La gestione del rischio digitale sta diventando sempre più importante in un’epoca di crescente adozione del cloud da parte del settore finanziario. I nuovi quadri normativi, come DORA, hanno come obiettivo quello di indicare agli istituti di credito la strada per migliorare sicurezza e resilienza. L’adozione di una strategia a livello di settore è utile per implementare i requisiti richiesti dai nuovi regolamenti; in questo quadro, il modello di cloud ibrido può presentare notevoli benefici.
DORA, un quadro normativo attuale
Dopo la crisi finanziaria globale del 2008, l’integrità e la resilienza delle banche e dei sistemi finanziari sono diventate una questione fondamentale per i governi e le autorità di regolamentazione, con un processo di continuo inasprimento dei requisiti di conformità. Un esempio attuale in ambito UE è il DORA (Digital Operational Resilience Act), approvato nel 2022 e di cui si prevede l’entrata in vigore entro il 2024. DORA obbliga le società finanziarie a garantire la resilienza di tutte le tecnologie utilizzate e la stabilità operativa dei sistemi digitali, imponendo a tutti gli operatori del settore finanziario di adottare misure adeguate per migliorare la loro resilienza a fronte di qualsiasi possibilità di interruzione delle operazioni o di minacce che possono intaccare le loro tecnologie di informazione e comunicazione. Inoltre, il quadro normativo di DORA non riguarda solo le grandi banche, ma si applica a tutti i tipi di società finanziarie, dai fornitori di credito e di pagamenti alle società di investimento e di assicurazione, agli operatori di scambio di criptovalute e alle piattaforme di crowdfunding. Infine, DORA prevede la regolamentazione e supervisione di tutti i fornitori terzi di tecnologie ICT che servono gli operatori finanziari, compresi i grandi cloud provider come Microsoft, Amazon o Google.
Il nuovo regolamento rappresenta la strategia dell’UE per far fronte alla crescente digitalizzazione del mondo finanziario e ai rischi di sicurezza che ne derivano, soprattutto per quanto riguarda l’esternalizzazione dei servizi IT a partner “offshore” o l’utilizzo di offerte cloud. La resilienza operativa digitale è fondamentale per mitigare i rischi informatici, anche dal punto di vista economico. Sebbene non sia facile stimare i costi causati dagli incidenti operativi, ricerche di settore suggeriscono una cifra compresa tra 2 e 27 miliardi di euro all’anno per il settore finanziario in tutta l’Unione.
Il rischio di concentrazione del cloud
Un punto chiave per le autorità di regolamentazione è il rischio di concentrazione del cloud, ovvero il rischio sistemico associato all’esternalizzazione di funzioni business-critical comuni, come i pagamenti o la compensazione, a un unico cloud provider. Un’interruzione o una vulnerabilità presso tale fornitore potrebbe avere un impatto significativo se più istituti finanziari dipendono da quel servizio senza una sufficiente ridondanza.
DORA è stato preso a modello anche da altre autorità di regolamentazione del mondo per i contenuti che ha messo in luce. Nel Regno Unito, ad esempio, la Banca d’Inghilterra ha affermato l’intenzione di valutare la resilienza degli hyperscaler cloud, mentre negli Stati Uniti la Federal Reserve, il Congresso e altre personalità politiche stanno conducendo delle verifiche sull’adeguatezza delle autorità di regolamentazione ad affrontare i rischi del cloud. Inoltre, a Singapore, Hong Kong e in Australia, le banche sono già tenute a condurre vari gradi di due diligence sui partner tecnologici per dimostrare di avere sufficienti misure di salvaguardia e piani di risposta in caso di interruzioni.
Aumentano i rischi per la sicurezza
DORA – e tutto ciò che ne seguirà – arriva in un momento in cui molti istituti finanziari stanno espandendo le proprie supply chain tecnologiche, trovandosi ad affrontare maggiori complessità e, di conseguenza, maggiori rischi. Il cloud ha sicuramente degli innegabili benefici che condurranno le organizzazioni a considerare di migrare un numero maggiore di carichi di lavoro critici, ponendo inevitabilmente l’accento sulla sicurezza. Le istituzioni finanziarie potrebbero quindi cercare nuovi partner che forniscano soluzioni per proteggere i loro sistemi principali e, parallelamente, i partner esistenti che sono all’opera sulla modernizzazione di piattaforme e applicazioni legacy e sull’innovazione digitale saranno spinti a concentrarsi maggiormente sugli aspetti di sicurezza.
Il risultato di un maggiore utilizzo del cloud è un settore finanziario iperconnesso e una superficie di attacco più ampia e potenzialmente più vulnerabile. Gli istituti finanziari accedono sempre più spesso accedono a un’ampia gamma di dati e servizi di terzi attraverso gli stessi server e data center del cloud pubblico. Di conseguenza, la vulnerabilità di una sola organizzazione può avere ripercussioni su altre. Nel 2021, ad esempio, la Federal Reserve ha simulato come un attacco informatico potrebbe colpire il sistema finanziario statunitense, stimando che la compromissione di una delle cinque banche statunitensi più attive avrebbe probabilmente portato a significativi effetti di spillover su altre banche, colpendo in media il 38% della rete finanziaria nazionale. Se la reazione delle banche a questa incertezza è l’accumulo di liquidità, il rischio che si prospetta in termini di mancati pagamenti è drammatico, e potrebbe raggiungere più di 2,5 volte il PIL giornaliero.
