Il Regolamento DORA (Digital operational resilience act) scalda i motori. In tempi duri per la cyber security, le banche, il settore finanziario e fintech devono imparare a fermare gli attacchi informatici, provenienti anche da Stati terzi, o comunque imparare a reagire tempestivamente alle cyber minacce in aumento.
Banche, assicurazioni e operatori delle criptovalute hanno due anni di tempo per adeguarsi al nuovo regolamento DORA. Il provvedimento di cyber difesa unica europea, all’insegna della cyber resilienza e della protezione dei dati, arriva dopo anni di “operazioni informatiche ostili”. Operazioni che, secondo Bart Groothuis (relatore al Parlamento europeo), “hanno predato l’Europa per troppo tempo”, attraverso ondate di attacchi di tipo ransomware ed altre cyber minacce.
Avere infrastrutture protette, sicure, resilienti è invece una priorità sia in Italia che in Europa.
Oggi è fondamentale evitare i ritardi nell’adozione di Dora, come avvenne per l’implementazione del regolamento GDPR. “Un ritardo di oltre 25 anni che entrava in conflitto con l’enfasi data, invece, ai comunicati che segnalavano l’adozione del regolamento GDPR”, mette in guardia Giancarlo Butti, Internal Auditor – Esperto Privacy e Cybersecurity. “Infatti, l’enfasi su quei comunicati metteva in evidenza quanto l’azienda fosse stata inadempiente nella tutela della privacy per circa cinque lustri”. Speriamo che le aziende abbiano imparato la lezione del GDPR e non replichino gli stessi errori con l’adozione di DORA.
Cyber security in banca: l’emergere dei nuovi rischi e gli approcci di tutela più efficaci
Indice degli argomenti
DORA rafforza la sicurezza nelle banche: i rischi cyber
La trasformazione digitale dei servizi finanziari, l’introduzione di nuovi modelli di business basati sull’innovazione e la diffusione delle modalità di lavoro ibrido hanno inevitabilmente ampliato il perimetro di difesa del network delle banche. Infatti questi fenomeni hanno aumentato l’esposizione delle banche ai rischi cyber.
Gli attacchi passano quasi sempre dal furto delle credenziali d’accesso ai sistemi bancari o di pagamento e riusate per eseguire transazioni fraudolente all’insaputa del cliente vittima del furto di user id e password.
Il furto delle credenziali
La causa principale risiede nei malware per il furto di credenziali o fattori di autenticazione o manipolazione di una transazione. Ma non va sottovalutato il phishing (anche smishing via SMS) per il furto di credenziali di accesso e dei fattori di autenticazione forte.
Si corrono rischi anche per l’hacking dei dispositivi mobili o di attacchi diretti all’infrastruttura dell’istituzione finanziaria. Nei cyber attacchi giocano un ruolo la scarsa manutenzione nell’aggiornamento dei sistemi operativi e delle app, le cattive pratiche di ritardo nell’installare le patch, l’utilizzo di connessione a reti Wi-Fi non protette. Ma aumentano anche i casi di diffusione di campagne di disinformazione e fake news, in molti casi utilizzati come vettori di attacco per tecniche di social engineering.
Le banche necessitano invece di infrastrutture protette, sicure e cyber resilienti. Devono infatti proteggersi da cyber attacchi provenienti dall’esterno, anche da Stati terzi. Attacchi in grado di bloccare l’operatività di un istituto di credito o di rendere irraggiungibili i servizi digitali da parte dei loro clienti, per esempio con attacchi Distributed Denial of Service (DDoS).
I ransomware
L’attacco ransomware è un’altra minaccia molto temibile. Costituisce per le banche un timore anche legato al canale ATM, in grado di provocare un’interruzione al servizio bancomat con conseguenti perdite finanziarie e danni all’immagine, e dunque alla reputazione, dell’istituto stesso.
La strategia olistica
Malware bancari inviati via mail sono in grado di reindirizzare un destinatario di un messaggio malevolo a una fasulla interfaccia bancaria dove avviene la richiesta di trasferire fondi a conti offshore.
Questo caso come altri dimostrano quanto sia necessaria una strategia olistica basata su efficaci processi e organizzazione. I team di cybersecurity della banca devono proteggere un perimetro molto più ampio, garantendo la cybersecurity dei canali digitali e di tutti gli endpoint: notebook, smartphone, smartwatch, sportelli ATM, chioschi, ASST, dispositivi IoT. Tutti i canali tramite i quali i clienti eseguono l’accesso ai servizi bancari e che potenzialmente possono costituire un rischio per la banca.
