Dalla fiducia alla resilienza
La Banca d'Italia ha recentemente pubblicato un occasional paper intitolato "L'architettura dei sistemi di pagamento interbancari dalla prospettiva della Cyber Security" la cui lettura risulta interessante per coloro che si occupano professionamente di questo tema assolutamente centrale, ma ancora insufficientemente studiato, sia sotto il profilo macro che in relazione alle tematiche di governance di ogni intermediario finanziario.
Gli autori (
In buona sintesi, tramite SWIFT - che è un circuito chiuso tra banche - transitano "messaggi di pagamento" che, una volta emessi, generano automaticamente variazioni nelle rispettive posizioni debitorie e creditorie della banca che li ha emessi e di quella che li ha ricevuti, e ciò sulla base della fiducia assoluta (Trust Paradigm) accordata da ciascuno dei partecipanti alla cooperativa dato che il sistema è alimentato e gestito solamente da "membri dello stesso club".
"In such an open and more hostile environment, financial entities can no longer presume to be in a
safe, club-like, isolated environment, since attackers, given their asymmetrical capabilities, can overcome any defence, at a system and at individual level. This means that a paradigm shift, from ‘trust’ to ‘resilience’, is required. In essence, there is a greater onus to design and build secure infrastructure architecture and establish a comprehensive risk management framework. For this reason, some international authorities have already suggested that financial entities design their internal controls based on the assumption that defences have been breached and attackers have
already infiltrated the systems (‘the attacker is already in’ assumption, CPMI-IOSCO 2014)."
Nel paper gli Autori evidenziano, tra l'altro, l'insufficienza dell'implementazione delle misure di trasferimento o di mitigazione dei cyber risks così come attualmente implementate, e ciò anche con riferimento ai nuovi programmi di sicurezza elaborati da SWIFT.
Il mutamento di paradigma proposto, e cioè il passaggio da un approccio fondato sulla fiducia ad uno basato sulla resilienza (propria e dell'intero sistema), vale a maggiore ragione nella gestione di qualsiasi relazione tra intermediari finanziari, con particolare rilievo per gli istituti di pagamento che, come noto, sono i più esposti a qualsiasi tipologia di attacco esterno data la miriade di device e connessioni con in quali si relazionano.
La lettura del paper contiene molti stimoli a fare e molte idee concrete per coloro che fanno parte degli organi con funzione di supervisione strategica, con funzione di gestione e con funzione di controllo.
Vi sono anche molti temi utili per ricerche future: dal punto di vista professionale, rileviamo due aree di interesse specifico:
- i membri degli organi apicali di banche ed intermediari finanziari debbono investire in una specifica attività di formazione circa la natura ed i modelli di gestione dei rischi cibernetici. Il tema possiede una rilevanza decisamente superiore a quella attualmente percepita e può generare rischi di una magnitudo non immaginabile;
- potrebbe essere interessante valutare se il mutamento di paradigma proposto possa essere declinato in una qualche forma utile anche nella governance di ogni soggetto economico che abbia "natura di club", e cioè abbia natura associativa, consortile o cooperativa. La fiducia tra associati, consorziati e cooperatori va bene, ma perseguire la resilienza (per se stessi e per il sistema al quale si appartiene) è probabilmente meglio....