0
cyber-security e finanza

Cybersecurity e Finance: il Regolamento previsto a livello europeo

Introduzione

Negli ultimi anni il panorama normativo sulla sicurezza informatica ha subito cambiamenti senza precedenti; essa è stata posta, infatti, al centro delle direttive e raccomandazioni internazionali adottate da numerose organizzazioni.

Nuove leggi e strumenti normativi incentrati esclusivamente sulla cyber-resilienza sono stati adottati in diverse giurisdizioni, tra cui Hong Kong, Russia, Stati Uniti e Singapore; tuttavia, l’interesse apparentemente elevato della possibile armonizzazione internazionale dei regimi di regolamentazione della cybersecurity non si è tradotto in un rigoroso dettato internazionale.

Anche il settore finanziario è al centro di una serie di iniziative normative che, in assenza di un approccio internazionale concordato, variano in maniera sostanziale tra le diverse giurisdizioni.

“Nel mondo digitale contemporaneo, dove ci sono soldi, ci sono cyber attackers”: secondo IBM il settore finanziario e assicurativo sono quelli più colpiti negli ultimi tre anni.

La banca mondiale riferisce, infatti, che nell’ultimo triennio il numero degli utenti di sistemi di pagamento digitale è aumentato dal 41% al 52%, ciò traducendosi in mezzo miliardo di nuovi utenti connessi all’infrastruttura finanziaria digitale e conseguentemente mezzo miliardo di nuovi target per i cyber attackers.

Tuttavia, le istituzioni finanziarie sono ben consapevoli dei potenziali rischi in cui potrebbero imbattersi, dopotutto il cybersecurity risk non è che una forma di rischio operativo che deve far parte delle procedure generali di gestione dei rischi e di generale gestione delle crisi.

Perché concentrarsi sul settore finanziario?

Diversi sono i motivi che spiegano perché i nuovi disposti normativi in tema di cybersecurity si concentrano sul settore finanziario.

In primo luogo, le minacce informatiche richiedono un atteggiamento completamente diverso nei confronti delle assume breach, basato sul presupposto realistico che non tutti gli attacchi possono essere prevenuti e che quindi si dovrebbe focalizzare maggiormente la propria attenzione sull’individuazione e sulla reazione alle minacce, piuttosto che tentare di costruire architetture software impenetrabili.

Secondariamente, il settore finanziario sta subendo un aumento senza precedenti della digitalizzazione dei dati; ad esempio, canali digitali sicuri diretti di comunicazione con le banche centrali, nuovi metodi di pagamento, operazioni documentali senza carta, l’attuazione di smart contracts ed ancora nuovi formati di rendicontazione bancaria.

Altro aspetto da tenere in considerazione è l’aumento della complessità e dell’interconnessione dell’ecosistema finanziario, che inevitabilmente aumenta i rischi di “contagio” e crea nuovi punti di accesso per gli aggressori, chiedendo così una maggiore sicurezza informatica globale dell’intero settore finanziario.

Se a tutto ciò si aggiunge la crescente offerta di servizi di terze parti, come ad esempio fornitori di servizi cloud, il rischio di contagio non può che continuare a crescere.

Il passato, tuttavia, ci insegna che neanche le maggiori istituzioni finanziarie, né i regolatori finanziari sono immuni alle minacce informatiche.

Livelli di regolamentazione della sicurezza informatica nell’UE

A livello UE le origini della regolamentazione su misura della sicurezza informatica si fanno risalire al 2013 ed alla pubblicazione della Strategia per la Sicurezza Informatica che aveva l’obiettivo di rendere l’ambiente online dell’UE il “posto più sicuro al mondo”.

Sono state quindi proposte delle priorità strategiche, come ad esempio: raggiungere le cyber-resilience, ridurre il tasso della criminalità informatica, sviluppare risorse industriali e tecnologiche per la sicurezza informatica.

Tali strategie erano accompagnate dalla proposta di una nuova direttiva sulla Sicurezza delle Reti e dei Sistemi di Informazione (NIS), che mirava a garantire un livello comune elevato di sicurezza delle reti e delle informazioni nell’UE.

