Banche e sicurezza. Kroll: bastano 2 dollari l’ora per un attacco hacker

Banche e aziende non sono così ben protette e in Europa manca ancora una normativa specifica per il settore bancario, assicurativo e finanziario

Informazioni finanziarie, dati personali di clienti e dipendenti, proprietà intellettuali e altre informazioni sensibili aziendali. Sono questi i dati che banche e aziende, soprattutto nel comparto finanziario, devono proteggere con maggiore cura, perché sono quelli che maggiormente interessano gli attacchi informatici. Lo ha spiegato molto bene Andrew Beckett, responsabile EMEA per la Cyber Security di Kroll, intervenendo a “Banche e sicurezza”, l’evento organizzato da Abi tenutosi questa mattina a Milano.

I consumatori hanno poco da temere: la maggior parte delle banche rimborsa automaticamente i clienti purché informino tempestivamente l’istituto di credito di aver subito una frode. Il problema, piuttosto, riguarda le banche stesse che divengono vittime di attacchi informatici spesso molto estesi realizzati non più da un hacker solitario, ma da vere e proprie organizzazioni criminali. “Basti pensare – ha sottolineato Beckett – per esempio al caso Carbanak, che ha coinvolto oltre 100 istituti bancari in tutto il mondo, inclusi 27 italiani. L’organizzazione criminale che lo ha ideato e realizzato è riuscita a sottrarre oltre 1 miliardo di dollari in due anni prima che venisse neutralizzato”.

Non sempre gli attacchi informatici hanno lo scopo di sottrarre fondi, talvolta hanno l’obiettivo di impedire ai clienti di accedere ai propri account, causando un danno economico indiretto e facendo in modo che il consumatore perda fiducia nella banca e si rivolga ad altri istituti.
“Gli attacchi cyber, quindi, non generano danni solo economici, ma anche reputazionali, spesso più gravi dei primi. Per questo è fondamentale che tutta l’azienda, a cominciare dal cda, sia consapevole e coinvolta nel processo di sensibilizzazione e aggiornamento continuo rispetto a questi temi” – raccomanda Beckett.

In materia di regolamentazione, gli Stati Uniti sono il paese più avanzato. Lo stato di New York ha emanato nel marzo del 2017 il Cybersecurity Requirements for Financial Services Companies che si rivolge a banche, compagnie assicurative e altri servizi finanziari indicando nel dettaglio gli standard minimi dei programmi di sicurezza informatica e introducendo il tema della responsabilità aziendale, imponendo la precisa identificazione e documentazione delle carenze, dei piani di intervento e delle certificazioni annuali di conformità normativa.

L’Europa ha solo di recente affrontato il tema della sicurezza informatica dal punto di vista normativo introducendo il Network and Information Security (NIS) Directive e il General Data Protection Regulation (GDPR). Il primo prevede l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici e l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi. Il secondo riguarda invece la protezione dei dati personali. Nessuno dei due si rivolge in modo specifico al settore bancario, assicurativo e finanziario.