la presenza di ATM evoluti, casse automatiche, schermi interattivi.

In conclusione, si può affermare che la filiale del futuro non sarà più il fulcro delle transazioni bancarie, che potranno essere effettuate dai clienti attraverso i canali messi a disposizione dalla banca stessa (ATM, internet banking, mobile banking), con evidenti vantaggi dal punto di vista della rapidità, semplificazione, efficienza e ottimizzazione dei costi. Tuttavia, la filiale rimarrà comunque il luogo fisico nel quale i clienti si recheranno nel momento in cui dovranno prendere decisioni importanti, come ad esempio in caso di sottoscrizione di un contratto di mutuo, oppure quando vorranno ricevere un servizio di consulenza altamente personalizzato.

Tramite la riconfigurazione delle filiali sarà possibile per le banche realizzare l’incremento dei margini di redditività tanto auspicato negli ultimi tempi.

Un altro vantaggio riguarda il miglioramento della customer retention, grazie alla presenza di filiali create per rispondere ai bisogni specifici del singolo cliente, in grado di predisporre un’offerta di servizi personalizzata e dotate di personale altamente qualificato.

(22)

22

Nel settore bancario i social media si stanno guadagnando una posizione rilevante tra gli strumenti in grado di rivoluzionare le modalità di contatto con la clientela. Poiché l’obiettivo primario della banca è oggi quello di realizzare una customer experience completa e ottimale, occorre prendere in considerazione l’utilizzo di canali nuovi, come quello social, in modo da poter facilitare la comunicazione e il contatto tra istituti bancari e consumatori. Infatti, attraverso i social, la banca può interagire con i propri clienti in qualsiasi momento per soddisfare i loro bisogni, sia di assistenza che di semplice richiesta di informazioni. I social media hanno anche il vantaggio di garantire una maggiore trasparenza, eliminando il problema delle asimmetrie informative che caratterizza da sempre il rapporto banca-cliente.

I social rappresentano un’opportunità per acquisire nuovi clienti e per ottenere vantaggi competitivi rispetto ai concorrenti interni al settore che ancora non hanno familiarità con questi canali innovativi.

Da un’indagine nata dalla collaborazione tra ABI e KPMG emerge come quasi il 90% delle banche del campione sia presente sui social media; tra queste, l’80% dichiara di essere già attiva sui social, il restante 10% conta di farlo nei prossimi mesi11_{. Per quanto}

riguarda il 10% degli istituti non attivi sui social, si può rilevare come le motivazioni di questa scelta risiedono, per la maggior parte, nella difficoltà di valutare i rischi legati all’utilizzo di tali canali, ma anche nella mancanza di figure professionali con competenze idonee a governare questi strumenti e nella difficoltà di misurazione dell’effettivo ritorno economico in termini di ROI derivante dall’utilizzo dei social media. L’8% ammette di non avere le risorse economiche necessarie per implementare una strategia social. I canali più utilizzati dalle banche presenti sui social risultano Linkedin, Twitter, Youtube e Facebook; in media le banche sono presenti su 5 diversi social network, e ne aggiornano i contenuti circa 2 volte al giorno, per un totale di 12 volte a settimana.

Il 55% del campione non si limita a dialogare con i clienti attraverso i social, ma utilizza anche canali di messaggistica per conversare direttamente con loro: tra questi, il preferito risulta Facebook Messenger.

L’indagine evidenzia che gli obiettivi primari che le banche intendono raggiungere attraverso i social media sono i seguenti: 1) rafforzamento della propria immagine e reputazione; 2) sviluppo di strategie di marketing per acquisire nuovi clienti e aumentare

(23)

23

la fidelizzazione di quelli già esistenti; 3) promozione di iniziative di educazione finanziaria da parte degli istituti bancari verso i cittadini e assistenza pre/post vendita di prodotti; 4) raccolta di informazioni sui clienti attuali e potenziali; 5) coinvolgimento dei clienti nell’ innovazione di prodotti e servizi tramite un processo di co-produzione. I temi affrontati dalle banche sui social media non sono solo di natura economico-finanziaria, ma spaziano dallo sport, al turismo, al non-profit, allo scopo di attrarre anche clienti che hanno una ridotta cultura finanziaria.

Le principali attività svolte sui social network sono la comunicazione istituzionale, le campagne pubblicitarie e promozionali, la pubblicazione di contenuti relativi ad aspetti che vanno oltre il contesto puramente finanziario. L’indagine evidenzia come le banche stiano investendo negli ultimi anni nell’attività di “social customer care”, ossia l’assistenza pre e post vendita sui prodotti e servizi della banca. Si tratta di un’attività molto importante, sia dal lato del cliente sia delle banche: tramite questa, infatti, il cliente può segnalare all’istituto di credito le proprie lamentele riguardo al malfunzionamento di un dato prodotto o servizio e richiedere assistenza in tempo reale. Le banche, tramite la “social customer care”, possono gestire in maniera più efficiente e rispondere tempestivamente alle richieste dei consumatori, dando l’idea di maggiore prossimità alla clientela.

