Per decenni, la filosofia della sicurezza, non solo in ambito finanziario, si è concentrata sulla protezione interna dalle minacce provenienti dal mondo esterno, di fatto la stessa filosofia alla quale i Romani si affidavano per proteggere la loro frontiera. Allo stesso modo, le organizzazioni hanno fatto fin qui affidamento sulle Vpn per fornire ai dipendenti la possibilità di svolgere i propri lavori in sicurezza mentre si trovavano fuori sede, anche se, almeno nell’era pre Covid-19, lo sfruttamento è spesso stato inferiore al potenziale utilizzabile.

La realtà di oggi ha reso il concetto di perimetro praticamente obsoleto, perché manager e dipendenti hanno la possibilità di lavorare dovunque si trovino e con qualunque dispositivo. Per le banche, si è aggiunto il tema dell’aggiornamento delle relazioni sempre più digitali con la clientela e, come abbiamo visto pocanzi, ora anche dell’open banking. Di fronte a questa crescente moltiplicazione delle possibilità di accesso ai sistemi, anche gli strumenti di sicurezza e le metriche di valutazione dell’efficacia dovrebbero adeguarsi.

Secondo quanto emerso da una ricerca qualitativa realizzata di recente da Indigo Communication nel mondo delle banche medio-grandi, si  conferma come più o meno tutti abbiano esteso il raggio d’azione dei propri strumenti di protezione negli ultimi anni. A differire è il peso di queste componenti e le conseguenti metriche di valutazione dei team di sicurezza. La difesa perimetrale non è certo scomparsa, la sua utilità non viene disconosciuta e in alcuni casi questo è ancora il tipo di approccio preponderante alla cybersecurity. Strumenti come il Siem o l’analisi comportamentale sono patrimonio comune fra le banche di ogni dimensione (o i loro outsourcer), ma si può dire sia ancora minoritaria la logica di misurazione basata sul tempo di rimedio a una falla riscontrata (e prima ancora individuata) e sulla garanzia della minor superficie vulnerabile possibile. La strada appare segnata, ma i tempi di approdo appaiono diversificati e anche gli strumenti si differenziano fra chi fa leva soprattutto sui periodici test di penetrazione e vulnerability assessment e chi, invece, sta già utilizzando tecniche di intelligenza artificiale per rilevare anomalie nel momento stesso in cui si presentano, minimizzare i falsi positivi e prevenire così le minacce anche non conosciute.

L’effetto attutito della pandemia

La pandemia che ha caratterizzato la prima parte del 2020 e ha improvvisamente costretto le aziende a spostare in remoto gran parte del lavoro dei propri dipendenti non pare aver richiesto importanti revisioni infrastrutturali nelle banche analizzate. Lo smart working era più o meno già presente ovunque, anche se certamente minoritaria era la quantità di personale coinvolto. I responsabili Ict & Security hanno dovuto in prima battuta occuparsi di un’emergenza soprattutto al numero di persone, dispositivi e connessioni coinvolte. Il potenziamento delle VPN già implementate è stato un passo obbligato, pur nella consapevolezza diffusa che le comunicazioni crittografate e il tunnel dati aderiscono ancora alla premessa di base che esiste un perimetro protetto da attraversare per un utente remoto allo scopo di ottenere i privilegi di accesso locale alle risorse aziendali e che questa tecnologia non riesce a prevenire i movimenti laterali o eliminare le minacce interne. Laddove esistevano le adeguate premesse, si è dato spazio alle architetture Zero-Trust, dove si assume che chiunque possa rappresentare una minaccia e quindi occorra verificare sempre e in continuazione, ma più in generale l’attenzione è stata assorbita dalla necessità di mettere tutti nelle condizioni di lavorare come se si trovassero in ufficio, rincorrendo la disponibilità di laptop laddove non ci fosse già una dotazione interna sufficiente, attivando le connessioni remote tramite Vpn rafforzate nella loro portata e generalizzando l’utilizzo di sistemi di autenticazione multifattore. Non è mancata una certa intensificazione della formazione (ovviamente a distanza) sulla cultura del rischio e i relativi comportamenti da tenere. Se in generale è stata rilevata un’intensificazione dei tentativi di attacco, quasi nessuno ha lamentato intrusioni andate a buon segno nel periodo topico di diffusione dell’emergenza sanitaria.

In sostanza, la ricerca fa emergere come le banche si siano mostrate perlopiù pronte a reggere l’onda d’urto di una pandemia che ha di colpo remotizzato il lavoro di quasi tutto il personale e intensificato le relazioni digitali con la clientela. Resta da valutare quali possano essere gli effetti di lunga durata di questo adattamento. Possibile riduzione del numero di filiali, adattamento dei servizi proposti a una clientela più digitalizzata e opportunità connesse all’open banking sono temi ai primi posti nelle agende dei manager del settore e le ricadute sugli investimenti tecnologici non mancheranno almeno nel medio termine.