Cyber attacchi contro banche e fintech: i casi nel mondo
In un incontro, un anno fa i Ceo di Citigroup, Goldman Sachs, Morgan Stanley e Wells Fargo affermarono al Congresso che ciò che temevano di più era un cyber attacco.
Secondo il report Clusit 2022, nell’arco degli ultimi undici anni, in media, sono stati analizzati e classificati 106 attacchi gravi di dominio pubblico al mese. Negli ultimi quadriennio, la media ha registrato un’impennata verticale: 129 nel 2018, 137 nel 2019, 156 nel 2020 e 171 nel 2021. A livello globale, si contano 14010 attacchi gravi tra gennaio 2011 e dicembre 2021, di cui oltre la metà (7144) registrati dal 2018 in poi. Di questa metà, superano le 900 offensive quelle che sferrate in Europa e ben 185 di questi attacchi hanno colpito l’Italia.
I cyber attacchi verso realtà basate in Italia sono esplosi in questo periodo 2018-22, raddoppiando da 30 a 70.
Il Financial/Insurance (7%) occupa la quinta posizione fra i settori bersaglio dei cyber attacchi, dopo Gov, ICT, Healthcare ed Education. In Italia il settore finanziario-assicurativo e la pubblica amministrazione insieme totalizzano il 50% di attacchi.
I casi più noti
Risale al 1834 il primo attacco “moderno” a una banca da parte di speculatori finanziari francesi che cercavano di individuare le fluttuazioni della borsa di Parigi, per anticipare il gioco nella Borsa di Bordeaux. Ma il primo attacco di phishing contro una banca è datato 2003.
Nel 2005 Mastercard subì il il trafugamento delle credenziali di milioni di clienti. Un gruppo di hacker cinesi, già famoso per l’attacco a Google che portò il motore di ricerca a interrompere gli accordi con la Cina, attaccò Morgan Stanley nel 2011: non fu un attacco sofisticato, in quanto aveva sfruttato falle di sistema, ma a renderlo noto fu Anonymous e non l’istituto bancario che aveva cercato di non far trapelare la notizia. Il black hacking ha colpito Visa e Mastercard nel 2012. Le due multinazionali delle carte di credito hanno subito il furto dei dati di più di 10 milioni di carte di credito.
Lo scenario italiano
Dallo Speciale finance di Ibm, nel rapporto Clusit di marzo sulla sicurezza informatica, è emerso che banche e assicurazioni nel 2021 catalizzavano il 23% di tutti gli attacchi registrati nel nostro Paese.
Più che colpire direttamente le banche, sono attacchi che hanno come principale bersaglio la clientela. Nel caso del phishing, sono sette gli istituti nel mirino: Intesa Sanpaolo (32% delle campagne sotto esame), Poste Italiane (14%), Unicredit (13%), Bper (9%), Banca Ing e Banca Mps (entrambi al 7%) e Nexi (5%). Nel 2021 sono 30 le istituzioni finanziarie colpite solo in Italia.
Il primo attacco a Unicredit, oggetto di un paragrafo dedicato, avvenne nel 2017. L’anno successivo, Bnl, gruppo Carige, Fineco Bank e Intesa Sanpaolo finirono nel mirino del cyber crime. Il trojan bancario Danabot riuscì ad ottenere l’accesso a dati di portali di home banking e di posta elettronica. Anche Zeus/Panda, malware che trafugava token, password e cookie relativi a sessioni utente di istituti bancari o finanziari, mise nel mirino: Credem, gruppo Carige, Fineco, Intesa Sanpaolo, Bper, Banca Passadore, Friuladria, Poste, Quercia e Inbank.
Il caso Unicredit
Nel 2019 scoppiò il caso Unicredit. L’istituto bancario subì una violazione di dati che sfiorava i 3 milioni di utenti in tutta Italia. La compromissione avveniva attraverso l’accesso non autorizzato ad un file datato 2015. Ma già nel 2017, l’istituto di credito era stato oggetto di un doppio attacco: allora la violazione dei dati colpì oltre 400 mila clienti che avevano prestiti ancora attivi presso la Banca
Cyber attacco contro la super app Revolut
Revolut, super app 25 milioni di clienti, di cui un milione solo in Italia, è stata vittima di un cyberattacco poche settimane fa.
