Bankitalia e Consob: strategia comune per la Cybersecurity

Strategia comune tra i due enti per rafforzare la sicurezza cibernetica del settore finanziario italiano; l’obiettivo? “Contrastare le minacce legate allo sviluppo di nuove tecnologie e dell’economia digitale”

La necessità di incrementare il livello di sicurezza informatica è percepito sotto diversi fronti, lo sanno bene Banca d’Italia e Consob che hanno risposto così al bisogno di assicurare l’affidabilità del sistema finanziario nella sua totalità incrementando la sicurezza delle transazioni digitali e degli operatori finanziari stessi. Il piano comune prevede strumenti e tecnologie condivise la cui funzione è quella di proteggere i sistemi informatici dagli attacchi dall’esterno.

Dal comunicato stampa del 16 gennaio emerge che Banca d’Italia di concerto con la Consob utilizzeranno innanzitutto strumenti di valutazione del rischio Cyber, già adottati nell’ambito dell’Eurosistema, come le Cyber Resilience Oversight Expectations for Financial Market Infrastructures (CROE). Le due istituzioni svilupperanno inoltre un modello per lo svolgimento di test derivati dal framework europeo chiamato il TIBER-IT (Threat Intelligence-Based Ethical Red Teaming) (TIBER-EU), valutandone l’ambito, le modalità e la tempistica di applicazione alle diverse entità finanziarie, secondo un principio di gradualità che tenga conto del livello di preparazione degli operatori. Per questo Consob e Bankitalia hanno sentito la necessità di intervenire di comune accordo per concretizzare nel dettaglio la normativa già emanata a giugno 2019  a livello comunitario.*

Ma cosa comprende  il piano d’azione?

La strategia tratta differenti aree d’intervento: regolamentazione e supervisione, cooperazione tra pubblico e privato ma soprattutto formazione e sviluppo di consapevolezza sui rischi cibernetici.

Vediamo più nel dettaglio in cosa consistono i rischi in ambito di sicurezza cibernetica e di come è possibile prevenirli, evitarli o arginarli.

L’Italia il paese più colpito

Altro triste primato per il Belpaese che risulta esseree il primo in Europa per falle nei sistemi di sicurezza cibernetica e incapacità di gestione delle relative minacce.  Non solo tentativi subiti, insomma, ma veri e propri colpi messi a segno da hacker interessati a ottenere informazioni.. e non solo. Come messo in luce da CorCom, l’Italia è la più colpita dal Cybercrime in Europa e il decimo paese a livello globale. È bene chiarire che ad essere colpite non sono solo le imprese private ma anche istituzioni, enti pubblici e parastatali.  Altro aspetto fondamentale da considerare sono i soggetti a rischio d’attacco: non solo il centro nevralgico dei vari sistemi, ma tutta la filiera ad esso collegata:  clienti, fornitori, utenti, operatori ecc. A subire l’impreparazione italiana circa i rischi informatici non sono solo soggetti giuridici ed istituzionali, ma ciascuno di noi in quanto ad essi imprescindibilmente connessi.

Quali sono le minacce effettive del cybercrime?

• Phishing: si tratta di un tipo di truffa che punta a raccogliere informazioni dall’utente attraverso l’invio di e-mail, il cui mittente è solo apparentemente autorevole. Di solito infatti questi attacchi si nascondono dietro un account di posta pseudo istituzionale: Ministeri, Compagnie Telefoniche, Banche, società rinomate, ecc.  Il ricevente è così indotto a consegnare le proprie credenziali su un sito costruito appositamente e poco dissimile dall’originale sul quale i truffatori intercettano facilmente le informazioni rilasciate ingenuamente dall’utente ingannato.
• BEC: Business E-mail Compromise: in questo caso i truffatori prendono di mira le aziende individuando gli account aziendali che hanno poteri amministrativi e contabili in modo da, al momento giusto, convicerli ad inviare somme di denaro all’IBAN intestato al truffatore stesso che anche qui scrive da un indirizzo con dominio aziendale che è solo apparentemente autentico.
• Ransomware: il cybercrime più in ascesa, conosciuto anche come il virus del ricatto, il ransomware è un malware che viene installato inavvertitamente dal destinatario stesso sul suo dispositivo. Una volta preso possesso dei file presenti sul dispositvo, questi vengono cifrati;  il pirata allora chiede un riscatto per consegnare la chiave di decifratura al proprietario del dispositvo infettato.
• Le falle di sistema: oltre alle pratiche criminali appena descritte esistono delle vere e proprie “porte di ingresso” utilizzate dai pirati informatici. Si tratta di buchi nella rete di sicurezza (Bluetooth, Hardware come telefoni aziendali, Reti Wifi, Cloud etc) che presentano delle imperfezioni nei sistemi di protezione virtuale. Per fare un paragone visivo: ci si immagini un tesoro prezioso protetto da una recinzione, ebbene, la recinzione che dovrebbe fungere da seprazione e protezione tra l’esterno e il valore contenuto nel recinto, è bucata in maniera impercettibile o… grossolana. All’interno di questi varchi  si insinuano i pirati informatici che hanno così la possibilità di fare incetta di informazioni di valore quando e come vogliono.

Come proteggersi dagli attacchi cyber

Per gestire il rischio relativo alla Cybersecurity è indispensabile procedere secondo quello che ormai è il mantra della cybersecurity:  identificare, proteggere, rilevare, rispondere, riparare. Rendersi conto di come funzionano e come vengono inflitti i cybercrime è sicuramente il passo fondamentale per una cultura di prevenzione in tal senso.

Le aziende e le istituzioni devono necessariamente includere e valorizzare nuove figure professioniali quali il Chief Information Security Officer (CISO), i vari Security Analyst , Security Engineer e Security Architect, nonché il Cyber Risk Manager fino al professionsita con il nome più affascinante:  l’ Ethical Hacker, ossia un “pirata informatico buono” in grado di simulare attacchi informatici evidenziando i punti di debolezza dell’ecosistema cibernetico in cui ruota l’azienda o l’istituzione.

Collaborano in tal senso e per il medesimo scopo la figure professionali più nota da un paio di anni a questa parte: il Data Protection Officer (DPO), nata con l’emanazione del GDPR del 2018.

Non a caso insomma, punto focale del comunicato stampa del 16 gennaio di Bankitalia e Consob è proprio la formazione e la consapevolezza sul cyber risk e cyber security che, nell’ambito Fintech, è più che mai presente e pericoloso.

*Il 27 giugno 2019 è stato pubblicato in gazzetta ufficiale, il nuovo quadro normativo per la Cybersicurezza europea.