Le banche devono tenere sotto controllo e proteggere con grande cura: Informazioni finanziarie, dati personali di clienti e dipendenti, proprietà intellettuali e altre informazioni sensibili aziendali. In caso di attacco, infatti, i consumatori finali sono protetti dalla banca stessa e quindi hanno meno da temere. Le banche, invece, oltre a quest’ultima incombenza devono mettersi al riparo da attacchi molto estesi, realizzati non più da un hacker solitario, ma da vere e proprie organizzazioni criminali.
“Basti pensare – ha sottolineato Andrew Beckett, responsabile EMEA per la Cyber Security di Kroll, fornitore di soluzioni per la gestione del rischio – per esempio al caso Carbanak, che ha coinvolto oltre 100 istituti bancari in tutto il mondo, inclusi 27 italiani. L’organizzazione criminale che lo ha ideato e realizzato è riuscita a sottrarre oltre 1 miliardo di dollari in due anni prima che venisse neutralizzato”.
Non sempre gli attacchi informatici hanno lo scopo di sottrarre fondi, talvolta hanno l’obiettivo di impedire ai clienti di accedere ai propri account, causando un danno economico indiretto e facendo in modo che il consumatore perda fiducia nella banca e si rivolga ad altri istituti. E non è un mestiere difficile, dato che l’azienda ha calcolato che bastano 2 dollari l’ora per un attacco hacker.
“Gli attacchi cyber, quindi, non generano danni solo economici, ma anche reputazionali, spesso più gravi dei primi. Per questo è fondamentale che tutta l’azienda, a cominciare dal consiglio di amministrazione, sia consapevole e coinvolta nel processo di sensibilizzazione e aggiornamento continuo rispetto a questi temi” raccomanda Beckett.
In materia di regolamentazione, gli Stati Uniti sono il paese più avanzato. Lo stato di New York ha emanato nel marzo del 2017 il Cybersecurity Requirements for Financial Services Companies che si rivolge a banche, compagnie assicurative e altri servizi finanziari indicando nel dettaglio gli standard minimi dei programmi di sicurezza informatica e introducendo il tema della responsabilità aziendale, imponendo la precisa identificazione e documentazione delle carenze, dei piani di intervento e delle certificazioni annuali di conformità normativa.
L’Europa ha solo di recente affrontato il tema della sicurezza informatica dal punto di vista normativo introducendo il Network and Information Security (NIS) Directive e il General Data Protection Regulation (GDPR). Il primo prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Il secondo riguarda invece la protezione dei dati personali. Nessuno dei due si rivolge in modo specifico al settore bancario, assicurativo e finanziario.