Le riforme seguite alla crisi finanziaria del 2008 hanno puntato a ripristinare la resilienza del settore finanziario, ma non hanno completamente considerato la resilienza digitale di questo mondo. Oggi il gap è colmato con l’arrivo nell’Unione Europea del Digital Operational Resilience Act (DORA), previsto per marzo 2022, su cui di recente si è espressa anche l’associazione ISACA, con la pubblicazione di un white paper che approfondisce come impostare la compliance a DORA.
Rilevanza dei rischi cyber nel Finance
Le istituzioni finanziarie sono abitualmente un target della criminalità informatica, ma oggi le tattiche seguite dagli hacker stanno cambiando. In uno scenario in cui la tecnologia diventa pervasiva, con la rete Internet e i device mobile usati quotidianamente da milioni di persone per accedere ai servizi finanziari, oltre che la sofisticazione sempre più avanzata degli attacchi, tutto obbliga le banche a continuare a investire miliardi per elevare le difese. Con la consapevolezza che gli attaccanti saranno sempre un passo avanti.
Le frodi verso i clienti o i possessori di carte di credito continuano a essere uno problema: secondo le stime 2019 della Bce, è stato frodato un euro circa ogni 2.635 spesi con carta di credito. In sostanza, lo 0,038% delle transazioni di pagamento totali è stato oggetto di frodi. Poiché parliamo di un volume pari a circa 3.500 miliardi di euro, significa che in Europa abbiamo frodi legate a pagamenti con carta di credito per oltre 1,3 miliardi di euro.
Le frodi sui canali digitali
Da segnalare anche il fatto che negli ultimi decenni, le frodi si sono spostate sempre di più dal mondo fisico a quello digitale. Su questi canali però, come riporta Banca d’Italia, le disposizioni sull’autenticazione forte della PSD2 e i requisiti tecnici dell’EBA (che promuovono controlli di tipo preventivo presso gli Intermediari) hanno fatto sì che, a partire dal picco registrato 2016, si sia assistito a una progressiva diminuzione di queste frodi.
Oggi, quindi, gli attaccanti si stanno rivolgendo a sfruttare nuove vulnerabilità, ad esempio, i dispositivi Mobile e la clientela Business. In aggiunta, gli attacchi diventano sempre di più sofisticati, coordinati tra diversi attori e multi-livello (ad esempio, un attacco DDoS viene sferrato per distrarre l’attenzione dei difensori e per agire contemporaneamente su altri punti di accesso).
Con riferimento alle debolezze delle App mobile, oggi ampiamente utilizzate nei servizi finanziari, secondo un’indagine recente che aveva come oggetto le applicazioni web, le API e le App delle più grandi organizzazioni finanziarie a livello globale (della società ImmuniWeb), il 91% delle app di mobile banking presenta al meno una vulnerabilità di sicurezza con un livello medio di rischio.
I principali rischi cyber che nei prossimi anni interesseranno sempre di più le banche saranno:
- Phishing e attacchi DDoS
- Advanced Persistent Threats
- Attacchi AI-enable.
L’arrivo del Digital Operational Resilience Act (DORA) nel mondo Finance
Dal 2022, un nuovo livello di resilienza sarà chiesto agli istituti finanziari (banche, assicurazioni, società di investimento, operatori dei pagamenti, Fintech) dal Digital Operational Resilience Act (DORA).
Come sarà discusso nel corso della web conference “CYBER IN FINANCE 2021”, organizzata da The Innovation Group per il prossimo 10 Novembre, in risposta a una domanda più elevata di resilienza operativa nel mondo dei servizi finanziari, in UE sarà introdotta, entro fine marzo 2022, una nuova norma, la Digital Operational Resilience Act (DORA). Il nuovo regolamento chiederà agli istituti di prepararsi contro possibili eventi malevoli (attacchi cyber così come anche interruzioni tecniche, blackout energetici). Il disegno di legge sulla resilienza operativa digitale per gli istituti finanziari dell’UE include in particolare aspetti di Business Continuity e gestione del rischio legato alle terze parti.
A questo proposito, si vedano anche le recenti linee guida di ISACA (nel paper “Digital Operational Resilience in the EU Financial Sector: A Risk-Based Approach”). “I requisiti disposti in DORA, nell’identificare tutte le fonti di rischio ICT, su base continuativa, sono un passo nella direzione corretta. Così come anche la revisione annuale dei framework di gestione dei rischi ICT, e la revisione degli stessi dopo ogni incidente rilevante, gli audit e i test“, ha detto Chris Dimitriadis , Chief Global Strategy Officer di ISACA. “Tuttavia, per rafforzare ulteriormente l’Atto, ISACA incoraggia un approccio alla gestione dei rischi ICT che vada oltre al semplice esercizio di conformità. Bisogna includere le responsabilità sulla governance all’interno del Management delle organizzazioni. Bisogna richiedere una formazione continua e un’ampia consapevolezza sull’ICT da parte del Management e dei dipendenti, oltre che assessment continui svolti da terzi certificati. ”
L’evento “CYBER IN FINANCE 2021”, organizzato da The Innovation Group per il 10 Novembre, dalle 9:30 alle 13, sarà un momento di confronto con i maggiori esperti del settore, con i responsabili dell’Information security e della Business Continuity del mondo Finance italiano e con Solution provider del settore della cybersecurity. Saranno approfonditi i seguenti temi:
I trend del Cyber Crime e degli attacchi rivolti al mondo Finance;
Innovare la cybersecurity e proteggere infrastrutture che evolvono verso il Cloud;
Elevare la Difesa, la Prevenzione e la Security awareness degli Smart Worker e degli ambienti di lavoro Ibridi;
Resilienza operativa digitale: quali sono le priorità nel disegno di una moderna Business Continuity/Disaster Recovery, gli impatti della proposta di regolamento per la Finanza digitale della Commissione Europea;
Protezione delle Identità, Fraud Detection nel mondo Finance.
Visualizza l’Agenda di “CYBER IN FINANCE 2021” iscriviti subito! La partecipazione è gratuita e soggetta ad approvazione.