Via via che cambiano le abitudini dei clienti, e la tecnologia in uso nel mondo Finance evolve, aprendosi al cloud, ai big data, alla mobilità e ai social media, è evidente che il modello tradizionale della sicurezza basata su un perimetro noto deve essere abbandonato. Anche la Blockchain promette nuovi use case interessanti – ancora tutti da esplorare – per la sicurezza del dato e per la privacy, ma per comprenderli appieno serve conoscere bene il funzionamento di questa tecnologia, i suoi vantaggi, le applicazioni possibili (nello specifico per il mondo Finance) e soprattutto i rischi collegati.
Ne parliamo in questa intervista con Prof. Stefano Bistarelli, Responsabile CINI Working Group on Blockchain, Università di Perugia, che su questi aspetti interverrà nel corso del Workshop Live “CYBERSECURITY IN FINANCIAL SERVICES” organizzato da The Innovation Group nella mattina del 25 novembre prossimo.
TIG. Quali sono le caratteristiche chiave delle DLT e delle blockchain?
Stefano Bistarelli. La domanda mi dà la possibilità di chiarire che c’è una differenza tra DLT (Distributed Ledger Technology) e blockchain mentre spesso le si considera un tutt’uno. Con DLT si intendono anche altre tecnologie oltre alla blockchain, ossia tutte le strutture dati per memorizzare informazioni in modo distribuito, dati poi governati e acceduti in reti paritetiche da vari peer. La blockchain è invece un esempio specifico di registro distribuito, con informazioni registrate in blocchi ognuno concatenato a un altro.
Caratteristiche principali di tutte le DLT è che contengono informazioni memorizzate in modo distribuito e immutabili, ossia, una volta inserite in un registro non sono più modificabili (salvo eccezioni per registri particolari). La blockchain ha la caratteristica in più di essere basata su tecnologie crittografiche che uniscono un blocco all’altro, fornendo così anche maggiori garanzie. Ha anche marche temporali, quindi quando un’informazione, di solito una transazione, viene aggiunta a una blockchain, si ha la garanzia non solo che non sarà più modificata ma si saprà sempre anche in quale momento è stata inserita.
Le blockchain sono divise in 2 grandi tipologie: pubbliche essenzialmente Permissionless, dove oltre alla garanzia di immutabilità ho anche quella di trasparenza (tutti possono vedere le transazioni inserite), garantendo nel contempo privacy o anonimato di chi scrive. Dall’altra parte, le blockchain private dette spesso Permissioned hanno la possibilità di autenticare chi fa le operazioni, quindi di avere autorizzazione e accounting sulle operazioni stesse. Le due famiglie, blockchain pubbliche e private, danno quindi garanzie diverse a seconda delle operazioni che si vuole fare con la blockchain stessa.
TIG. Quali casi d’uso pensa possano interessare o avere a breve applicazione nel mondo dei servizi finanziari?
Stefano Bistarelli. Diciamo che delle due tipologie oggi molto spesso la maggioranza delle applicazioni sfrutta le blockchain di tipo privato, quindi con la possibilità di autenticare i partecipanti.
Due applicazioni avranno maggiore importanza nel prossimo futuro nel mondo Finance.
La prima è il progetto Spunta Banca DLT di Abilab, applicazione che ha come oggetto quello di riconciliare i conti delle banche dopo le varie transazioni tra di loro: oggetto di sperimentazione nel 2019, sarà portato a regime tra 55 banche nel 2020. È basato su tecnologia Corda e operato da consorzio R3 con partner importanti come NTT Data, IBM e tanti altri.
La seconda applicazione è quella relativa alla gestione con blockchain di trasferimenti intra/ interbancari, operazioni oggi fatte a livello internazionale tra intermediari e banche con tecnologia Swift, che presenta però alti costi e tempi lunghi per la realizzazione.
L’utilizzo della blockchain potrebbe risolvere queste problematiche. Ora sono in corso sperimentazioni (come il progetto Alipay per transazioni tra Hong Kong e le Filippine, e ora anche con Malaysia e Pakistan), e Swift stesso dal 2017 ha realizzato un PoC con 34 banche per capire se questa tecnologia è utilizzabile nel suo circuito. Oggi sono molti i player interessati a questi sviluppi, tra i più grandi citiamo JPMorgan e IBM, con tecnologia Ripple e Corda.
TIG. Quali i benefici ma anche i rischi da considerare nell’uso delle blockchain?
