Nel luglio del 2019, Capital One, operatore finanziario USA specializzato in carte di credito, prestiti e conti di risparmio, è stato colpito da uno dei più gravi incidenti di cybersecurity nella storia delle banche, con perdita di dati personali (compresi i numeri delle carte di credito) per cento milioni di persone. A distanza di un anno, Capital One ha acconsentito a pagare una multa di 80 milioni di dollari, per non aver previsto le corrette misure di sicurezza (nello specifico, i dati erano in un archivio mal configurato in cloud, e a divulgarli è stato un hacker di 33 anni, Paige Thompson, in precedenza dipendente di Amazon).

Perché il settore finanziario è così tanto esposto ai rischi cyber?

Come riporta un Report della società di consulenza Boston Consulting Group, la probabilità di incorrere in problematiche di cybersecurity è molto più alta nel mondo dei servizi finanziari:

“Financial services firms are 300 times as likely as other companies to be targeted by a cyberattack, and dealing with those attacks and their aftermath carries a higher cost for banks and wealth managers than for any other sector.” (BCG Report)

Da un lato il mondo Finance è ovviamente un target attrattivo per una moltitudine di potenziali attori. Dall’altro lato, per sua natura è soggetto a un’ampia esposizione alle minacce provenienti dal mondo digitale, con possibili ricadute sistemiche, come sarà anche discusso nel corso del Workshop Live “Cybersecurity In Financial Services” organizzato da The Innovation Group nella mattina del prossimo 25 novembre 2020.

Le attività finanziarie sono infatti:

• Ampiamente digitalizzate, con una superfice d’attacco molto estesa, un trend che negli ultimi mesi ha subito un’ulteriore accelerazione a causa del remote working e dell’ulteriore digitalizzazione della relazione con il cliente.
• Le transazioni finanziarie avvengono in tempi rapidissimi (quindi sono potenzialmente soggette a una diffusione istantanea di un eventuale contagio).
• Le operazioni e i servizi finanziari sono sempre più aperti (pensiamo agli effetti della PSD2) oltre che interconnesse con terze parti non sufficientemente controllate.
• Il settore è fonte di dati molto attrattivi per il cyber crime.
• Le banche e gli altri attori dipendono moltissimo dal Trust che i loro clienti ripongono nell’istituto, e quindi sono potenzialmente molto soggette a un eventuale danno di reputazione.
• Sono soggette a una normativa molto ampia e complessa, quindi esposte anche a rischi legati alla conformità.
• Sono esposte a numerosi rischi legati al fattore umano, favoriti da comportamenti errati nella quotidianità lavorativa.

Key Highlights of the Threats to the Banking & Financial Services Sector

Fonte: PWC, https://www.stoodnt.com/blog/cybersecurity-in-banking-financial-services/

In aggiunta vanno considerati i rischi propri del mondo finanziario, che in alcuni casi sono diventati molto sofisticati: pensiamo ad esempio agli attacchi alla rete SWIFT o alle vulnerabilità delle Fintech.

Attacchi alla rete SWIFT

Il sistema di messaggistica SWIFT è stato disegnato per realizzare transazioni sicure e veloci tra i diversi operatori finanziari: tuttavia, abbiamo visto negli ultimi 3 anni almeno a una decina di incidenti di sicurezza in cui il sistema è stato aggirato e sfruttato per portare enormi guadagni a bande di cyber criminali. Utilizzando le credenziali SWIFT, gli hacker sono infatti stati in grado di convogliare grandi importi su propri conti bancari prontamente svuotati dopo il colpo. Dopo il famoso colpo alla Banca centrale del Bangladesh del 2016, per 81 milioni di dollari andati persi, ne sono avvenuti molti altri, come quello alla Indias City Union Bank per 2 milioni di dollari nel febbraio 2018, e quello per 6 milioni di dollari a una Banca russa nel 2017, sempre per alcune debolezze del sistema SWIFT (poi risolte).