Lo scorso 10 settembre un data breach in Revolut ha causato il furto di dati personali, mentre gli asset monetari rimanevano al sicuro. L’attacco non ha coinvolto i dati bancari (salvi la gestione di asset finanziari, codici PIN, dati di carte di credito o password), ma ha rilanciato l’allarme phishing. La compromissione dei dati ha comunque riguardato 50 mila clienti, pari allo 0,16% del parco clienti della super app.
Le novità sul fronte cyber difesa: i punti salienti di DORA
Il 10 novembre scorso il Parlamento europeo ha approvato DORA, il regolamento per la difesa unica europea. Una risposta comune di tutta l’Unione europea per raggiungere la cyber resilienza. Si tratta della capacità di arrestare o reagire in maniera tempestiva agli attacchi (sovrani da parte di Stati terzi) verso servizi o infrastrutture critiche. Il provvedimento s’inquadra nell’ambito del pacchetto legislativo per la finanza digitale. Rientra in una strategia nazionale ed europea per abbracciare una visione del tema sicurezza non più verticale e di paese, ma sistemica, almeno a livello europeo.
Il pacchetto è multidisciplinare. Oltre a DORA, contiene: un regolamento per il mercato delle cripto-attività (Mica, dopo lo scoppio del caso FTX: in standby, nonostante un accordo informale); proposta su distribuzione di registro distribuito (Dit).
La roadmap prevede l’adozione formale del testo da parte del Consiglio, pubblicazione nella Gazzetta Ufficiale europea e la conseguente entrata in vigore entro 24 mesi dalla pubblicazione. Gli operatori dovranno rispondere ai nuovi requisiti entro dicembre 2024. Tuttavia i tempi sono in realtà più serrati. Infatti la presentazione dei Regulatory technical standard (Rts) avverrà entro un anno.
Dora potrebbe anche attrarre in orbita cyber difesa comune, Paesi che non sono nella Ue come Uk e Svizzera.
I vantaggi di DORA
La cyber resilienza affiderà la cybersecurity direttamente ai vertici aziendali. La gestione del rischio, gli obblighi di segnalazione e la condivisione di dati comporteranno obblighi più rigorosi e severi. Inoltre i requisiti si riferiscono alla sicurezza della supply chain, crittografia, risposta agli incidenti e pubblicazione delle falle.
Ma il vero beneficio che DORA porta l’intero ecosistema è di dare regole a tutti, a prescindere da dimensioni, fatturato e ruolo. Il nuovo regolamento di cybersecurity, secondo Deloitte, avrà un impatto su banche, assicurazioni e operazioni del settore finanziario di ogni dimensione.
Information sharing
Anche i gestori di crypto asset e operatori del fintech entrano nel perimetro. Il motivo che Dora proteggerà anche le infrastrutture critiche: servizi postali, settore dei rifiuti, food e chimica, vendor di dispositivi sanitari, servizi digitali, meccanica, automotive ed elettronica.
Inoltre, DORA prevede di vigilare le terze parti digitali. La sfida è di affrontare le cyber minacce con la condivisione di informazione e dati (information sharing).
Gli operatori finanziari dovranno essere sottoposti a stress test, come fa la Bce con le banche, per verificare periodicamente come reagiscono a minacce di nuova generazione. Ma Dora non sfida solo banche ed operatori fintech, ma gli stessi regolatori che dovranno dotarsi di competenze digitali per affrontare e governare la nuova realtà.
DORA, come le banche si adeguano al nuovo regolamento
L’approccio ai cyber rischi cambia paradigma, adottando la cyber resilience accanto alla sostenibilità finanziaria, per poter continuare disperare anche in caso di incidenti o attacchi.
Grazie ai requisiti di DORA, le banche devono adottare soluzioni in grado di rispondere alle sfide poste dalla cyber resilienza.
Banca Intesa Sanpaolo
Il Regolamento DORA entrerà in vigore anche nelle banche, il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale della Ue e si applicherà dopo 24 mesi dalla data di entrata in vigore. Ecco come si sta preparando Banca Intesa Sanpaolo.
“Grazie ai risultati delle proprie attività di strategic intelligence finalizzate ad anticipare gli scenari di rischio futuri”, commenta Fabio Ugoste, Responsabile Direzione Cybersecurity and Business Continuity Management di Banca Intesa Sanpaolo, “già da tempo le strategie di sicurezza di Intesa Sanpaolo hanno preso in considerazione la minaccia del ransomware. Conseguentemente sono già stati implementati specifici presidi e avviate iniziative volte a tutelare i dati della Banca e dei propri clienti incrementando le capacità di prevenzione e di risposta anche ad attacchi di questa tipologia“.
