La parola chiave per il 2017 sarà sicurezza. L’inizio è già pieno di notizie: lo spionaggio sistematico politico, istituzionale ed economico dei fratelli hacker, la fulminea rimozione del capo della Polizia Postale, la guerra cyber tra Stati Uniti e Russia. In Italia ci sono anche le banche in prima fila: se ne parla anche ad ItaSec17 a Venezia dal 17 al 20 gennaio. Sarà presente il Sottosegretario Pierpaolo Baretta, che ha delega sul credito, e questo fatto manifesta una attenzione al tema che merita segnalare. Sicurezza non solo per quanto riguarda l’enorme problema dei crediti incagliati (non performing loans o NPL), ma anche perché lil riassetto delle banche assorbirà risorse in termini di rafforzamento del capitale, oneri di ristrutturazione, riorganizzazione commerciale e gestionale. Una questione merita particolare attenzione, perché non sarà sulla prima pagina dei giornali, ma è vitale, per la salute del settore: la cybersecurity.
Qual è la situazione delle banche? Una nuova azienda (Security Scorecard), in cui ha recentemente investito Google Ventures, ha presentato l’anno scorso un Rapporto (2016 Financial Industry Cybersecurity Rerport), basato sulla capacità di testare in modo non invasivo il grado di esposizione a rischi informatici di oltre 7000 banche e società finanziarie, riportando una graduatoria ponderata che dà risultati eloquenti. Un quinto del panel dimostra di avere almeno una vulnerabilità CVE (Common Vulnerabilities and Exposures). Il 72% presenta vulnerabilità Poodle, il 38% Drown, il 23% Freak, che sono le più comunemente diffuse tra quelle che affliggono i tradizionali protocolli di rete SSL (Socket Security Layer). Poichè si tratta di vulnerabilità note, risolte con l’adozione di protocolli Transport Layer Security (TSL) come indicato dalla Internet Engineering Task Force già nel 2015, ci troviamo di fronte all’evidenza di un problema strutturale importante. Il processo di aggregazione delle banche sta procedendo a ritmi sostenuti dopo la crisi finanziaria apertasi nel 2008.
Esso spinge a raggiungere dimensioni di maggiore sicurezza patrimoniale e più elevati gradi di protezione da parte delle autorità (too big to fail), ma comporta un aggravarsi del peso dell’eterogeneità dei sistemi informativi e delle procedure interne, sottoposte allo stress delle riorganizzazioni in atto. Questi sistemi -nota il Rapporto- nella fase di fusione dopo l’acquisizione possono rimanere senza aggiornamenti, poiché in vista di sostituzione con altri sistemi interni ritenuti più efficienti, e possono rimanere senza valido presidio per effetto dello spostamento o riduzione del personale. Tra le prime 20 banche commerciali degli Stati Uniti in 15 è stato rilevata la presenza di malware, per un totale di 788 eventi durante l’anno considerato nella rilevazione.
Se prendiamo in considerazione le banche di investimento, troviamo Banco Popolare tra le prime dieci in termini di robustezza della attitudine verso la sicurezza. Una buona notizia per il nostro travagliato sistema bancario.