Tuttavia, l’ampio campo di applicazione del NIS ha sollevato il problema di possibili sovrapposizioni con altre norme specifiche di settore; in particolare, nel settore finanziario, quanto contenuto nel documento stabilisce solo gli standard di base per la sicurezza delle reti e delle informazioni che potranno poi essere sostituite da norme europee settoriali.

Le disposizioni in materia cybersecurity si rintracciano ad esempio anche all’interno del GDPR che, oltre a stabilire in dettaglio il regime per il trattamento dei dati personali e le norme relative alla libera circolazione dei dati personali, impone obblighi espliciti per garantire la sicurezza del trattamento dei dati e doveri di dare notizia ex post di una violazione degli stessi alle autorità competenti.

Cybersecurity e settore finanziario

Nel settore finanziario esistono diversi insiemi di norme e di regolamenti in materia di sicurezza informatica che operano a livello europeo.

Primi tra tutti, gli enti creditizi e le investment firms sono soggette a specifici requisiti operativi di rischio, tra cui: possedere propri fondi, l’obbligo di attuare politiche e processi per valutare e gestire l’esposizione al rischio operativo.

Inoltre, dal 2017 le banche sorvegliate dalla BCE sono soggette ad obblighi di segnalazione di eventi informatici imposti dal regolatore bancario europeo.

La direttiva sui servizi di pagamento (PSD2) impone ai prestatori di servizi di pagamento di istituire quadri con meccanismi di mitigazione e controllo per la gestione dei rischi operativi e di sicurezza e di segnalarne ipotetici gravi incidenti.

Ulteriore aspetto riguarda l’adozione da parte della BCE del regolamento SIPS, contenente una serie di requisiti di vigilanza per i sistemi di pagamento di rilevanza sistemica e che impongono a ciascun operatore di stabilire politiche di sicurezza fisica delle informazioni che identifichino, valutino e garantiscano adeguatamente tutte le potenziali vulnerabilità e minacce.

Inoltre, ai sensi della direttiva Solvency II, le imprese di assicurazione e riassicurazione devono disporre di sistemi di gestione dei rischi che coprano, tra gli altri, anche i rischi operativi oltre ad un capitale minimo adeguato.

Infine, MiFID II e MiFIR impongono una serie di requisiti applicabili alle parti impegnate nella negoziazione di strumenti finanziari regolamentati, quali società di investimento, sedi di negoziazione e fornitori di servizi di comunicazione dei dati.

Progetti sull’evoluzione del Regolamento sulla Cybersecurity

La maggior parte delle giurisdizioni oggi affrontano le questioni inerenti alla sicurezza informatica come sottoinsieme delle norme e dei regolamenti IT o sui rischi operativi.

Sebbene non vi sia alcun dubbio circa l’appartenenza del cybersecurity risk al sottoinsieme dei rischi operativi, la regolamentazione spesso non riesce a distinguere adeguatamente i due e applica sovente un approccio omnicomprensivo.

Tuttavia, non di rado si assiste ad una scissione tra le norme sulla sicurezza informatica e quelle generali sulla gestione del rischio operativo; in alcuni casi la separazione è meramente testuale, senza alcun impatto sul campo di applicazione o sull’interpretazione delle norme.

Una formula comune presente in molti strumenti utilizzati dall’UE comprende due obblighi in stretta correlazione: il primo, è un obbligo di adozione delle adeguate misure tecniche ed organizzative per la gestione dei rischi informatici, il secondo è l’obbligo di raggiungere un livello di sicurezza adeguato ai rischi.

Cyber Governance

Ciò che contraddistingue i contemporanei regimi giuridici in tema di sicurezza informatica è la loro comune attenzione agli aspetti organizzativi, la c.d. Cyber Governance.

Le questioni organizzative raramente specificano il risultato finale da raggiungere, ragion per cui, se inserite nei regolamenti sulla cyber security, si concentrano sul chiarire i passi necessari per raggiungere lo standard informatico desiderato.

La Cyber Governance è progettata non solo per allocare le responsabilità interne, ma soprattutto per consentire un approccio proattivo e lungimirante alla sicurezza informatica.

Non a caso rappresenta un elemento chiave del design della sicurezza informatica, tanto da figurare nelle linee guida internazionali.