Vulnerabilità delle Fintech

Grazie al rapido sviluppo tecnologico, le Fintech, startup del settore finanziario, hanno creato nuovi modelli di business, App e processi innovativi per pagamenti peer-to-peer, prestiti online, gestione della finanza personale user friendly, aggiornamenti e alert in real time. Le Fintech mettono i clienti in grado di effettuare molto più velocemente e facilmente operazioni sempre effettuate tramite le Banche, a costi inferiori se non del tutto gratuitamente, con una tecnologia avanzata. Il problema è che, per fare tutto questo, le Fintech hanno spesso posto la sicurezza in secondo piano rispetto allo sviluppo e al time-to-market. Le statistiche sui rischi legati alle Fintech sono spesso molto negative: secondo ImmuniWeb, ad esempio, il 98% delle top 100 startup fintech globali sono vulnerabili alle più comuni forme di attacco cyber (come phishing, attacchi alla sicurezza delle App mobile, ecc). Tra i problemi più frequenti individuati per le Fintech rientrano: pratiche di data security; modelli utilizzati per la condivisione di dati; gestione delle identità digitali dei clienti; vulnerabilità lato cloud e piattaforme web utilizzate.

ImmuniWeb: State of Application Security at Top 100 Global Fintech Startups

Il problema è che – quando problematiche come la perdita di dati o le transazioni malevole colpisco un attore del mondo finanziario – le perdite (per i clienti) possono essere molto elevate.  Le Fintech mancano di un corretto controllo dei rischi, presentano un forte ricorso a terze parti (piattaforme, cloud provider) e sono anche spesso esse stesse integrate nelle piattaforme di grandi istituti finanziari, rendendo tutto il sistema quindi potenzialmente molto più fragile.

Prepararsi a un futuro più sicuro per i servizi finanziari

Il mondo della finanza europeo sta cominciando ad aggregarsi per rafforzare le difese con una strategia comune contro il cybercrime. Per farlo la BCE ha promosso la Cyber Information and Intelligence Sharing Initiative (CIISI-EU) a cui hanno aderito soggetti pubblici e privati. A unire le forze, sotto l’impulso dei partecipanti all’Euro Cyber Resilience Board for pan-European Financial Infrastructures (ECRB) presieduto dalla Bce, sono banche centrali, controparti centrali, depositari centrali, sedi di negoziazione, gestori di sistemi di pagamento, fornitori di servizi tecnologici e di rete e l’Europol. Obiettivo dell’iniziativa è quello di proteggere il sistema finanziario attraverso la prevenzione, il rilevamento tempestivo e la risposta coordinata agli attacchi informatici. Inoltre, sarà facilitata la condivisione di buone prassi per far accrescere la consapevolezza delle infrastrutture finanziarie sulle minacce alla sicurezza informatica.

La Banca d’Italia partecipa al CIISI-EU per il suo ruolo di gestore di sistemi di pagamento in ambito nazionale e per l’Eurosistema. A gennaio di quest’anno poi, Banca d’Italia e Consob hanno concordato una strategia comune per rafforzare la sicurezza cibernetica del settore finanziario italiano attraverso specifiche misure rivolte alle infrastrutture finanziarie: sistemi di pagamento, controparti centrali, depositari centrali e sedi di negoziazione dei titoli. Il piano d’azione congiunto riguarda diverse aree di intervento: regolamentazione e supervisione, cooperazione pubblico-privato, formazione e sviluppo di consapevolezza sui rischi cibernetici. In particolare, la Banca d’Italia e la Consob utilizzeranno strumenti di valutazione del rischio cyber, già adottati nell’ambito dell’Eurosistema, come le Cyber Resilience Oversight Expectations for Financial Market Infrastructures (CROE), metodologia per la supervisione del rischio cyber. La Banca d’Italia e la Consob svilupperanno inoltre il TIBER-IT, modello per lo svolgimento di test derivato dal framework europeo di Threat Intelligence-Based Ethical Red Teaming (TIBER-EU), valutandone l’ambito, le modalità e la tempistica di applicazione alle diverse entità finanziarie, secondo un principio di gradualità che tenga conto del livello di preparazione degli operatori.