Newsletter

Clicking moves left

Gli Speciali 2017

 

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Per una digitalizzazione sicura

Per una digitalizzazione sicura

A pochi giorni dall'edizione 2017 di Banche e Sicurezza, Gino Giambelluca di Banca d'Italia fa il punto sull'evoluzione dei rischi degli attacchi informatici per il settore finanziario e sulle nuove sfide che questa comporta per le Autorità del settore. Positivo l'avvio del CERTFin, mentre c'è attesa per l'applicazione delle nuove normative nazionali ed europee che vanno ad incidere sulle attività di sicurezza delle banche, in particolare sui pagamenti
Flavio Padovan
Evoluzione digitale e sicurezza. Un binomio che impone nuove sfide all'intero settore bancario e finanziario. Ne parliamo con Gino Giambelluca, Titolare della Divisione Sistemi di pagamento e infrastrutture, Servizio Supervisione sui Mercati e sul Sistema dei Pagamenti di Banca d’Italia, che anticipa a Bancaforte alcuni dei temi che affronterà nel suo intervento a Banche e Sicurezza 2017 (vedi box).

Gli ultimi attacchi cyber stanno facendo emergere con sempre maggiore forza la pericolosità della criminalità informatica. Quali sono i rischi e le vulnerabilità specifiche del settore finanziario?

“Il settore finanziario è uno dei più coinvolti nella trasformazione digitale. Questo implica da un lato nuovi modelli di business e opportunità rilevanti per gli intermediari, dall'altro rischi mai affrontati prima, in particolare quelli legati al cyberspace. È da considerare che il settore finanziario è connotato da alcune caratteristiche che producono un effetto di amplificazione del rischio cyber. Tra queste, ad esempio, l'alta intensità tecnologica del settore e l'apertura dei servizi su internet. E, soprattutto, la forte interdipendenza che c'è tra gli operatori della comunità finanziaria globale, un fattore che potrebbe causare un'ampia e rapida propagazione degli effetti di un attacco cyber. Ne abbiamo avuto evidenza non tanto con il recente WannaCry, che non ha toccato il settore finanziario più di altri, quanto con gli attacchi al network Swift dello scorso anno, che hanno fatto emergere i punti di vulnerabilità delle interconnessioni del sistema finanziario, all’attenzione anche delle Autorità di supervisione, sempre impegnate a valutare l’attualità del quadro di regole e dei controlli rispetto a questo tipo di eventi”.

Quali sono le sfide che questa evoluzione digitale del settore finanziario pone alle Autorità di settore?

“La vera sfida è quella di migliorare innanzitutto la comprensione dei fenomeni innovativi, e poi di adeguare i tradizionali strumenti e modalità di intervento ai nuovi modelli operativi e ai rischi cyber emergenti. In concreto questo vuol dire affiancare al controllo e alla regolamentazione nuove forme di dialogo e di cooperazione, anche strutturata, con tutti gli operatori del settore privato. Un approccio necessario per individuare tempestivamente le minacce e favorire anche l'adozione immediata delle opportune contromisure. Un esempio di questo nuovo modo di operare è il CERTFin, promosso da Banca d'Italia insieme ad ABI e ABI Lab. È un'iniziativa cooperativa creata per l'infosharing e la cyber security del settore finanziario italiano diventata, per le sue caratteristiche innovative, un benchmark anche per altri comparti”.

Che ruolo svolge Banca d'Italia nel CERTFin? E qual è il bilancio di questi primi mesi di attività dal punto di vista dell'Autorità?

“Noi siamo soddisfatti di questo avvio, avendo presente che abbiamo promosso questa iniziativa nella consapevolezza che la minaccia cyber può essere contrastata solo facendo sistema. E per fare sistema è fondamentale il ruolo di garanzia che l'Autorità centrale può offrire nei confronti dei partecipanti nello scambio di informazioni, che possono avere una connotazione di riservatezza aziendale. Noi crediamo molto in questa iniziativa e per questo siamo coinvolti a un livello elevato di governance, nel Comitato strategico insieme all'ABI. Nello stesso tempo – ed è importante sottolinearlo – noi siamo anche utilizzatori dei servizi offerti dal CERTFin in quanto operatore che offre servizi critici per la piazza finanziaria italiana ed europea. Pensiamo, ad esempio, alla gestione di TARGET 2 e TARGET2-Security che svolgiamo per l'Eurosistema. Inoltre, la nostra infrastruttura IT opera in un contesto sovranazionale e può offrire un contributo significativo nella condivisione delle informazione”.