Caratteristica di spicco che sembra acquistare popolarità tra i regolatori è l’obbligo di nominare un dirigente (Chief Information Security Officer) che vigili sull’adeguata attuazione delle strategie e/o programmi di sicurezza informatica e che funge da collante tra Cda e azienda.

La natura organizzativa della Cyber Governance implica che la risorsa chiave per il mantenimento della sicurezza informatica sia la forza lavoro, non soltanto del senior management ma del personale di tutti i livelli.

Come difendersi da attacchi informatici

Sebbene esseri umani e processi siano al centro del quadro della sicurezza informatica, anche una solida governance con le tecnologie più avanzate a disposizione, non può, da sola, proteggere dalle vulnerabilità dovute a “fattori umani” come ad esempio nel caso di dipendenti sorpresi a sottrarre dati di clienti.

Per questo motivo, le normative sulla sicurezza informatica implementano una serie di requisiti che mirano a migliorare la sicurezza logica e fisica dei sistemi pertinenti.

Sebbene la normativa contenga processi di difesa informatica obbligatori, il CISO ha l’autorità per implementarne delle alternative; ad esempio se da un lato l’identificazione a più fattori come misura di protezione generale contro l’accesso non autorizzato è volontario, il CISO può prevedere che essa venga utilizzata da qualsiasi individuo che acceda alle reti interne dell’impresa da una rete esterna.

Altro esempio riguarda l’obbligo di attuare politiche e procedure per lo smaltimento sicuro su base periodica di determinate informazione non pubbliche non più necessarie per operazioni commerciali: nonostante la distruzione dei dati sia obbligatoria, la disposizione non prescrive la frequenza di ogni pulizia, svilendo quindi l’effetto della regola.

Attività di Recovery ed Enforcement

Le criticità delle misure di recupero dei dati sono determinate dall’approccio assume breach della moderna teoria sulla sicurezza informatica: il nocciolo della questione si fonda sul quando i sistemi aziendali saranno compromessi.

Le norme legate ai rischi informatici risiedono in quelle più generali afferenti al rischio operativo e, forse anche a causa di questa loro origine, non disciplinano in maniera puntuale il livello di efficienza dei sistemi di backup dei dati, che se creati replicando il design del sistema principale, probabilmente replicheranno le stesse vulnerabilità già presenti in altri settori dell’azienda.

Per ciò che concerne invece l’Enforcement, le sanzioni e la possibilità di procedere ad esecuzione sono i fattori chiave che distinguono soft law e hard law.

Alcune delle norme a livello europeo stabiliscono solo i principi fondamentali di applicazione, delegando il residuo ai legislatori e regolatori nazionali, con la conseguenza che potenzialmente per una medesima violazione possa essere applicato un regime differente.

Da un lato la responsabilità oggettiva, ad esempio sotto forma di sanzioni per aver agevolato una cyber breach, appare inadatta per un’area in cui, a seconda del tipo di attacker, la capacità del bersaglio di contrastare un attacco non è sempre determinata dalle azioni del bersaglio stesso.

D’altro canto, i regolamenti informatici sono prevalentemente basati su principi, con ciò permettendo ad autorità competenti di avere un notevole potere discrezionale nel “tradurre” tali principi in azioni di controllo: questi fattori, combinati, impediscono l’adozione di aspettative normative chiare e specifiche facilmente verificabili ex ante.

Progetti di armonizzazione giuridica

Nonostante nel corso del tempo si sia sviluppata una regolamentazione sulla sicurezza informatica ad hoc in ambito finanziario, le norme differiscono in modo sostanziale sia all’interno dell’UE sia a livello globale.

In un tale contesto, nel dicembre del 2018 il Comitato di Basilea per la Vigilanza Bancaria (BCBS) ha pubblicato una nota in cui si afferma che “le banche e le autorità di vigilanza possono beneficiare dell’armonizzazione e standardizzazione, non solo per le aspettative di vigilanza ma anche per le informazioni richieste dalle autorità di vigilanza e per gli strumenti utilizzati per raccoglierle”.