Stefano Bistarelli. Spesso si tende a valorizzare i benefici senza parlare dei possibili rischi. Trasparenza e immutabilità delle transazioni in realtà potrebbero essere anche un rischio. Nel mondo reale può succedere di dover fare un roll back, ad esempio, se sottoscrivo un contratto per la consegna di un bene e il bene poi è difettoso, posso restituirlo. Con queste tecnologie invece le transazioni non sono più modificabili, per cui se utilizziamo degli smart contract che aiutano a fare scambi, non posso più modificarli. L’immutabilità è sia un vantaggio sia uno svantaggio, può anche presentare un problema. Altre criticità sono legate al fatto che gli smart contract potrebbero essere scritti in un linguaggio di programmazione non completamente compreso dall’utente che lo va a utilizzare.
TIG. Dal punto di vista della sicurezza, migliorerà con una gestione delle transazioni tramite blockchain?
Stefano Bistarelli. Quelli appena citati sono limiti legati all’utilizzo di smart contract e blockchain. Dal punto di vista della sicurezza dobbiamo dire due cose: la blockchain stessa può aiutare sulla sicurezza perché la parte di integrità dei dati è garantita in modo forte. Usando le blockchain private si hanno anche obiettivi di autenticazione e autorizzazione.
Invece, specie le blockchain pubbliche, dove abbiamo come beneficio di anonimato e privacy, potrebbero in realtà essere utilizzate per nascondere traffici illeciti.
TIG. Questo ci porta a parlare di criptovalute, il cui uso presenta molte preoccupazioni. Qual è lo stato di avanzamento di iniziative per ridurre i rischi di frodi e riciclaggio con valute digitali?
Stefano Bistarelli. In effetti l’utilizzo di blockchain pubbliche quasi sempre basate su criptovaluta porta al fatto di avere transazioni anonime, che garantiscono la privacy dell’utente ma dall’altro lato permettono anche transazioni illecite. Quindi possibile fonte di frodi e di riciclaggio di denaro. Lo stesso problema delle criptovalute ce l’hanno anche molte valute digitali, come ad esempio quelle sperimentate in vari stati (l’e-Peso in Uruguay, o iniziative analoghe in Estonia e Svezia).
Il tema è oggi oggetto di studio: anche in Università di Perugia abbiamo un laboratorio dedicato a studiare le transazioni bitcoin, e abbiamo messo a punto delle euristiche per de-anonimizzare le transazioni. Oggi le critpovalute preoccupano perché associate a riscuotere i pagamenti di attacchi ransomware. Parlando di riciclaggio, in realtà il valore transato con criptovalute è molto basso rispetto a quello con moneta contante, ma rimane comunque un argomento importante per le Banche centrali che vorrebbero un maggiore controllo.
Intervista a:
Prof. Stefano Bistarelli,
Responsabile CINI Working Group on Blockchain, Università di Perugia
——————————
Quali sono i rischi più gravi nel mondo finanziario e come rispondere, in compliance alle norme e in linea con le best practice del settore?
La Webconference “CYBERSECURITY IN FINANCIAL SERVICES” nella mattina del prossimo 25 novembre 2020, dalle ore 9 alle ore 13, parte del BANKING PROGRAM 2020 di The Innovation Group, è dedicata ad approfondire il tema del Cyber Risk nel mondo dei Financial Services, con particolari enfasi su aspetti che riguardano la governance e il cyber risk management, i controlli interni, la mobile security, la risposta agli incidenti e la resilienza. In ultima analisi, il disegno di strategie end-to-end per la mitigazione dei rischi interni, esterni e delle nuove frodi che viaggiano sui canali digitali (soprattutto in questo periodo di pandemia da Covid19 e di smart working emergenziale), senza tralasciare aspetti innovativi come le frodi associate alle criptovalute, i rischi legati all’AI, l’evoluzione in corso lato Cyber Insurance e il rischio sempre più importate legato alla supply chain.
Il programma della webconference include varie sessioni plenarie, organizzate in Tavoli di Lavoro, durante le quali, ascoltando le testimonianze dei CISO del mondo Finance italiano e i migliori esperti del settore, sarà possibile apprendere:
- I trend del Cyber Crime e degli attacchi rivolti al mondo Finance durante la pandemia da Covid19;
- Come innovare la cybersecurity e proteggere ambienti digitali in continua evoluzione;
- Come elevare know-how e Security awareness in un’organizzazione sempre più smart e flessibile;
- I problemi di sicurezza collegati a PSD2 e Open Banking;
- Lo stato delle Frodi interne ed esterne: come deve cambiare la prevenzione e il contrasto con il Fraud Management;
- I rischi e le frodi legate alle criptovalute.
CONSULTA L’AGENDA E ISCRIVITI! posti limitati, soggetti ad autorizzazione della Segreteria Organizzativa.
