La tecnologia è da molto tempo al centro degli investimenti delle banche, da molto prima che gli utenti – grazie anche all’online banking – ne abbiano avuto la percezione. Questa è storia nota, ma quali sono le conseguenze di una banca completamente tecnocentrica, in termini di opportunità e di rischi?
Qui volgeremo lo sguardo ai rischi, soprattutto a quelli relativi alla sicurezza che sono centrali di qualunque ambiente altamente informatizzato, ripromettendoci di tornare sull’argomento delle opportunità a breve.
Prima di tutto c’è un problema di offerta di sicurezza. Infatti prevalentemente oggi la responsabilità della sicurezza è esclusivamente curata dall’interno della banca, così mentre crescono in modo esponenziale i rischi informatici in ogni settore, compreso quello bancario che ha bisogno di tutele maggiori anche per il conseguente irrobustimento dell’attenzione e delle relative normative, aumenta la domanda di personale utile al mantenimento della sicurezza.
Ecco il primo dei problemi: l’offerta stenta non riesce a rispondere pienamente alla domanda. Mancano competenze adeguate, perché sono poco diffusi i percorsi formativi altamente specializzati in materia di sicurezza informatica. Eppure si tratta, e non solo per il settore bancario (si pensi, ad esempio, alla telemedicina), di uno dei principali problemi che le società dovranno affrontare nel futuro, per evitare che vengano compromesse funzionalità fondamentali per l’ordinario svolgimento di ogni attività.
Secondo alcuni analisti di sicurezza informatica, le banche Tier 1 sono sempre di più il bersaglio preferito di fenomeni di cybercrime non solo per il bottino in sé, ma soprattutto perché sono percepite come non ancora adeguatamente protette. Eppure accade spesso che una consolidata banca Tier 1 abbia un numero di persone che si occupano di sicurezza superiore a quelle di una banca appena costituita. E allora il problema è di organizzazione, nei fatti accade che nelle banche più “antiche” la sicurezza è una divisione che si è aggiunta a quelle esistenti, non l’occasione per ripensare l’organizzazione stessa della banca. Così i criminali informatici che sanno sfruttare queste lacune, si infilano nelle brecce di una organizzazione appena riadeguata e non pensata da zero partendo dalla esigenza di sicurezza, i cui rischi devono essere considerati da un banca moderna al pari dei rischi di tipo finanziario.
Spesso tra l’altro nelle banche si lavora per silos organizzativi che impediscono una condivisione delle informazioni da un settore all’altro, questo ritarda l’adozione delle migliori tecnologie di sicurezza ad “ombrello” cioè capaci di tutelare tutte le attività e tutte aree operative e non della banca. Si tratta quindi non solo di adottare nuove tecnologie per la sicurezza, ma di avere un altro approccio culturale, comprendendo appieno il valore per la banca della sicurezza informatica, che non deve essere più un presidio tra i tanti ma il presidio di ogni altro presidio. Una cultura delle sicurezza deve avere anche la capacità di distinguere tra processi che devono assolutamente essere internalizzati e altri che possono essere adeguatamente affidati ad una terza parte specializzata. Non esiste una ricetta, l’analisi va fatta in concreto, mettendo a fattor comune il modello organizzativo con le attività svolte.
Spesso invece ci si trova di fronte a una totale internalizzazione delle tecnologie di sicurezza perché questa dà una maggiore percezione di controllo ma si tratta di una scelta che spesso non paga in termini di sicurezza. Alcune volte l’utilizzo di fornitori esterni altamente specializzati rende la banca più solida rispetto a rischi non considerati nell’analisi dello scenario delle proprie attività, scenari elaborati guardando troppo al proprio “ombelico” senza avere la corretta percezione del proprio ruolo nel sistema, in questo caso gli scenari possono essere stravolti facilmente da un attacco esterno.
Avere quindi la lungimiranza di riconoscere il vantaggio di un partner esterno che ha portato tecnologie innovative o competenze di nicchia nell’ambito del sistema di sicurezza interno, può pagare in termini di prevenzione del rischio. Consentendo anche di programmare gli investimenti sulla base dell’osservazione concreta dell’evoluzione del cybercrime.