Gli strumenti maggiormente utilizzati per lo svolgimento delle attività sui social media sono le immagini, le foto e i contenuti multimediali; le banche ricorrono in misura inferiore ai testi scritti, considerati obsoleti a fronte delle nuove forme di comunicazione. Un’altra informazione contenuta nell’indagine concerne il modo in cui le banche decidono di gestire le attività svolte sui social media dal punto di vista organizzativo: nel 48% dei casi, sia le banche grandi che quelle piccole dispongono di un’unità organizzativa dedicata all’attività social. In altri casi la gestione avviene tramite team composti da risorse appartenenti o ad un’unica area o provenienti da divisioni diverse con un approccio multifunzionale, in modo da coprire interamente le funzioni richieste.

Il settore bancario è consapevole dell’importanza strategica dei social media: è ormai appurato che questi non rappresentano per le banche solo un mero canale di comunicazione con l’esterno, ma stanno diventando un punto di riferimento per il contatto con i clienti, dato che la maggior parte di essi possiede un profilo su almeno un social network.

Il canale social rappresenta sicuramente un’opportunità per rafforzare la propria immagine e reputazione, ma costituisce anche un rischio nel momento in cui i contenuti

(24)

24

pubblicati o le modalità di interazione con il cliente non dovessero avvenire in modo adeguato o in modo tale da produrre un effetto negativo sul mercato. Attraverso i social media le banche si espongono maggiormente, per cui ogni loro azione diverrà oggetto di feedback da parte degli utenti: se i giudizi saranno positivi, l’attività social produrrà vantaggi in termini di fidelizzazione e di consolidamento del brand; se invece saranno negativi, la banca subirà contraccolpi pesanti e sarà costretta a confrontarsi direttamente con le critiche e le lamentele degli utenti. Per contrastare questa minaccia, molte banche stanno formalizzando un insieme di linee guida e regole per gestire le attività social, definite social media policy, in modo da aumentare le responsabilità e al contempo ridurre i rischi di chi opera sui canali social, in particolare quello reputazionale.

La sfida delle banche sarà dunque quella di far diventare il canale social il principale punto d’incontro con i clienti: se implementata correttamente, l’attività social costituirà una leva competitiva importante all’interno del settore finanziario e potrà contribuire ad accrescere il potere di mercato degli istituti di credito.

1.3 Le principali innovazioni tecnologiche delle banche

1.3.1 Un nuovo modello di gestione delle risorse ICT: il Cloud Computing

Uno dei termini maggiormente associati alla quarta rivoluzione industriale è sicuramente il Cloud Computing: si tratta di una delle più importanti innovazioni tecnologiche degli ultimi tempi destinata a cambiare le modalità di gestione delle risorse informatiche. Letteralmente possiamo tradurre il termine Cloud Computing con “nuvola informatica”: questa traduzione fornisce delle indicazioni su cosa sia il Cloud, dando l’idea di un’aggregazione di risorse. Infatti, per Cloud Computing si intende una tecnologia che consente l’accesso ad un insieme di risorse informatiche in qualsiasi momento e in qualsiasi luogo tramite una connessione ad Internet. Una definizione ufficiale di Cloud è data dal NIST (National Institute of Standards and Technology) in un documento nel quale si legge che “Cloud computing is a model for enabling ubiquitous, convenient,

on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud

(25)

25

model is composed of five essential characteristics, three service models, and four deployment models”12_.

In base al documento del NIST, il Cloud può essere classificato in tre categorie, a seconda della tipologia di servizio erogato e del controllo che può essere esercitato dall’utente sull’infrastruttura fornita dal provider:

1) Infrastructure as a Service (IaaS), in cui i servizi erogati dai provider sono delle infrastrutture. In questa fattispecie, l’utente non gestisce né controlla il Cloud sottostante, ma ha il controllo sui sistemi operativi e sulle applicazioni.

2) Platform as a Service (PaaS), dove i servizi sono erogati sotto forma di piattaforme. Anche in questo caso, l’utente non gestisce e non controlla il Cloud sottostante, ma presidia soltanto le applicazioni.

3) Software as a Service (SaaS), in cui vengono forniti come servizi i software. In questa tipologia di Cloud, il consumatore non gestisce e non controlla il Cloud sottostante, ma si occupa soltanto della configurazione di applicazioni specifiche.