“In questo contesto”, continua Ugoste, “l’adozione del Regolamento DORA che, ricordiamo, ha l’obiettivo di disciplinare in maniera uniforme la “resilienza operativa” nel settore finanziario in UE, offre a Intesa Sanpaolo un contesto normativo a cui ricondurre i propri presidi, integrandoli con ulteriori requisiti specifici che in gran parte verranno definiti dalle norme tecniche di regolamentazione (RTS) che saranno emanate dalle autorità europee nei mesi successivi all’entrata in vigore della normativa”.
“Una volta a disposizione, in collaborazione con le istituzioni e le associazioni di categoria analizzeremo questi requisiti tecnici al fine di pianificarne l’adozione nel rispetto delle tempistiche di legge”, sottolinea il Responsabile Direzione Cybersecurity and Business Continuity Management di Banca Intesa Sanpaolo.
Simulazione di attacco
“In ogni caso”, conclude Ugoste, “sulla base del testo del Regolamento DORA approvato dal parlamento europeo, Intesa Sanpaolo ha avviato le opportune attività preparatorie all’implementazione della norma con particolare attenzione a migliorare ulteriormente la gestione dei rischi ICT derivanti da terzi parti, all’esecuzione di attività di simulazione di attacco per testare la propria resilienza, nonché infine a rivedere le procedure esistenti per la segnalazione degli incidenti”.
Come fintech e mercato finanziario si preparano al nuovo provvedimento DORA
Rilevare in anticipo un’anomalia nel percorso di un pagamento agevola le procedure se si vuole bloccare il trasferimento e impedire il dirottamento di fondi verso il conto di un truffatore. Gli istituti finanziari mettono in campo varie procedure, come la Know Your Customer (KYC), che permette loro di ottemperare all’obbligo di verificare l’identità dei clienti e di individuare il potenziale rischio di attività illecite, in conformità alle direttive europee 4 e 5 sull’antiriciclaggio e sul finanziamento del terrorismo.
Know Your Transaction (KYT)
La fintech ha offerto diverse innovazioni in questo campo. Alcuni player hanno elaborato le proprie procedure Know Your Transaction (KYT) per assicurare che il completo tracciamento di tutte le transazioni, dall’invio e ricezione di fondi agli scambi di valuta. Sfruttano anche l’intelligenza artificiale (AI) per individuare le frodi.
Know Your User
La tecnologia Know Your User, per esempio, migliora l’autenticazione di pay-in e payout e per l’onboarding dei venditori con una più profonda intelligence, proteggendo i marketplace da frodi e abusi. I marketplace rappresentano oltre due terzi delle transazioni globali di eCommerce. Fintech e mercato finanziario si stanno dunque già preparando al nuovo regolamento Dora, adesso bisogna monitorare affinché compiano i passi nei tempi indicati dal provvedimento.
Conclusioni
Si teme che le organizzazioni possano ripetere gli stessi errori (e i ritardi), avvenuti per l’adeguamento al GDPR. Infatti, dopo la pubblicazione in GU, banche ed aziende del mercato finanziario e fintech avranno 24 mesi di tempo per adeguarsi. Un esperto di privacy ci spiega cosa fare per non ripetere questi errori.
“In primo luogo, il perimetro di applicazione per quanto vasto, circa 20 mila aziende, é infinitamente più limitato di quelle soggette al GDPR”, afferma Giancarlo Butti.
“Si tratta poi di aziende molto strutturate se enti finanziari o costretti ad esserlo, se fornitori in quanto le banche, almeno in teoria, devono controllare i propri fornitori in base a numerose normative”, mette in evidenza Butti.
“Per le banche più che un obbligo DORA è una necessità”, sottolinea l’esperto Privacy e Cybersecurity, “e per certi aspetti una formalizzazione e strutturazione di altri adempimenti o attività”. Invece “per i fornitori sarà una necessità se vorranno restare sul mercato”.
“Avere formalizzato l’esecuzione di test dà una certa garanzia che le banche non si limiteranno agli aspetti formali”, continua Butti. Del resto “non é nel loro interesse” fermarsi alle formalità.
“Analogamente il controllo diretto dei principali fornitori da parte delle autorità di vigilanza sarà uno stimolo nei loro confronti”, conclude Butti, che ricorda che “starà all’intelligenza dei singoli capire come usare al meglio DORA”.