Che cosa cambia per l'attività di sicurezza delle banche con le nuove normative italiane ed europee?

“La PSD2 ha tra le sue principali novità un approccio al tema della sicurezza molto più ampio e profondo rispetto al passato. Se da un lato la nuova direttiva sui servizi di pagamento supporta l'innovazione abilitando nuovi modelli di offerta di servizi di pagamento, dall'altro introduce requisiti di sicurezza a più livelli. Ad esempio, l'obbligo del doppio fattore di autenticazione per l'utente, che ha acceso un dibattito molto vivace, e canali di colloquio sicuri con i nuovi operatori, le terze parti. A livello aziendale, inoltre, gli intermediari devono rispettare requisiti specifici per la gestione e la mitigazione dei rischi di sicurezza connessi con i servizi di pagamento prestati.L'obiettivo del regolatore, nel formulare la nuova direttiva così come nel definire la normativa attuativa, è comunque sempre quello di trovare un corretto punto di equilibrio tra la sicurezza, da un lato, e l'usabilità e l'accessibilità ai servizi per gli utenti, dall'altro. L'intenzione è rendere sostenibile l'innovazione e non ostacolarla. Ovviamente questo è un punto critico perché è reale il rischio di frenare lo sviluppo di servizi all'avanguardia attraverso la previsione di obblighi che non tengano conto del nuovo contesto. Banca d'Italia partecipa ai lavori dell'European Banking Authority per la definizione delle normative attuative avendo ben presente la necessità di trovare il giusto equilibrio tra queste due esigenze. Nei prossimi mesi ci aspettiamo di comporre un piano unitario con le norme europee dell'EBA e con il recepimento in Italia della direttiva PSD2, che si dovrà completare entro gennaio 2018. È un esercizio non facile, ma stiamo collaborando con il MEF per avere un quadro coerente che consenta poi, dal 2018, di operare nel nuovo regime”.

Nel settore dei pagamenti stanno entrando molti operatori che non sono soggette alla stesse normative delle banche. Come si può superare questo problema?

“Il regolatore sta studiando le modalità per superare le tradizionali categorie di operatori, per tenere conto del fenomeno fintech e garantire per tutti un Level Playing Field. Non è un'impresa semplice perché c'è una difficoltà oggettiva nell'adeguare la regolamentazione a modelli di business in rapida evoluzione. La PSD è del 2007, mentre la PSD2, emanata due anni fa, deve essere ancora attuata. Nel frattempo il settore si è evoluto con una velocità incredibile. Come si può fare allora? Dobbiamo far evolvere gli strumenti di intervento, affiancando al controllo e alla supervisione anche forme moderne di dialogo con l’industria, che consentano di osservare da vicino i nuovi fenomeni e di verificare eventuali soluzioni regolamentari”.

Banche e Sicurezza 2017, al centro la protezione fisica e digitale

Si terrà a Milano il 23 e 24 maggio la nuova edizione dell'evento dedicato alla sicurezza nel settore bancario, organizzato dall'ABI in collaborazione con Ossif e ABI Lab.
Un tema di grande attualità, sotto la spinta dei cambiamenti tecnologici degli ultimi anni che stanno trasformando le strategie di gestione della sicurezza nelle banche. Sempre di più si assottigliano le divisioni tra sicurezza fisica e sicurezza informatica, tra mondo reale e mondo digitale.
In questo quadro si evolvono professionalità, approcci, strumenti. Il presidio e la difesa del patrimonio della banca (umano, informativo, economico), nonché la tutela della continuità operativa, richiedono aggiornamenti continui, investimenti, innovazione, per rispondere prontamente alle nuove minacce del cybercrime, delle frodi materiali e digitali, del crimine fisico.
Un appuntamento importante per la visione privilegiata sul settore bancario e per il coinvolgimento istituzionale e operativo, che ne fanno un punto di riferimento fondamentale per tutti gli attori coinvolti che all’evento si incontrano e si confrontano.
19 Maggio 2017

Articoli correlati

 

Nuovo Contratto bancari

Sullo scaffale

Nuovo Annuario Assofin

Nuovo Annuario Assofin

L'analisi del mercato del credito al consumo e immobiliare e le schede delle associate Assofin. Disponibile anche in formato e-book