I rischi informatici sono diventati “una delle principali minacce per la sicurezza globale, con un costo annuale stimato di oltre 200 miliardi di dollari”. Le minacce informatiche rappresentano un “rischio sistemico per la stabilità del sistema finanziario europeo, ma spesso i cyberattacchi non vengono segnalati”. Lo ha detto Piero Cipollone, membro del Board esecutivo della Bce, durante la riunione dell’Euro Cyber Resilience Board (Ecrb) per le infrastrutture finanziarie paneuropee: “le infrastrutture dei mercati finanziari sono reti che mitigano i rischi ma che se presentano malfunzionamenti possono anche diventare una fonte di rischio sistemico. Questo è messo in rilievo in modo evidente dall’accresciuta minaccia di cyber attacchi e dei danni e delle difficoltà che possono provocare”, è importante quindi – sottolinea Cipollone – non avere spazio per i compromessi, “dobbiamo essere sempre un passo avanti rispetto a chi ci attacca”.
Minacce informatiche in evoluzione e più aggressive
Le minacce informatiche “stanno diventando più aggressive, avvicinandosi al cuore del sistema finanziario”, e “i conflitti geopolitici determinano un ulteriore incremento” degli attacchi, cosa che “mette in evidenza la necessità di continuare a investire nella cyber resilienza” spiega Cipollone. In questo contesto le nuove tecnologie vanno viste come delle risorse utili per migliorare la resilienza informatica ma sempre con attenzione: ad esempio, l’intelligenza artificiale può essere sfruttata per attacchi sofisticati, con gli hacker che ne approfittano per ingegneria sociale, ricognizione e sfruttamento.
“Per riuscirvi – sottolinea Cipollone – dobbiamo assumere un approccio su ampia scala e lavorare continuamente assieme“.
Necessaria collaborazione tra banche e autorità
Cipollone ha evidenziato così il ruolo chiave dell’ECRB nel riunire “le infrastrutture finanziarie paneuropee, i fornitori di servizi critici e le autorità europee” per discutere strategicamente dei rischi informatici e condividere informazioni sensibili in modo sicuro. Forum come l’Ecrb, “offrono grandi benefici”, consentendo di “unire gli sforzi in materia di cybersicurezza” e anticipare le future minacce.
Per queste ragioni l’Ecrb “rappresenta uno sforzo di primo piano su questo versante. Al tempo stesso banche centrali e autorità devono lavorare assieme a livello internazionale, in stretta collaborazione con le aziende, dato che i rischi non sono un fenomeno regionale ma una minaccia globale. Come nuovo presidente dell’ECRB non vedo l’ora di lavorare su queste sfide per migliorare la nostra resilienza comune”, ha affermato Cipollone.
Piero Cipollone ha sottolineato poi che le entità finanziarie devono adottare pratiche solide di gestione del rischio, considerando l’aumento dell’outsourcing e la dipendenza dai fornitori di servizi terzi. Ha evidenziato l’importanza di condurre una due diligence prima di assegnare contratti a fornitori. Le autorità, specialmente le banche centrali, devono sorvegliare attentamente, richiedendo alle infrastrutture finanziarie di identificare, valutare e gestire le interdipendenze legate ai fornitori di servizi terzi, oltre a vigilare sui fornitori di servizi critici.
Lavorando insieme, “siamo meglio attrezzati per approfondire la nostra comprensione delle minacce informatiche, difenderci da esse e ridurre al minimo il loro possibile impatto”.
L’importanza della segnalazione
Cipollone ha ribadito l’importanza di individuare i potenziali punti deboli per mitigare in modo efficace i rischi informatici, consentendo decisioni più informate e l’allocazione adeguata delle risorse necessarie.
“Un elemento chiave della resilienza informatica è la segnalazione e la divulgazione di incidenti informatici da parte di infrastrutture ed entità del settore finanziario e di altri settori critici. Considerazioni sull’impatto sulla reputazione e sulla fiducia dei clienti o degli investitori possono naturalmente essere in gioco, ma non dovrebbero influenzare i requisiti di segnalazione degli incidenti secondo i quadri normativi e di supervisione pertinenti. Infatti, qualsiasi mancata segnalazione degli incidenti potrebbe peggiorare l’impatto e compromettere il contenimento di un attacco informatico” spiega l’ex vice governatore della Banca d’Italia.
Altro elemento fondamentale per mitigare i rischi è quello di avere piani precisi per divulgare gli incidenti alle parti interessate e al pubblico.
Nel corso dell’anno, la Bce condurrà stress test su 109 banche sotto vigilanza diretta per valutare la loro capacità di risposta e recupero in caso di cyberattacchi.