In generale, le istituzioni finanziarie sono esposte a rischi informatici sempre maggiori. Di conseguenza, anche il numero di incidenti di sicurezza nel settore finanziario globale è in aumento. Ad esempio, la Banca centrale europea (BCE) ha registrato un aumento del 54% degli attacchi informatici agli istituti della zona euro nel 2020 rispetto all’anno precedente. C’è il forte rischio che questi numeri continuino a crescere.
Per far fronte a uno scenario di crescenti minacce, in Italia la Banca d’Italia e l’Agenzia per la Cybersicurezza Nazionale (ACN) hanno firmato un protocollo d’intesa per una collaborazione in ambito cybersecurity per l’avvio di una strategia di “difesa partecipata”, caratterizzata dallo scambio di informazioni, tecniche e procedure volte a prevenire e gestire minacce cyber che potrebbero colpire l’una o l’altra entità.
L’alta sicurezza come compito del settore
Ridurre al minimo i rischi informatici e cibernetici e aumentare la resilienza sono le priorità assolute nel mondo finanziario, e dovranno continuare ad esserlo in vista di scenari di attacco sempre più sofisticati, adottando al contempo un approccio più orientato alla comunità che scongiuri pericoli e impatti di maggior risonanza. La resilienza e la sicurezza devono diventare un lavoro di squadra, poiché l’ambito finanziario non è più un sistema isolato. Se le istituzioni abbandonano la propria “strategia di segretezza” è possibile guadagnare una visione olistica delle connessioni tra i vari enti, e tutte le organizzazioni e le aziende dell’ecosistema possono trarre vantaggio da questa visibilità. Una soluzione unificata e trasparente, come è ormai accettato nella pratica SecOps, deve essere il primo obiettivo dell’intero settore dei servizi finanziari. A seguire, sarà fondamentale l’implementazione di una strategia a livello di settore, la selezione, il procurement e l’adozione di soluzioni condivise, nonché l’istituzione di team e processi coordinati per la prevenzione e la risposta agli attacchi.
Sono in corso alcune ricerche a livello industriale e nel mondo accademico per mappare il modo in cui il settore finanziario globale è tecnologicamente connesso, utilizzando simulazioni per determinare come un guasto o un attacco al sistema potrebbe avere un impatto non solo su alcune aziende, ma anche sui mercati. Ad esempio, un articolo accademico pubblicato nel 2021 sul Journal of Financial Compliance ha fornito un quadro per modellare il sistema bancario, le rispettive implementazioni cloud e i carichi di lavoro che vi risiedono. L’obiettivo è capire quali tipi di infrastrutture e applicazioni finanziarie critiche sono maggiormente influenzate dalla strategia di implementazione del cloud di una banca. Ciò comporta anche l’identificazione di potenziali gateway che potrebbero portare a rischi sistemici e la quantificazione dell’impatto degli incidenti di sicurezza sull’economia generale. Le autorità di regolamentazione, le istituzioni finanziarie e i cloud provider possono trarre vantaggio da queste informazioni. In definitiva, si tratta degli stessi principi di modellazione che aiutano i virologi a prevedere il percorso del Covid-19.
Open source e cloud ibrido come acceleratori di resilienza
Una sfida cruciale riguarda comprendere come le istituzioni finanziarie possano costruire la resilienza quando utilizzano i servizi cloud, in un contesto in cui un numero crescente di aziende sta perseguendo una strategia di open source e cloud ibrido. L’indagine 2022 “The State of Enterprise Open Source” di Red Hat ha mostrato come l’81% dei dirigenti IT intervistati del mondo finanziario preferirebbe affidarsi a fornitori di soluzioni open source. Per il 75%, il vantaggio decisivo è che il software open source semplifica il processo di adozione di un’infrastruttura cloud ibrida. Inoltre, secondo il Global Tech Outlook Report 2022 di Red Hat, il cloud ibrido sta diventando la strategia cloud più diffusa: il 30% degli oltre 1.300 dirigenti IT intervistati ha dichiarato di affidarsi a una strategia di cloud ibrido e il 13% a un approccio multi-cloud, ovvero all’utilizzo di più fornitori di cloud pubblico. Una strategia di cloud ibrido aperto offre la flessibilità necessaria per eseguire e scalare le applicazioni in modo coerente in tutti gli ambienti, dall’edge computing, al cloud privato e a più cloud pubblici, senza dover ricostruire le applicazioni, riqualificare il personale o mantenere ambienti diversi.
Un’architettura cloud ibrida aperta, supportata da una piattaforma di container di livello enterprise, sono quindi componenti chiave per guidare lo sviluppo e la distribuzione di applicazioni innovative e allo stesso tempo, forniscono gli standard e le funzionalità necessarie per migliorare l’impronta di sicurezza di più ambienti cloud, mantenendo la portabilità delle applicazioni. Ciò consente inoltre agli istituti finanziari di mantenere la flessibilità nella scelta delle future opzioni cloud. In generale, la tendenza a utilizzare offerte di cloud ibrido contribuirà a rafforzare le capacità di sicurezza e resilienza.
In definitiva, l’obiettivo principale è quello di rendere resilienza e innovazione due facce della stessa medaglia, piuttosto che principi avversi. Le istituzioni finanziarie dovrebbero adottare un approccio veramente olistico, in cui la sicurezza sia integrata nel DNA dell’ecosistema e non aggiunta in un secondo momento.
Di Richard Harmon, VP global head of financial services, Red Hat