La Banca Centrale Europea ha effettuato uno stress test sulla resilienza cibernetica, progettata per valutare la capacità delle banche di rispondere e riprendersi da un grave ma plausibile incidente di cybersecurity. Il test della Bce era iniziato gennaio ma i risultati sono arrivati solo venerdì; complessivamente, è emerso che “le banche dispongono di sistemi di risposta e ripristino, ma ci sono ancora aree che necessitano di miglioramento”, si legge in una nota.
Il rapporto della Bce
Abbiamo ancora nella mente la “schermata blu della morte”, che il 19 luglio ha causato un caos globale a causa di un maldestro aggiornamento software rilasciato da CrowdStrike, capace di mettere fuori uso i sistemi Microsoft. Con indici che non riuscivano ad aggiornarsi e alcuni disagi per le banche, anche il settore finanziario, secondo solo alle compagnie aeree, ha mostrato il lato oscuro della dipendenza dalla tecnologia.
Negli ultimi mesi, la Bce ha sottoposto le banche a un primo stress test di resilienza cibernetica, testando la cybersecurity di 109 banche, di cui 28 in modo più approfondito; va precisato che questo test è partito ben prima del down di luglio, con i primi esami iniziati nel gennaio 2024. L’esercizio, conclusosi venerdì, simulava un attacco che superava le difese preventive, colpendo gravemente i dati dei sistemi cruciali di ciascuna banca e l’obiettivo era valutare la capacità di reazione e il tempo necessario per farlo.
Le banche dovevano dimostrare di saper attivare i loro piani di continuità operativa, comunicare con clienti, fornitori di servizi e forze dell’ordine, e adottare soluzioni per continuare a operare in attesa del ripristino dei sistemi. Il risultato complessivo ha indicato che le banche “dispongono di sistemi di risposta e ripristino, ma restano aree di miglioramento“. In sostanza, c’è ancora bisogno di ulteriori investimenti in termini di tempo e risorse.
La situazione in Italia
Il caso di CrowdStrike ha mostrato come il mondo della finanza sia vulnerabile ad un attacco hacker; perché se il caso di metà luglio è nato da un errore umano e per fortuna non ci sono state conseguenze catastrofiche, non si potrebbe dire la stessa cosa di un futuro attacco di qualche gruppo malevolo, che potrebbe portare a problemi ben peggiori.
Nei giorni scorsi, il governatore della Banca d’Italia, Fabio Panetta, ha lanciato un avvertimento riguardo al cyber-rischio, considerato come una potenziale minaccia proveniente da attori malevoli, talvolta sostenuti da Stati sovrani con finalità geopolitiche. “Il settore finanziario rappresenta un obiettivo attraente, data la sua dipendenza da dati e procedure digitali e il suo ruolo cruciale nell’economia”, ha sottolineato Panetta nelle sue Considerazioni finali.
Il pericolo di attacchi è costantemente presente, come dimostrano i dati raccolti dalla Banca d’Italia: lo scorso anno, il numero di “incidenti gravi” riportati dagli intermediari è salito a 30, rispetto a poco più di dieci nei quattro anni precedenti. Per Bankitalia le piccole imprese italiane, con un numero di dipendenti compreso tra 20 e 49, sono le meno consapevoli dei rischi cibernetici. Infatti, il 14% di queste aziende ritiene improbabile che un attacco cibernetico possa coinvolgerle, contro il 7% delle imprese con oltre 50 dipendenti.
La finanza è uno dei settori più colpiti dai cybercriminali “per l’alta intensità tecnologica, la forte interdipendenza tra gli operatori della comunità finanziaria, nazionale e globale, e per il valore economico e strategico delle funzioni da esso svolte”.