Tuttavia, un tale disposto incontra inevitabilmente degli ostacoli durante il suo cammino che ne rallentano il processo applicativo.

In primo luogo, l’armonizzazione è necessaria per affrontare le sovrapposizioni esistenti e potenziali nella regolamentazione della cybersecurity: la molteplicità di regolamenti, specialmente quando sviluppati in modo autonomo l’uno dall’altro, comportano sempre rischi di collisione.

Inoltre, si tenga a mente che spesso la terminologia utilizzata risulta incoerente, come ad esempio la mancanza di un approccio comune nelle norme dell’UE in merito allo status giuridico dei cybersecurity risks e la sovrapposizione dei requisiti in strumenti settoriali (ad es. Regolamenti della BCE) ed intersettoriali (ad es. Direttiva NIS, GDPR).

Ad ogni buon conto, l’armonizzazione sarebbe in grado di fornire indicazioni utili a legislatori e regolatori che non dispongono delle adeguate competenze in materia cybersecurity, fungendo anche da prova sull’intento delle giurisdizioni partecipanti a unificare le loro pratiche informatiche.

Guida internazionale emergente, standard tecnici e autoregolamentazione del settore

A seguito della particolare attenzione rivolta dai regolatori al tema della sicurezza informatica, la creazione di una guida internazionale in questo settore era solo una questione di tempo; tuttavia, attualmente tale orientamento per il settore finanziario è ancora nelle prime fasi esplorative e basato su questioni di alto profilo e sulla revisione di pratiche già segnalate.

Per ciò che concerne gli standard tecnici, i regolatori ed i legislatori invece di reinventarli in toto, spesso fanno affidamento agli standard di sicurezza informatica sviluppati da ISO, IEC, NIST ecc., perché in grado di sviluppare un approccio armonizzato alla sicurezza informatica nel settore finanziario.

Sebbene i vantaggi dell’utilizzo di standard tecnici stabiliti siano evidenti, i responsabili della regolamentazione dovrebbero prendere in considerazione diversi punti; le norme sulla cybersecurity dovrebbero, anzitutto, indicare in modo chiaro e univoco se l’uso degli standard tecnici è richiesto, incoraggiato o semplicemente possibile.

L’armonizzazione della normativa può assumere la forma di soft law (come ad es. orientamento informale, raccomandazioni, sintesi di pratiche) o hard law (come ad es. regolamentazione sovranazionale, convenzioni internazionali) o entrambi; sebbene le opzioni di soft law siano maggiormente aperte ai regolatori, la loro efficacia nel raggiungimento di uno standard di sicurezza informatica è comprensibilmente limitato.

Aggiornamento delle normative esistenti

Sebbene lo scenario normativo inerente la sicurezza informatica sia ancora agli albori, alcune delle norme esistenti, in particolare in UE, incorporano riferimenti alle migliori pratiche ed agli ultimi sviluppi tecnologici.

Tali strumenti sono disponibili in svariate forme ma sostanzialmente riconducibili a due macro-gruppi:

– il primo gruppo contiene disposizioni relative all’attuale livello della tecnologia; ad esempio, ai sensi del GDPR le misure tecniche ed organizzative per garantire la sicurezza del trattamento dei dati devono essere attuate “tenendo conto dello stato dell’arte”;

– il secondo gruppo attua le disposizioni incentrate sulle attuali migliori pratiche; ad esempio la CROE si aspetta che le FMI “utilizzino le migliori pratiche nell’attuare i cambiamenti” a livello base e istituiscano un processo di gestione dei cambiamenti su “standard e best practice consolidate e riconosciute nel settore” nel livello intermedio/apicale.

Tuttavia, le autorità di regolamentazione dovrebbero tenere maggiormente in considerazione l’esperienza legislativa internazionale attualmente esistente: uno degli esempi più rilevanti è l’articolo 28 della Convenzione sugli interessi internazionali nelle apparecchiature mobili (CTC) del 2001.

Il CTC è un trattato che istituisce un regime internazionale per le operazioni di finanziamento garantite su apparecchiature mobili (velivoli, motori di aeromobili ecc.), di cui è sicuramente elemento fondamentale la creazione di un registro internazionale utilizzato per la registrazione degli interessi delle parti finanziarie.

