Le banche europee sono soggette a un crescente rischio di criminalità informatica e sono potenzialmente vulnerabili a cyberattacchi, per via della complessità generata dalla combinazione di sistemi tecnologici nuovi e tradizionali. Le operazioni bancarie sono intrinsecamente soggette al rischio informatico, a causa del rischio di perdite finanziarie dirette, l’elevato contenuto di dati sensibili, l’esposizione a danni reputazionali e la possibilità di sanzioni normative.
In quest’ottica, S&P Global Ratings ha condotto un’analisi sull’esposizione delle banche europee ai rischi di cybersecurity, che l’agenzia inserisce nella più ampia valutazione sulla governance degli istituti, avvalendosi dei contributi di esperti di sicurezza informatica, informazioni pubbliche, colloqui con il management della banca e feedback delle autorità di regolamentazione. Ecco i punti chiave dello studio.
Banche Ue sempre più esposte ad attacchi cyber
La crescente minaccia di attacchi informatici e la rapida digitalizzazione dei servizi finanziari espongono sempre di più le banche europee ai rischi di cybersecurity, nonostante il settore e le autorità di regolamentazione stiano rispondendo.
Un attacco riuscito può comportare una perdita finanziaria diretta dovuta al furto di fondi, ma anche perdite indirette. Queste ultime possono derivare da richieste di riscatto legate a dati rubati o da danni reputazionali duraturi, che possono portare a deflussi di depositi e influire sull’accesso al mercato del debito, oltre a innescare sanzioni normative.
Per questo è fondamentale prendere in considerazione la preparazione contro eventuali attacchi informatici nella valutazione dell’affidabilità creditizia di una banca. Un tema su cui influisce negativamente anche la carenza di competenze e investimenti in materia di sicurezza informatica in Europa.
I rischi delle operazioni bancarie
Sebbene le minacce informatiche siano presenti in tutti i settori, le banche presentano vulnerabilità intrinseche, in quanto detengono denaro digitale che può essere rubato, dati sensibili dei clienti e le loro operazioni commerciali dipendono molto dalla fiducia della controparte. Allo stesso tempo, la natura sistemica delle loro operazioni, inclusa la loro importanza per l’economia e i sistemi finanziari, amplifica il pericolo di un attacco andato a segno, soprattutto nel caso si verifichi un’interruzione dell’attività.
La rapida digitalizzazione dei servizi bancari, che ha subito un’accelerazione con i lockdown dovuti al Covid-19, ha accelerato un cambiamento nei sistemi IT sottostanti e ha aggiunto complessità alle operazioni delle banche, creando punti deboli e opportunità per gli hacker.
Secondo gli esperti di sicurezza informatica di Guidewire, la probabilità media di un attacco hacker è cresciuta negli ultimi anni, passando dal 21,8% del 2020 al 22,6% del 2022.
La portata del danno, e quindi dei potenziali profitti per i criminali informatici, è amplificata dalle dimensioni dell’istituzione presa di mira. L’analisi di S&P suggerisce che le banche più grandi corrono un rischio maggiore, per via del numero tipicamente più elevato di clienti e dipendenti, della maggiore complessità e quantità di operazioni transfrontaliere.
Secondo Guidewire, la probabilità di subire attacchi per istituti che superano i 10 miliardi di dollari di ricavi annui è pari al 29%, mentre scende al 3% per banche che registrano entrate fino a 50 milioni.
La risposta della legislazione
I rischi sistemici e sociali inerenti a una violazione informatica su larga scala presso una banca hanno portato all’introduzione di sanzioni specifiche da parte delle autorità legislative.
Ad esempio, la violazione della responsabilità nel garantire la sicurezza dei dati personali, come stabilito dal Regolamento generale sulla protezione dei dati (GDPR) in Europa, può comportare multe fino al 4% delle entrate globali di un gruppo.
