Il sistema finanziario è un insieme complesso di rapporti di credito e debito di tipo dinamico e multi-relazionale che fornisce servizi essenziali per lo sviluppo sociale ed economico di un paese, sostiene la capacità produttiva e innovativa di molti settori merceologici ed è fortemente interconnesso con le infrastrutture di altri settori strategici, quali ad esempio le reti di telecomunicazioni, le infrastrutture digitali e le reti di distribuzione elettrica.

Prolungate interruzioni nella fornitura di servizi finanziari, come ad esempio l’accesso alla liquidità o l’esecuzione di pagamenti, possono provocare ingenti perdite materiali, al limite disordini sociali, e possono produrre impatti sulla corretta erogazione e fruizione di altri servizi essenziali come i trasporti, l’approvvigionamento energetico e i beni di prima necessità, fino a generare l’indebolimento della fiducia dei cittanidi nella moneta e nei mercati, con conseguenze sistemiche e ricadute politiche a livello domestico e internazionale.

Il sistema finanziario è globalmente interconnesso e sempre più dipendente dalle tecnologie dell’informazione. La crescente digitalizzazione dei servizi finanziari e la progressiva azione di armonizzazione della regolamentazione cross-border da parte delle autorità hanno favorito nel tempo l’integrazione, l’efficienza, l’affidabilità e la competitività dei servizi finanziari, creando di fatto un’infrastruttura critica planetaria che risulta complessivamente meno legata ad una specifica area geografica rispetto a infrastrutture di altri settori critici.

Tutto ciò ha da un lato prodotto significativi benefici (permettendo una riduzione dei costi per la clientela ed aprendo la strada a nuove opportunità di business per gli operatori finanziari), ma dall’altro ha aumentato l’esposizione del sistema ai rischi cibernetici, rendendolo potenzialmente più vulnerabile ad attacchi su larga scala e obiettivo privilegiato di un numero crescente e diversificato di attori.

Il sistema finanziario ha un’architettura complessa con una superficie di attacco molto estesa, difficilmente demarcabile in modo netto e con innumerevoli punti di ingresso^[1]; il suo elevato grado di digitalizzazione lo espone a problematiche tecniche e operative: basti pensare alla gestione dei cambiamenti e delle vulnerabilità tecnologiche.

Un po’ come il sistema elettrico, quello finanziario, a causa della sua profonda e globale interconnessione, è suscettibile ai fenomeni di escalation ed effetto domino: una perturbazione di un nodo può espandersi coinvolgendone altri limitrofi e “risuonare” con nodi di altri ecosistemi interdipendenti, generando impatti che si amplificano per estensione e gravità, con implicazioni difficilmente prevedibili e non valutabili a priori in modo deterministico.

Si tratta, inoltre, di un sistema time critical in cui le transazioni devono concludersi il più rapidamente possibile o comunque entro un tempo massimo predeterminato: se da un lato ciò assicura la definitività di un’operazione finanziaria (es. disposizione di pagamento), dall’altro ne determina una fragilità legata alla rapidità di contagio dell’intero sistema, a partire da un evento anomalo o fraudolento.

L’ecosistema finanziario è aperto ad internet e alle terze parti (es. outsourcer, partner commerciali, fornitori di servizi previsti dall’open banking e dalla supply chain) con conseguenti difficoltà nel garantire la sicurezza della complessiva catena di fornitura dei servizi finanziari; la sua efficacia complessiva dipende profondamente dalla fiducia degli utilizzatori: ciò amplifica sensibilmente gli impatti relativi ad un attacco cibernetico subito da uno dei suoi nodi costituenti, riverberandone gli effetti a livello potenzialmente globale.

Se le componenti fisiche e logiche del sistema finanziario sono immerse nel cyberspazio, la sua componente umana lo è nell’infosfera: oltre a imporre di considerare il fattore umano tra le principali vulnerabilità sfruttate per la conduzione di attacchi complessi, ciò rende plausibili scenari di operazioni ibride finalizzate a indebolire la stabilità del sistema finaziario di una nazione attraverso la conduzione coordinata e sinergica di computer network operation e information operation.

I metodi di hybrid warfare come la propaganda, il sabotaggio, la deception e altre tecniche non convenzionali sono sempre state utilizzate per destabilizzare gli avversari in sitruazioni di conflittualità inter-statuale; solo recentemente però si assiste a un loro incremento in termini di velocità, ampiezza e intensità, catalizzato dall’evoluzione dei mezzi di comunicazione non intermediati (cfr. social media) e dall’adozione di tecnologie avanzate come l’intelligenza artificiale (cfr. deep fake) e facilitato dall’overload informativo^[2].

Indipendentemente dallo specifico settore di riferimento, negli ultimi anni si è assistito ad un considerevole intensificarsi della minaccia cyber legato alla rapida evoluzione del suo grado di sofisticazione e al crescente sfruttamento delle opportunità offerte dal cyberspazio - abbattimento dei limiti spazio-temporali, minori costi, rischi ed effetti collaterali - per il raggiungimento di scopi politici, militari ed economici a qualsiasi livello - da quello statuale al singolo cittadino - da parte di una gamma di attori variegata che spazia da organismi di intelligence a società private fino alla criminalità organizzata.

Attraverso attacchi cibernetici rivolti al sistema finanziario è possibile dunque perseguire molteplici obiettivi che vanno dal mero profitto economico (come nel caso di pagamenti fraudolenti), all’esfriltazione di dati sensibili,  ad azioni mosse da fini ideologici o volte ad ottenere vantaggi competitivi (data breach, spionaggio, uso strumentale delle informazioni per fomentare contestazioni e violenze o compromettere le relazioni internazionali e diplomatiche), fino alla compromissione della continuità dei servizi e dell’integrità dei dati e dei sistemi per finalità più strategiche, quali l’influenza di scelte politiche e/o la limitazione dei diritti civili o più in generale della sovranità di una nazione.

