Cyber security e competitività economica sono due aspetti sempre più correlati, oramai quasi inscindibili, soprattutto oggi che l’insicurezza informatica può pregiudicare il corretto andamento della concorrenza sui mercati finanziari.
A crederlo è Paolo Ciocca, commissario della Commissione nazionale per le società e la Borsa (la Consob), l’autorità indipendente dedicata alla tutela degli investitori, all’efficienza, alla trasparenza e allo sviluppo del mercato mobiliare italiano.
In una conversazione con Formiche.net, Paolo Ciocca – già vicedirettore generale del Dipartimento Informazioni per la Sicurezza (Dis) della Presidenza del Consiglio dei Ministri con delega all’analisi strategica e alla sicurezza economica, nonché responsabile dell’iniziativa nazionale di cyber security – spiega in che punto vigilanza finanziaria e cyber security si incontrano, e in quale modo la Consob concorre a vigilare anche questo su nuovo tipo di minacce.
Commissario Ciocca, anticipando una normativa europea in corso di approvazione, l’Italia ha ricompreso, tra gli altri, anche il settore delle infrastrutture finanziarie all’interno del perimetro degli interessi essenziali strategici italiani ai fini dell’esercizio del golden power. Che cosa significa in termini pratici per un’autorità di vigilanza come Consob?
Si tratta di un passo importante, perché le infrastrutture finanziarie sono cruciali e non solo ai fini del golden power. Queste infrastrutture sono composte dai mercati, in tutte le loro articolazioni: la borsa con i titoli azionari, ma anche derivati, titoli di stato, obbligazioni, oltre ai servizi ad essi collegati (clearing, depositari centrali). E proteggere questi asset è strategico: un problema al settore finanziario si propaga con la velocità di una grid elettrica, ma con un impatto economico, reale e/o percepito, potenzialmente altissimo.
Nel nuovo Quaderno giuridico della Consob – pubblicato oggi – ci si concentra sulla prospettiva imminente della Brexit che configurerebbe gli investitori britannici come soggetti extra-Ue.
Come spiega il Quaderno, il quadro normativo e di vigilanza esistente consente già – e richiede – alle autorità competenti di sorvegliare e, se necessario, intervenire laddove le società che gestiscono le infrastrutture di mercato risentano di cambiamenti significativi riguardanti sia l’azionariato sia le persone che comunque abbiano un’influenza significativa sulla società, sia l’organo di gestione, sia la struttura organizzativa interna dell’impresa, sia, infine, la stessa capacità di resilienza dell’infrastruttura. Quindi, in termini astratti, l’assetto normativo a disposizione è sufficiente.
Altro discorso è però il caso dell’hard Brexit, e del suo potenziale impatto sui mercati, per il quale il nostro Tesoro ha allo studio iniziative legislative ad hoc, che la Consob vede con favore.
Altro tema rilevante ed attualissimo è quello della cyber security, di cui ha parlato anche alla recente conferenza nazionale ItaSec. Qual è il ruolo della Consob in questo settore?
Il mondo della finanza converge sempre di più con quello dei dati. E le vulnerabilità del secondo si spostano anche sul primo. L’obiettivo della sicurezza cyber e di quella del mercato finanziario sono quindi sempre più urgenti. Se le infrastrutture finanziarie non sono sicure, il mercato ne risulta alterato nei suoi aspetti di concorrenza fondamentali. Senza contare gli effetti economici derivanti dal cyber crime. L’esempio delle frodi realizzate da Cabarnak – la cyber gang che ha rubato negli anni oltre 1 miliardo di euro da più di 100 istituti – dà da solo le dimensioni del fenomeno; in quel caso oggetto di un APT era il sistema dei pagamenti. Per questo è importante una attività di vigilanza che tenga conto anche di questi parametri di sicurezza, che possono incidere non di poco nella prosperità di un Paese. La Consob è attiva in particolare con le FMIs (Financial Market infrastructures), con le quali ha recentemente avviato iniziative sia di sensibilizzazione sia vigilanza.
Qual è il nesso tra sicurezza informatica e infrastrutture finanziarie?
Sono diversi. Uno è quello, già citato, della corretto funzionamento del mercato. Ma più in generale gli attacchi informatici hanno introdotto, a livello di sistema Paese, nuovi termini di valutazione economica. Un mercato che opera su infrastrutture, finanziarie e non, poco sicure è sempre più un soggetto non attraente per gli investitori domestici ma ancor di più per quelli esteri. Al contrario, chi sa proteggere questo ecosistema, godrà di numerosi vantaggi. In fondo si tratta due industrie – quella finanziaria e quella della sicurezza – che si basano sullo stesso elemento: la fiducia. E la “fiducia cyber” è un servizio che può essere proficuamente venduto.
Su quali elementi concreti è costruita questa fiducia?
Ci sono diverse leve con strumenti di mercato che possono concorrere ad innalzare il livello di sicurezza di un sistema. Ci sono delle leve dirette, che sono i requisiti di sicurezza richiesti alle infrastrutture finanziarie, che in Europa si aggiungono a quelli già previsti da direttive come la Nis. Un’altra leva è invece la cosiddetta disclosure al mercato, che obbliga le società quotate a comunicare al pubblico qualsiasi evento cyber ‘price sensitive’ con modalità e tempi prestabiliti.
Ci sono best practice in questo ambito?
Per la leva diretta, si possono ricordare senz’altro le nuove norme stabilite dal Dipartimento dei servizi finanziari di New York, un organismo che vigila sui maggiori intermediari finanziari globali. Le nuove regole obbligano gli operatori a fare un assessment generale, condurre dei test, decidere una policy aziendale; e gli eventi rilevanti devono essere comunicati alla vigilanza. Per la leva informativa, valgono già oggi in Italia come in tutta Europa le regole della Mfid/Mifir e Mar; ma, per avere un benchmark evolutivo, occorre certamente ricordare la lettera della Sec del febbraio 2018: oltre alla comunicazione al mercato degli eventi rilevanti, è anche prevista la comunicazione preventiva, sempre al mercato, dei livelli di rischio e delle politiche di mitigazione. È questo un importante sostegno alla sicurezza cyber dell’economia nel suo complesso e quindi di tutto il Paese.