Ma non solo. Anche le riserve di capitale prudenziali applicate alle banche sono in parte determinate dalle valutazioni dell’esposizione al rischio informatico degli istituti di credito. Ciò fornisce alle autorità di regolamentazione europee i mezzi per incentivare il management a perseguire le migliori pratiche in materia di preparazione informatica.
Secondo alcuni rapporti apparsi a marzo, la Bce si prepara a lanciare il suo primo “stress test tematico sulla resilienza informatica”.
I pericoli della trasformazione digitale delle banche
La digitalizzazione dei servizi bancari ha subito un’accelerazione con la pandemia e mostra pochi segnali di rallentamento. Questo ha determinato in molti casi una transizione frammentaria verso nuove tecnologie.
I vecchi sistemi IT, utilizzati anche da decenni, possono rivelarsi difficili da sostituire, in particolare nelle operazioni di back-end. Tuttavia, la loro interazione con i sistemi più recenti può essere imperfetta, mentre il funzionamento di sistemi paralleli transitori crea sovrapposizioni inutili e potenzialmente dannose, aumentandone la vulnerabilità.
Inoltre, l’attuazione della direttiva sui servizi di pagamento PSD2, entrata a pieno regime nel settembre 2019, ha aperto il mercato dei servizi di pagamento a società non bancarie, fintech, che possono ottenere l’accesso ai dettagli bancari con il permesso del cliente. Questo, a sua volta, ha fornito agli hacker nuovi obiettivi, tant’è che questi nuovi player hanno riscontrato un numero crescente di attacchi hacker.
I sistemi End-of-Life e la dipendenza dai colossi del cloud
Spesso le vecchie infrastrutture IT non ricevono più il supporto necessario e questo genera problemi. I cosiddetti sistemi “End-of-Life” (EoL), caratterizzati da linguaggi di programmazione obsoleti, sono più comuni tra le banche incumbent, che presentano un’infrastruttura IT stratificata.
Le operazioni basate su cloud, che consentono l’esternalizzazione sia dell’archiviazione dei dati che della potenza di calcolo, sono emerse rapidamente come fondamento dei nuovi sistemi IT della maggior parte delle banche. Tuttavia, i servizi cloud sono dominati da una manciata di grandi aziende statunitensi, in particolare Google e Amazon, con conseguenti problemi di concentrazione dei servizi che creano una dipendenza operativa potenzialmente pericolosa per il settore bancario europeo.
Il Digital Operational Resilience Act dell’UE, noto come Dora, entrerà in vigore nel gennaio 2025 per promuovere la resilienza digitale del settore bancario, anche cercando di mitigare i rischi associati all’esternalizzazione a terzi. Un problema che può essere ridotto al minimo adottando un modello multi-cloud, sebbene ciò abbia un costo aggiuntivo.
Quanto può essere dannoso un attacco informatico?
Finora, per S&P, la qualità creditizia delle banche europee è stata poco influenzata dagli incidenti informatici. Ma la criminalità informatica è sempre più sofisticata e le banche restano vulnerabili ai danni derivanti da interruzioni del servizio, perdite di dati, perdite finanziarie e sanzioni normative.
Per accertare la probabile entità del danno derivante da un attacco informatico riuscito a una grande banca, S&P ha strutturato un modello per valutare il costo di un evento improbabile ma significativo presso 94 banche europee con entrate superiori a 1 miliardo di dollari nel 2022.
Questo calcolo, chiamato tail-value-at-risk, misura la perdita media per una grave violazione, con una probabilità dello 0,4% di verificarsi (altrimenti espressa come perdita media per il livello di confidenza del 99,6%).
I risultati mostrano che un istituto potrebbe subire una perdita, direttamente attribuibile all’evento, fino al 7% del suo valore patrimoniale. Una perdita potenzialmente rilevante per la valutazione della qualità creditizia di una banca.
La perdita mediana nell’intera distribuzione delle perdite stimate è pari allo 0,8% del patrimonio netto, un valore gestibile seppur ancora significativo. Anche a un livello di confidenza del 75%, il costo medio in termini di perdita azionaria era ancora inferiore al 2%.