Sono numeri sempre in aumento, ma non è una buona notizia. Tra frodi, attacchi hacker, malware con riscatto, per non parlare dei soldi sottratti in vario modo ai correntisti: la criminalità (organizzata e non) tiene sempre nel mirino le banche. Nel primo semestre di quest’anno la polizia postale ha investigato su 14 mila casi di truffe online e frodi informatiche a danno degli utenti registrando un aumento del 10% dall’anno scorso. Sono stati sottratti 114 milioni di euro (+71% sul 2023).
Aumentano i soldi recuperati (27 milioni), grazie alla collaborazione tra le banche dopo le denunce, ma è una magra consolazione. Perché sembra senza confini la fantasia criminale, unita a una larga disponibilità di strumenti informatici. «Il settore bancario è da sempre in prima linea sul fronte della sicurezza — dice Marco Elio Rottigni, direttore generale dell’Abi — con una spesa che può arrivare nel 2024 al 7% del totale annuo in Ict, destinata al rafforzamento e all’aggiornamento delle soluzioni tech, alla formazione del personale e al monitoraggio. Le banche conciliano protezione e sicurezza con l’esigenza di fare operazioni in mobilità in modo facile».Il network
In questo scenario l’unione rafforza il muro alzato contro gli attacchi. In campo c’è il CertFin (Computer emergency response team), un network cooperativo promosso (dal 2017) e presieduto dalla Banca d’Italia e dall’Abi dove il cuore tech sta in Abi Lab, centro di ricerca e innovazione a difesa del settore. Nel tempo si sono aggiunte realtà come Consob, Ivass, Ania, Poste, Borsa Italiana e tanti istituti di credito che portano a 71 gli aderenti. Termini come resistenza (agli attacchi), resilienza cyber o capacità di rispondere sono alla base del CertFin che nel 2023 ha lanciato 2 mila 427 alert su minacce al sistema di cui 334 inviate a singole banche su vulnerabilità della rete. Ma come opera il presidio? «C’è una sorta di filo rosso che si dipana quando arrivano segnalazioni di una banca circa situazioni di attacco hacker o un fenomeno sospetto — dice Pierfrancesco Gaggi, vice direttore generale Innovazione e sistemi di pagamento Abi e copresidente del Comitato strategico del CertFin —. Viene attivata un’interazione fra i referenti delle banche per metterli in guardia. L’aspetto operativo più rilevante oggi è la Misp, una piattaforma di malware information sharing place, utile per condividere in tempo reale informazioni su Ip malevoli che mettiamo in circolare tra gli aderenti. La Misp è stata di ispirazione per il Consiglio europeo dei pagamenti, coordinatore del progetto Sepa che aveva lanciato i bonifici e gli addebiti europei: ci ha portato a creare un network europeo. Il nostro obiettivo è avere più informazioni e favorirne lo scambio».
L’orizzonte di difesa non è solo l’Italia. «Abbiamo collaborazioni nel G7 — dice Gaggi — e in filoni di analisi sui rischi dall’Ai e dal quantum computing con i sistemi di crittografia. Dobbiamo farci trovare preparati. Abbiamo i mezzi e le competenze per erigere barriere adeguate».Le norme
Non di sola tecnologia vive la difesa. Lo sanno bene alla Banca d’Italia dove seguono le novità sul lato delle regole. «Nell’ultimo biennio in Europa l’attività di regolamentazione in materia di sicurezza informatica ha conosciuto un’accelerazione — spiega Claudio Impenna, capo del servizio Supervisione sui mercati e sistemi di pagamento e copresidente del CertFin —. Alcune norme stanno entrando in vigore, come la Nis2 (nuova versione della Network and information security), poi Dora che è la normativa principe specifica per il settore finanziario (Digital operational resilience act, ndr) da gennaio 2025. Il senso è alzare l’asticella di che cosa devono fare i soggetti convolti: assicurazioni, altri intermediari, mercati, infrastrutture finanziarie come le controparti centrali e i depositari. Restano per ora esclusi i sistemi di pagamento che hanno una normativa dettagliata. Intermediari e infrastrutture dovranno adottare misure di prevenzione e risposta agli attacchi, richiedere misure di sicurezza ai fornitori e aderire a sistemi di scambio informativo sugli attacchi come quello gestito dal CertFin». Una legge della Commissione ma anche la Bce lavora sulla cyber sicurezza. Per tornare in Italia, «nel nostro piano strategico c’è una linea d’azione con varie attività. Un altro motivo di interesse deriva dal fatto che gestiamo infrastrutture tecnologiche di pagamento e regolamento per conto della Bce». Per esempio, il sistema Tips dei pagamenti istantanei.