Sul Regolamento 2022/2554 dell’Unione Europea, noto semplicemente come DORA, sono già stata versati fiumi di inchiostro digitale e non. Quelli che sono diventati noti come i pilastri su cui si fonda sono stati studiati, commentati e valutati nei dettagli.
Indice degli argomenti
Perché parlare del DORA
Dunque, perché scriverne ancora? Semplicemente per dire che non dovrebbe aggiungere nulla a quanto un operatore del settore finanziario già fa e in molti casi sarebbe obbligato a fare da molti anni.
Dal punto di vista dell’Unione è stato definito un atto di armonizzazione e se qualcuno dei destinatari non ha integrato nelle proprie prassi operative quanto il Regolamento richiede possiamo ipotizzare soltanto che qualcuno sia rimasto indietro e probabilmente non sarà questa norma a fargli cambiare passo.
Le regole della finanza
Storicamente il mondo finanziario è sempre stato il primo a cui sono state imposte delle regole in materia di sicurezza informatica e delle informazioni.
Basta ricordare che il concetto di rischio operativo era previsto sin dal 2004 nei cosiddetti Accordi Basilea 2 per la vigilanza sul mercato bancario ed era definito come “il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure di eventi esogeni. Nel rischio operativo è compreso il rischio legale, mentre non sono inclusi quelli strategici e di reputazione”.
Penetration test ma anche controllo dei fornitori
Da almeno quattro decenni, poi, gli operatori finanziari sono oggetto dell’interesse delle criminalità informatica e ancora oggi le statistiche ci dicono che sono tra bersagli prediletti. Proprio per questa ragione attività di vulnerability assessment e penetration testing sono abituali.
Anche sul tema del controllo dei fornitori, non si può trascurare che i primi grandi contratti di outsourcing informatico degli anni Novanta hanno interessato il comparto bancario che, in questo senso, ha avuto decenni per maturare una certa esperienza.
Possiamo anche accennare alla questione della sicurezza della supply chain che, da almeno cinque anni, è un tema caldissimo in ambito cyber.
Quelli che sono rimasti indietro
In definitiva questo Regolamento non dovrebbe rappresentare un “problema” per nessun operatore di settore e neppure per i suoi fornitori. E allora perché il “condizionale”? Per una semplice ragione: quelli che “sono rimasti indietro” esistono.
Per esempio, settori come quelli delle cryptovalute non hanno la lunga storia di regolamentazioni e nemmeno l’esperienza della finanza tradizionale.
Non a caso un report delle Nazioni Unite ha rivelato che i gruppi di cyber criminali della Corea del Nord nel 2022 hanno rubato più crypto-asset che in qualsiasi altro anno. Gli “hacker di Pyongyang”, da sempre interessati al mondo finanziario per rimpinguare le esangui casse del dittatore Kim, a partire dal 2021 hanno puntato con decisione sugli operatori crypto con risultati decisamente significativi, visto che il report delle Nazioni Uniti parla di un bottino di circa un miliardo di dollari nel solo 2022.
Vulnerabilità, il nodo delle app finanziarie
Esiste poi il tema dell’evoluzione tecnologica e della diffusione delle app finanziarie. Nel 2014 il 90 per cento delle app bancarie presentava delle vulnerabilità gravi e nel 2017 la situazione non era cambiata. Ci sono voluti anni per mettere una pezza a questa situazione. Oggi spuntano come funghi sul mercato operatori finanziari che sono poco più di una app. Fin troppo snelli, tanto da soffrire di una vera propria anoressia di controlli.
Purtroppo, non sarà certo DORA a migliorare questa situazione.
Il DORA si affida alla responsabilità delle organizzazioni. Basterà?
Tutte le norme prodotte dall’Unione Europea in materia di sicurezza delle tecnologie digitali si appellano al concetto di “adeguatezza” partendo dall’idea che i soggetti interessati sappiamo che mestiere fanno e abbiamo piena consapevolezza dei rischi sottostanti.
Filosoficamente l’approccio è corretto e permette di superare la rapida obsolescenza di tutte le norme che impongono regole puntuali a un universo come quello della tecnologia che evolve troppo rapidamente.
Tuttavia, questa impostazione implica lasciare alla singola organizzazione la valutazione di quale sia la soglia di rischio accettabile e, in questo caso, la storia delle crisi finanziarie insegna che quel mondo ha la tendenza a spostare l’asticella molto in alto e molto in fretta.
Un altro limite è rappresentato dall’impossibilità di effettuare controlli preventivi puntuali. In altre parole, si può mettere in discussione il sistema di gestione della sicurezza di un’organizzazione soltanto dopo che si è verificato un incidente. In qualsiasi altro momento è difficile contestare una carenza di controlli la cui adeguatezza sarebbe palesemente confermata dall’assenza di incidenti.
Serve sicurezza per sopravvivere
A questo punto si potrebbe sostenere che ormai il sistema finanziario dovrebbe avere capito come la questione della sicurezza non si più un tema di conformità normativa, ma di strategia di sopravvivenza del business.
Se così fosse il Regolamento sarebbe come minimo superfluo, ma non lo è tanto quanto il codice stradale: il fatto che la maggior parte degli automobilisti sia prudente non lo rende inutile, visto che esiste comunque una minoranza pericolosa.
Detto questo DORA aggiunge poco o nulla alla sicurezza di un settore i cui operatori principali sono già vincolati anche dalla Direttiva NIS 2, in quanto considerati infrastrutture critiche.
Direttiva NIS 2, gli impatti sulle aziende: cosa fare per adeguarsi
Ma perché non un regolamento per il settore sanitario?
Proprio questo riferimento, però, porta con sé una domanda provocatoria. Nella sua bulimia normativa, come mai l’Unione Europea non ha pensato che fosse più urgente un regolamento per un’altra infrastruttura critica, che negli ultimi anni è stata letteralmente massacrata dagli attacchi cyber? Perché a Bruxelles non hanno ipotizzato di mettere in cantiere un regolamento per garantire la resilienza operativa digitale per il settore sanitario? Forse perché anche la vita ha un prezzo, ma il denaro no? Oppure si tratta semplicemente di una causa senza speranza?