Test di penetrazione

Il test di penetrazione, nello specifico threat-led penetration testing o TLPT (test di penetrazione guidato dalle minacce), è riconosciuto come lo strumento più avanzato per i test di cyber-resilience, nonché uno degli strumenti più utili per misurare il livello di preparazione esistente nell’ambito cybersecurity.

Nell’UE, l’applicazione del quadro TIBER-UE rimane a discrezione della autorità competenti (europee o nazionali); al contrario, le CROE contengono alcuni requisiti per i test di penetrazione, ma il loro ambito di applicazione varia a seconda del livello di aspettativa normativa: il livello più basso richiede semplicemente che i test di penetrazione siano condotti con cadenza annuale e prevedano il coinvolgimento tutti i soggetti critici esterni e interni, mentre a livello intermedio tali test devono simulare tecniche di attacco realistiche ed essere accompagnati da esercitazioni da parte di red team per testare le funzioni critiche per le vulnerabilità utilizzando informazioni affidabili e preziose sulle minacce informatiche.

Al di fuori dell’UE i test di penetrazione stanno guadagnando popolarità nel settore finanziario, ma la pratica non è stata implementata in modo uniforme: a Singapore, nonostante l’esistenza di linee guida dedicate, l’adozione e conseguente applicazione resta volontaria.

Ad Hong Kong, i test di penetrazione noti come iCAST (test di simulazione di attacchi informatici basati sull’intelligence) sono stati recentemente implementati nel settore bancario in vista dell’iniziativa per la fortificazione della sicurezza informatica.

Secondo la legge russa invece, i test di penetrazione sono obbligatori anche per gli istituti finanziari selezionati che includono: operatori di trasferimento di denaro, enti creditizi, istituti finanziari non creditizi soggetti allo standard o a livelli superiori di cyber-resilience.

Cyber intelligence

Sebbene un regime uniforme per la condivisione di informazioni sulla cyber intelligence possa notevolmente migliorare l’entità dell’efficienza, l’armonizzazione internazionale in questo settore nasconde diverse insidie, come ad esempio la riservatezza e la sensibilità commerciale della cyber intelligence, nonché la mancanza di fiducia tra le varie parti interessate.

La condivisione di dati anonimi, così come la divulgazione di dati rilevanti solo dopo che l’incidente informatico è stato risolto, o in alternativa la divulgazione interna (domestica) e internazionale per dare il vantaggio della divulgazione tempestiva agli stakeholder nazionali, sono tutte misure in grado di alleviare i problemi derivanti dall’armonizzazione internazionale e allo stesso tempo incentivare l’utilizzo di un regime uniforme.

Note conclusive

I rischi e le risposte in tema di sicurezza informatica dovrebbero essere articolati più dettagliatamente e trattati ed analizzati separatamente dalle generali problematiche inerenti il rischio operativo.

L’armonizzazione internazionale dovrebbe essere promossa stabilendo una serie di requisiti basici, con l’inclusione di uno standard minimo comune per la segnalazione degli eventi informatici.

La progettazione di strumenti di cybersecurity non deve basarsi esclusivamente su principi: i regolatori, infatti, dovrebbero mirare e aggiornare su base regolare i requisiti sostanziali per le difese informatiche.

Il rapido sviluppo tecnologico nel cyberspazio richiede una revisione periodica della prassi operativa e soprattutto l’aggiornamento dell’attuale livello di conoscenza del tema cybersecurity.

Tuttavia, senza un adeguato enforcement e conseguente sistema sanzionatorio, è probabile che le regole informatiche non trovino terreno fertile per la loro applicazione.

A ciò si aggiunga che le caratteristiche proprie di un attacco informatico rendono estremamente complesso il processo di enforcement, poiché la capacità del bersaglio di far fronte ad un attacco non sempre dipende dalle azioni od omissioni del bersaglio stesso.

Nonostante gli svariati sforzi volti a garantire una regolamentazione internazionale sulla cybersecurity nel settore finanziario, si è evidenziato come la strada da percorrere sia ancora tanta.

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 4,50 out of 5)
Loading...

Lascia un commento

Your email address will not be published.