Un’altra distinzione nell’ambito del Cloud riguarda i modelli di distribuzione, ossia i soggetti ai quali vengono forniti i servizi13:

1) Private Cloud, ossia il Cloud è progettato per essere utilizzato esclusivamente da una specifica organizzazione comprendente diverse business units. Esso può essere gestito direttamente dall’organizzazione, da terze parti, o da entrambi. Questa tipologia di Cloud è ritenuta più sicura rispetto al Cloud pubblico, poiché i dati vengono mantenuti all’interno dell’organizzazione.

2) Community Cloud, ovvero i servizi sono erogati ad una comunità di organizzazioni che condividono alcune caratteristiche o interessi. Questo tipo di Cloud è gestito da una o più organizzazioni della comunità oppure da terzi.

3) Public Cloud, cioè i servizi sono erogati da un service provider ad un pubblico generale. Questo tipo di Cloud ha il pregio di ridurre i costi relativi al mantenimento dell’infrastruttura rispetto al Cloud privato.

4) Hybrid Cloud, è un sistema che integra le varie tipologie di Cloud, pur rimanendo quest’ultime delle entità distinte. Si tratta di un modello che riunisce i vantaggi degli altri tipi di Cloud Computing.

12_{Mell P., Grance T., “The NIST Definition of Cloud Computing. Recommendations of the National Institute}

of Standards and Technology”, Settembre 2011.

13_{Mell P., Grance T., “The NIST Definition of Cloud Computing. Recommendations of the National Institute}

of Standards and Technology”, Settembre 2011.

(26)

26

Il documento del NIST prosegue poi con l’esame delle principali caratteristiche del Cloud Computing:

1) On-demand self-service→ l’utente può disporre delle risorse contenute nel Cloud in maniera autonoma, su semplice richiesta, senza interagire con il provider del servizio. 2) Ampia accessibilità alla rete→ le risorse sono disponibili sulla rete e accessibili tramite meccanismi standard che promuovono l’utilizzo di piattaforme eterogenee da parte del cliente (ad esempio tablet o smartphone).

3) Raggruppamento delle risorse→ le risorse sono raggruppate allo scopo di servire molteplici consumatori attraverso un processo di assegnazione e redistribuzione delle risorse che avviene in base alla domanda degli utenti.

4) Rapida elasticità→ le risorse possono essere fornite in maniera elastica e rilasciate, in alcuni casi anche automaticamente, per scalare rapidamente verso l’interno o verso l’esterno commisuratamente alla domanda.

5) Servizio misurato→ i sistemi Cloud controllano automaticamente e ottimizzano l’uso delle risorse, garantendo così maggiore trasparenza sia per il fornitore sia per colui che utilizza l’infrastruttura.

Di fronte a questi vantaggi, le banche negli ultimi anni hanno manifestato il loro interesse verso la nuova tecnologia del Cloud Computing, poiché essa viene considerata un’opportunità per snellire il processo di gestione delle risorse informatiche e per razionalizzare i costi tramite la tecnica dell’outsourcing: tuttavia, il settore bancario, anche se attirato da questo strumento, nutre delle perplessità riguardo ai rischi derivanti dal suo impiego.

Un’indagine del CIPA riferita al 2015 analizza il tema del Cloud nelle banche, in particolare confrontando rischi e opportunità derivanti dalla sua adozione14. I principali risultati sono i seguenti: il 59% del campione dichiara di aver adottato in via definitiva il Cloud, il 4,6% lo sta utilizzando in via sperimentale, mentre il 9,1% prevede di utilizzarlo dal triennio 2016-2018. I gruppi bancari che non hanno adottato il Cloud danno come principali motivazioni di questa scelta la difficoltà di controllo dei dati, i costi elevati di gestione del Cloud, i rischi di sicurezza informatica e l’incertezza del quadro normativo. Dall’indagine emerge un trend crescente nella spesa per i servizi di Cloud Computing, ma nonostante ciò, molte banche rilevano un gap tra i benefici attesi e quelli realmente

(27)

27

ottenuti. Dall’adozione del Cloud, infatti, le banche si aspettano rapidità di allestimento di ambienti di test (78,6%), scalabilità (64,3%), flessibilità di utilizzo (57,1%), velocità di implementazione di soluzioni innovative (50%) e riduzione del time to market (50%). Le banche che hanno adottato il Cloud ritengono che i rischi maggiori siano quelli di compliance e di sicurezza informatica. Per quanto riguarda i modelli di servizio utilizzati, dall’indagine emerge come il 50% dei gruppi bancari faccia uso di tutte e tre le tipologie di modelli: si prevede che nel triennio 2016-2018 aumenterà l’utilizzo dei modelli PaaS e SaaS. Il modello distributivo più diffuso si rivela il Private, seguito dall’Hybrid e dal Public (risulta assente invece l’utilizzo del modello Community). Per quanto riguarda i ruoli svolti dalle funzioni aziendali nella gestione delle risorse informatiche, la rilevazione mostra come sia nella fase di pianificazione che di attuazione della strategia le responsabilità maggiori siano assegnate alla funzione IT; anche per quanto concerne la fase di gestione operativa, il ruolo di responsabilità viene affidato nella maggior parte dei casi alla funzione IT.

