Quali sono i rischi, quali possono essere le conseguenze di attacchi informatici per operatori del settore finanziario?

I servizi finanziari si spostano sempre piú sul digitale. Basti pensare al online banking, la crescita di start up nel settore FinTech e Blokchain o il trading via piattaforme in rete. Questa tendenza porta con sé nuove chance, ma anche a dei rischi. Con la digitalizzazione dei servizi finanziari aumentano i punti di attacco che possono essere sfruttati da cyber-criminali che cercano di ottenere i dati di accesso ai conti online per poi svaligiarli o per ottenere i nostri dati personali per poi ricattarci.

Numerosi sono i trojan al momento in circolazione, ossia dei malware che inconsapevolmente vengono scaricati dagli utenti e che fungono poi da spia per estrapolare informazioni utili a scopi criminali come la loro vendita nel dark web. I rischi per gli utenti sono attualmente in aumento anche per via della crescita del numero dei device mobili collegati alla rete con i quali si accede a servizi finanziari.

Oltre ai rischi per gli utenti privati, i cyber-crimini colpiscono soprattutto istituti finanziari come banche e fondi d’investimento. Le conseguenze di un attacco possono informatico essere molteplici, dalla perdita di dati sensibili di clienti, lo svaligianento di conti correnti o un sabotaggio dei servizi digitali offerti.

Sono numerosi gli esempi di hackeraggi avvenuti negli ultimi anni. In seguito analizziamo due casi emblematici, quello della perdita di informazioni da parte di JP Morgan e l’hackeraggio alla banca centrale del Bangladesh.

Un leak di dati della banca americana JP Morgan ha messo in rete informazioni finanziare di piú di 80 millioni di clienti. In questo caso il danno per la banca era soprattutto reputazionale. Chi vorebbe affidare le proprie finanze o investimenti a chi non è in grado di garantire privacy. Quale cliente vorrebe ritrovare il proprio nome, cognome e patrimonio in un documento scaribale in rete?

Una vicenda piú recente riguarda l’hackeraggio subito dalla banca centrale del Bangladesh. Una rete di criminali utilizzarono una falla nel sistema di sicurezza nelle stampanti collegate alla rete per accedere al sistema informatico della banca. In questo modo riuscirono ad effettuare un bonifico a loro stessi da parte della banca di 80 millioni di US$. I criminali prepararono altri bonifici, quando per via di un errore ortografico nella compilazione di un secondo bonifico (questa volta per l’ammontare du una cifra pari a dieci volte quella del primo bonifico) la banca si accorse del crimine.

Ma cosa possono fare banche e fondi per affrontare gli attacchi informatici. Il settore è giá pluriregolati, sia attraverso leggi nazionali, che europee ed internazionali. Siamo solo all’inizio di una regolazione molto piú vasta, che in futuro obbligheranno gli operatori nel settore finanziario a sforzi maggiori riguardo alla loro compliance. Alcune di queste nuove norme internazionli sono state discusse al G7 di Bari nel maggio 2017. È inoltre probabile un’ampliamento della direttive europea Network Information Security (NIS) che prevede standard di sicurezza per operatori di infrastrutture critiche, tra cui quelli del settore finanziario. Lo stesso vale per il pacchetto di leggi previste da Basiliea 3.

Anche in questo settore peró vale la massima del prevenire è meglio di curare. Le misure precauzionali messe in questo settore sono tra le piú alte in assoluto, ma spesso i criminali utilizzano attacchi meno sofisticati, come ad esempio email di phishing inviate ai dipendenti o infiltrazioni attraverso i loro device portatili o dei device connessi alla rete insicuri che si trovano nei loro uffici. Viene spesso sottovalutata l’importanza del fattore umano. Attraverso dei corsi di formazione regolari e dei test di penetrazioni con delle finte email di phishing, create sotto la supervisione della direzione, dipendenti su tutti i livelli aziendali svilupperanno una maggiore coscienza per la problematica.

Leave a Reply

Your email address will not be published. Required fields are marked *