Particolarmente rilevante in ambito geopolitico è il crescente fenomeno del cyber-espionage finalizzato all’esfiltrazione di dati strategici di carattere finanziario^[3].

Inoltre, soggetti ostili statuali e non, sfruttando le opportunità offerte dallo spazio cibernetico, potrebbero utilizzare il sistema finanziario come strumento di coercizione economico-politico, colpendo i nodi e i servizi più critici del sistema, quali ad esempio il sistema dei pagamenti interbancari.

Il World Economic Forum pone ormai da molti anni gli attacchi cibernetici e il furto di dati tra i principali rischi globali, dopo gli eventi legati ai cambiamenti climatici e ai disastri naturali^[4]. Il tema della sicurezza cibernetica e della resilienza delle infrastrutture critiche alle cosiddette minacce ibride, compresi gli attacchi cibernetici, è divenuta una priorità di governi, delle autorità di settore e dei singoli operatori finanziari ed è un argomento di rilevanza strategica dei principali fora internazionali tra cui il G7, il G20 nonché dell’Unione Europea^[5].

La Commissione Europea, riconoscendo la resilienza cibernetica e la sicurezza informatica delle entità finanziarie quali elementi fondamentali per la stabilità e l’integrazione del sistema finanziario europeo, è impegnata nel rafforzamento del quadro legislativo per la cyber security dei servizi finanziari compreso l’abbattimento di potenziali ostacoli alla condivisione di informazioni sulle minacce. Le direttive sui servizi di pagamento (PSD2) e sulla sicurezza delle informazioni e delle reti (NIS-D) vanno in questa direzione^[6].

Sul fronte italiano, l’architettura nazionale cyber è stata ridefinita dal decreto “Gentiloni”, in linea con gli obiettivi delineati dal “Piano nazionale per la protezione cibernetica e la sicurezza informatica”: un ruolo centrale è svolto dal Dipartimento delle Informazioni per la Sicurezza (DIS) e dal Nucleo per la Sicurezza Cibernetica (NSC); le attività dello CSIRT nazionale sono in fase di avvio.

Con specifico riferimento all’ambito finanziario, istituzioni finanziarie pubbliche e private proseguono il loro impegno a rafforzare la resilienza cibernetica dei singoli operatori e del sistema finanziario italiano nel suo complesso. In particolare, la Banca d’Italia e le altre autorità di settore contribuiscono alla definizione di indirizzi, regole e linee guida a livello internazionale, favoriscono iniziative di cooperazione e awareness con il mercato (CERTFin), sviluppano e attuano metodologie per la valutazione del rischio cyber e il testing delle capacità di cyber resilience delle entità finanziarie^[7].

Inoltre la Banca d'Italia, attraverso il suo CERTBI, ha messo in campo una serie di iniziative volte al potenziamento della capacità di cyber threat intelligence (CTI)^[8]: strumento cardine per il contrasto proattivo alla minaccia cyber e per il consolidamento della cyber resilience dell’Istituto^[9].

Nell'era dell’economia digitale e globalizzata la cyber security rappresenta un valore trasversale e non può essere perseguita efficacemente da singoli soggetti, siano essi pubblici o privati. Essa è una responsabilità condivisa e richiede uno sforzo congiunto e sinergico tra tutti i portatori di interesse: autorità, industria, imprese e cittadini fruitori di servizi essenziali. La collaborazione transfrontaliera e intersettoriale pubblico-privato è fondamentale per proteggere i settori critici dai rischi emergenti generati da operazioni cyber e/o da minacce ibride.

Il settore finanziario, tradizionalmente molto sensibile ai rischi, negli ultimi anni ha realizzato numerose azioni collettive pubblico-privato in tema di cyber resilienza; sulla scorta di tali esperienze, esso può fornire un prezioso contributo anche ad altri settori critici, favorendo il coordinamento intersettoriale, l’armonizzazione dei quadri normativi e la preparazione del sistema Paese per fronteggiare plausibili scenari di rischio generabili da minacce cyber e/o ibride con possibili impatti sistemici.

 

Le opinioni sono espresse a titolo personale e non impegnano la responsabilità dell’Istituto

 

NOTE

[1] CEIP, New Tech, New Threats, and New Governance Challenges: An Opportunity to Craft Smarter Responses?, Camino Kavanagh (2019)

[2] Cfr. Bruegel, Hybrid and cybersecurity threats and the European Union’s financial system, Maria Demertzis and Guntram Wolff, September 2019. 

[3] Banca d’Italia, Questioni di Economia e Finanza, Interbank payment system architecture from a cyber security perspective, Fazio, Zuffranieri (gennaio 2018).

[4] WEF, The Global Risks Report 2019.

[5] Cfr. EU Strategic Agenda for 2019-2024 e Commission 2018 Fintech Action Plan.

[6] Gli istituti di credito e le infrastrutture di mercato (controparti centrali e sedi di negoziazione) sono stati esplicitamente inclusi nell’ambito di applicazione della direttiva NIS con l’obiettivo di assicurare una minima armonizzazione dei livelli di sicurezza degli operatori di servizi essenziali e di favorire la cooperazione tra le autorità nazionali competenti, le strutture di risposta agli incidenti di sicurezza informatica (CSIRT) e altre agenzie europee competenti quali l’ENISA.

[7] Banca d’Italia, Tematiche istituzionali, Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass (agosto 2018).

[8] Sviluppo di un sistema di cyber threat intelligence, Rapporto Clusit 2019. Digregorio, Giannetto.

[9] Relazione sulla gestione e sulle attività della Banca d’Italia, 31 maggio 2019.