Le maggiori criticità rilevate nell’ambito del Cloud sono legate alla perdita di controllo dei dati e alla protezione dei dati personali. Per quanto riguarda il primo aspetto, i rischi che ne possono derivare sono molteplici15_{: 1) rischio di lock-in, cioè il rischio per l’utente}

di un servizio Cloud di rimanere bloccato presso un determinato provider e di non potersi svincolare facilmente per migrare verso altri fornitori; 2) rischio di gestione dei dati, nel senso che il cliente, esternalizzando le risorse, non ha la possibilità di gestire in maniera diretta i dati16; 3) rischio di subire attacchi hacker da parte di soggetti interni o esterni. Con riferimento alla protezione dei dati personali, per molto tempo ci sono state delle lacune nella regolamentazione della privacy nel Cloud. Per colmare questo gap normativo, nel 2012 il Garante è intervenuto fornendo una serie di linee guida per un utilizzo più consapevole dei servizi di Cloud Computing17. Il Garante pone molta attenzione alla distinzione delle responsabilità tra il cliente che affida le risorse al provider e il fornitore del servizio di Cloud Computing: il cliente, nel momento in cui esternalizza i propri dati ad un service provider, deve prestare attenzione a come questi vengono utilizzati. Infatti, in caso di violazioni commesse dal fornitore, sia quest’ultimo che il

15_{Il Sole 24 Ore, “Cloud computing e trattamento dei dati: il risk assessment secondo le nuove prospettive}

europee, Dicembre 2016.

16_{Questo rischio comporta gravi conseguenze in caso di fallimento del provider, in termini di perdita dei}

propri dati.

17_{Garante per la protezione dei dati personali, “Cloud Computing. Proteggere i dati per non cadere dalle}

(28)

28

cliente assumono responsabilità solidale nei confronti dell’eventuale illecito. In più, il titolare è chiamato a monitorare costantemente le azioni del responsabile del trattamento, verificando la corretta esecuzione delle istruzioni impartite in relazione ai dati personali trattati. Un altro compito dell’utente del servizio è quello di assicurarsi che vengano adottate le misure di sicurezza necessarie a ridurre al minimo i rischi di distruzione o di perdita accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o difforme rispetto alla finalità della raccolta. Il cliente deve accertarsi infine che egli possa sempre accedere ai propri dati e che al contempo ne venga consentito l’accesso soltanto alle persone che ne hanno diritto.

In base a queste disposizioni, dunque, è dovere del cliente acquisire il maggior numero di informazioni al fine di ponderare attentamente la scelta del service provider: egli deve accertarsi che le misure di sicurezza adottate dal fornitore siano idonee, che siano presenti garanzie di riservatezza, che esista la possibilità di trasferire ad un altro fornitore una parte o la totalità dei dati senza particolari ostacoli.

Recentemente è stato introdotto il GDPR, il nuovo Regolamento europeo sulla protezione dei dati personali, il quale interviene anche sul Cloud: l’art.20 prevede infatti il diritto alla portabilità dei dati, ossia il diritto per l’interessato, nella fattispecie il cliente del Cloud, di ricevere, in formato strutturato, di uso comune e leggibile da un dispositivo automatico i dati personali del service provider, nonché il diritto, sempre per l’interessato, di trasmettere tali dati ad un altro Cloud provider, senza impedimenti da parte del precedente fornitore di servizi. Un altro obbligo previsto dal Regolamento nei confronti dei fornitori di servizi Cloud è quello di mettere in atto le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato. I Cloud provider dovranno inoltre attuare altre misure preventive, come la predisposizione della valutazione d’impatto sulla protezione dei dati, l’adempimento degli obblighi di notifica di violazione dei dati personali e di cooperazione con l’autorità di controllo nazionale. Queste nuove disposizioni riequilibrano gli obblighi in capo al titolare e al responsabile del trattamento, che fino ad un recente passato ricadevano prevalentemente sul soggetto che decideva di esternalizzare le risorse informatiche e non su quello che ne aveva la disponibilità. Anche l’EBA (European Banking Authority) si è mobilitata per fornire delle raccomandazioni sull’outsourcing della gestione delle risorse informatiche a fornitori di servizi di Cloud Computing, al fine di aggiornare le precedenti linee guida del CEBS (Committee of European Banking Supervisors) e garantire una maggiore protezione nei riguardi di soggetti, come le banche, che decidono di esternalizzare la gestione delle