Macchine intelligentiLa grande sfida del futuro sarà proteggere la finanza dagli attacchi informatici

La vulnerabilità delle strutture digitali è anche un problema di reputazione e fiducia che riguarda anche il mondo tech. L’apparato tecnologico non è ancora sufficiente a prevenire i cyberattacchi, come spiega Paolo Ciocca in “Etica digitale” (Luiss University Press), e sul piano giuridico servono passi in avanti

Fotografia di Michael Dziedzic, da Unsplash

Al netto delle differenze rilevate nella relazione fra mondo dei dati e finanza, è chiaro che i due ambiti hanno certamente diversi punti di contatto.

Un elemento fondante per entrambi è la fiducia. Il concetto di trust interseca dati e finanza sia a livello generale che individualmente.

Un primo esempio di riferimento ovvio sono gli effetti delle crisi di fiducia nel settore finanziario; altrettanto importanti i casi di crisi di fiducia per alcuni Bigtech (Facebook su tutti). La fiducia, in finanza, è la risultante di un complesso di fattori, fra cui stabilità finanziaria, reputazione, sicurezza.

Per brevità di esposizione, mi soffermerò qui sull’aspetto della sicurezza. Cominciamo col dire che cybersecurity non equivale a sicurezza informatica. Si tratta di un concetto assai più ampio, che tiene conto delle mutate condizioni di contesto tecnologico, economico e geopolitico.

Fra i principali fattori che rientrano sotto la definizione di contesto tecnologico annoveriamo il ritmo dell’innovazione, l’ampliamento della rete di connessione, le prospettive di implementazione dell’Internet of Things (IoT), il grado di condivisione dei dati su piattaforme tecnologiche.

Secondo un canone di sicurezza basilare, un aumento della superficie di attacco determina un incremento della vulnerabilità. A seconda del contesto, l’incremento del grado di minaccia può essere ben più che proporzionale all’aumento della superficie, fino a contemplare incrementi di rischio esponenziali.

L’attacco cyber è tecnicamente tracciabile con estrema difficoltà, e solo in pochi casi in tempo reale. Allo stesso tempo, lo strumento cyber ha una flessibilità operativa al limite infinita. Da ultimo, in un sistema basato su connessioni a rete, anche l’ultimo anello della catena può rappresentare una vulnerabilità per tutto il sistema.

Passando al contesto economico, ai settori tecnologici menzionati corrispondono porzioni di valore aggiunto sempre maggiori, sia a livello macro che micro. Ciò determina un interesse crescente per l’attore ostile, tradizionale (ladro, terrorista ecc.) o statuale. Inoltre questi due tipi di minaccia possono sommarsi, complice la disponibilità di nuove armi, di nuovi malware complessi a prezzi assai ridotti (nell’ordine delle centinaia di migliaia di euro), anche qui con effetti di incremento esponenziale del rischio. Ma per l’attore ostile quello che conta è il valore di impatto.

Si pensi allora a un malware che porti al blocco, anche solo parziale, di un’infrastruttura finanziaria principale quale la Borsa. Il valore effettivo dipende dall’impatto percepito, e i mercati sono connessi (per esempio in un sistema di Borse regionale). Inoltre, data la centralità degli attori del sistema finanziario rispetto agli altri settori economici e al pubblico in generale, il valore di impatto ultimo è ancora più grande.

Infine, in un contesto informativo social, il valore di impatto può facilmente essere amplificato attraverso la disinformazione.

Questo riporta al centro la componente geopolitica della nostra analisi. La difficoltà (tecnica) di attribuzione degli attacchi ha sin qui determinato l’assenza di chiare regole, riconosciute dalla comunità internazionale, volte a sanzionare il comportamento ostile.

Anche per effetto dell’alta remuneratività dell’attacco cyber, ne è conseguita una modifica strutturale dell’equazione strategica di rischio/opportunità e dello stesso concetto di deterrenza.

L’analisi strategica ha ormai unanimemente identificato quello che rappresenta a tutti gli effetti uno stato di conflitto non dichiarato, al di sotto del livello internazionalmente riconosciuto dell’atto bellico proprio (che dà diritto a una risposta proporzionata).

Questo conflitto si svolge (quasi) esclusivamente su un terreno non militare. Il settore finanziario, per la sua centralità strategica, è al centro di tale conflitto.

Queste considerazioni vanno portate a sistema, per cogliere l’effetto complessivo per il mondo finanziario, le sue infrastrutture e per i singoli intermediari. Il fatto che vi sia una difficoltà tecnica nell’attribuzione degli attacchi cyber non vuol dire che gli Stati non abbiano altri strumenti per valutare la provenienza di un attacco e per comprenderne mandanti e motivi (who & why).

Solo lo Stato dispone del quadro complessivo di informazioni/fattori (la famosa matrice Dimefil, Diplomatic, Information, Military, Economic, Financial, Intelligence and Lawfare) che stanno dietro un attacco cyber. Quindi, il rapporto con lo Stato – con i suoi organi di tutela della sicurezza nazionale e di law enforcement – diviene un elemento cruciale, soprattutto nelle situazioni più complesse.

Altrettanto fondamentale è l’attitudine del management a tutti i livelli, del CdA, degli organi di controllo. Anche qui vale il tone from the top. Si tratta di evolvere da una cultura della compliance a una della resilienza.

L’intermediario e l’infrastruttura finanziaria devono quindi scegliere la propria postura difensiva rispetto a un framework che, fatti salvi i livelli minimi di difesa comunque necessari, definisca il livello di protezione che l’organizzazione si prefigge. Il tutto attraverso un processo di scelta cosciente, validata dai diversi organi aziendali.

Alla luce di quanto precede è forse ora meglio delineabile il carattere fondante della proposta di regolamento UE Dora. Un big bang della cybersecurity per il sistema finanziario comunitario, con obiettivi comuni sfidanti.

Un effetto di istantaneo innalzamento dello standard regionale, che rende il sistema finanziario comunitario più forte e con ricadute anche globali, simile quindi – ancorché su un terreno diverso – all’effetto a suo tempo determinato da Gdpr (General Data Protection Regulation).

Una tempistica assai opportuna, cioè appena a ridosso della Brexit, giacché l’uscita dalla compagine comunitaria del Regno Unito ha riflessi assolutamente determinanti per gli equilibri di sicurezza regionali.

di Paolo Ciocca, da “Etica digitale. Verità, responsabilità e fiducia nell’era delle macchine intelligenti”, a cura di Marta Bertolaso e Giovanni Lo Storto, Luiss University Press, 2021, pagine 184, euro 18

Le newsletter de Linkiesta

X

Un altro formidabile modo di approfondire l’attualità politica, economica, culturale italiana e internazionale.

Iscriviti alle newsletter