Il settore finanziario deve aumentare le proprie capacità di resilienza. Nessun allarmismo, è un comparto sicuro confrontato con perimetri di rete elasticizzati, motivo per il quale è in cima alle classifiche dei settori più bersagliati dal cyber crimine.

I criminal hacker non lo prendono di mira soltanto perché è un enorme contenitore di denaro ma anche perché è depositario di dati sensibili e, soprattutto, perché è un comparto molto aperto: si pensi alle app per dispositivi mobili, ai siti e-banking, ai bancomat, alla quantità di transazioni che vengono svolte ogni giorno da un numero molto ampio di dispositivi terzi.

Sono proprio l’elasticità del perimetro di rete e la variegata platea di utenti che devono spingere il comparto a una maggiore resilienza.

Nonostante sia da considerare sicuro, il settore deve mostrarsi più resiliente e deve trasmettere un’immagine più solida di sé, tant’ che è alle prese con un calo di fiducia da parte degli utenti, così come certifica il Digital Trust Index al quale abbiamo dedicato un approfondimento.

Le superfici d’attacco del settore finanziario

Gli istituti di credito in genere devono sapere miscelare, per diverse ragioni, la cybersecurity e la sicurezza fisica.

Oltre a tutti i dispositivi con i quali i clienti si collegano ai rispettivi istituti di credito e oltre ai bancomat, occorre tenere presente che le imprese del comparto finanziario sono ramificate. Il solo emisfero delle banche impiega 262mila persone (dati Associazione bancaria italiana riferiti alla fine del 2024)

Ciò significa centinaia di migliaia di computer fissi e mobili, migliaia di server, infrastrutture cloud e l’erogazione di numerosi servizi che usano internet per funzionare.

L’uso costante di nuove tecnologie spalanca scenari nei quali la cybersecurity assume forme nuove e più affilate a fronte di minacce sempre più sofisticate.

L’elemento umano

Tra dipendenti, collaboratori, stakeholder e utenti, è facile immaginare alla moltitudine di persone che – pure non volendo – si trovano al centro di attività di phishing, spear-phishing oppure vishing, tutte congeniate dai cyber criminali per avere accesso a informazioni sensibili se non direttamente ai conti bancari.

Poiché le minacce aumentano per numero e per sofisticatezza, è necessaria la formazione continua del personale che, da sola, non è però sufficiente ma è centrale per il buon funzionamento di qualsiasi sistema di difesa.

C’è una fragilità: la formazione continua può essere impartita a dipendenti e collaboratori, non ai clienti e ai terzi che si collegano ai servizi finanziari erogati mediante la rete.

La protezione delle API

Prima di analizzare i vettori di attacco più sollecitati dai criminal hacker, è opportuno menzionare le API le quali, in qualche modo, possono essere considerate un collante che espone digitalmente il settore finanziario, ampiamente interconnesso e foriero di servizi erogati in favore delle proprie utenze.

API male amministrate, non controllate, obsolete o scarsamente documentate sono un’autostrada su cui il cyber crimine si muove liberamente per portare a compimento attacchi capaci di violare dati e di causare interruzioni dei servizi.

Un male per il quale c’è una cura che, in sintesi, consiste nella conoscenza approfondita delle API, facendo inoltre quadrato con fornitori e terze parti affinché siano gestite in modo orchestrato. Argomento che abbiamo approfondito qui, richiamando l’attenzione anche sul fatto che le API ormai vetuste o inutili sono mine che vanno disinnescate.

I vettori di attacco più comuni

Oltre ai già citati phishing e derivati, che riprenderemo più avanti parlando della protezione del marchio, i criminal hacker dispiegano varie tecnologie per riuscire nelle intrusioni.

Ci sono diversi malware finanziari la cui diffusione è amplificata dalla vasta disponibilità di app per dispositivi mobili. A corredo, un variegato e complesso intreccio di stealer, software che rientrano nella famiglia dei malware e che hanno l’obiettivo di rubare dati sensibili, tra i quali credenziali di accesso a siti e app.

Queste credenziali, anche in tempi successivi, possono essere usate dai criminal hacker per accedere alle infrastrutture di rete delle aziende e anche ai conti degli utenti, peraltro inclini a usare la medesima password per autenticarsi a servizi diversi.

Tra le minacce più pressanti figurano anche gli attacchi Man-in-the-Middle, l’intercettazione del flusso dati tra client e server per sottrarre credenziali e token di sessione. Questi attacchi prendono di mira soprattutto gli utenti finali dei servizi finanziari, ma le ricadute possono avere pesi pratici e specifici per le imprese del comparto.

Immancabile e onnipresente l’esercito dei ransomware, virus che cifrano i file che riescono a processare e che mettono in condizione i criminali di consegnare alle imprese vittime le chiavi utili alla decrittazione dei file solo dopo il pagamento di un riscatto.

Rimanendo all’interno delle infrastrutture ICT del comparto finanziario, i cyber criminali sono sempre pronti a sfruttare le vulnerabilità dei sistemi operativi, dei software e delle parti attive di rete.

Al contrario di quanto si possa pensare, non sono solo le vulnerabilità Zero-day a fare gola ai criminal hacker, che riescono a utilizzare a proprio vantaggio anche le vulnerabilità n-day, ossia quelle note da tempo, contando sul fatto che non tutte le aziende sono solerti nell’installare i dovuti aggiornamenti.

La difesa del marchio

Un altro peso che grava sulle spalle (anche) delle imprese del comparto finanziario è la tutela del marchio. I criminal hacker usano nomi di dominio contraffatti e creano pagine web identiche a quelle dei servizi finanziari per irretire le proprie vittime.

I siti fasulli, il cui numero è in crescita, sono osteggiati dalle imprese e dalle autorità nazionali e internazionali, ma restano uno strumento che piace ai criminali tant’è che, secondo un report Akamai, ne soffre più il comparto finanziario di quello delle vendite online. L’uso fraudolento del marchio rientra nella faretra in cui i cyber criminali conservano le frecce del phishing, supportati dalle Intelligenze artificiali che rendono le trappole quasi perfette.

Gli altri crucci del comparto finanziario

L’elenco di tecnologie che espongono il fianco alle attività del cyber crimine è lungo. Non si può però fare a meno di menzionare il Cloud, punto potenzialmente nevralgico che non risparmia nessuna impresa di qualsivoglia settore.

Il comparto finanziario tratta dati molto sensibili e il Cloud, per definizione almeno, amplia le superfici di attacco e, non a caso, è sotto le lenti del cyber crimine. Occorre quindi che le imprese del settore trovino un equilibrio sapiente tra Cloud privato e ibrido, creando architetture che garantiscano tanto l’erogazione dei servizi quanto la protezione dei dati.

Come accade in molti altri settori, il Cloud contribuisce a ridurre i costi dell’hardware e della manutenzione software. Inoltre, scalabilità e velocità contribuiscono a rendere più scattanti le attività di business. C’è poi la questione dell’analisi dei dati che tocca anche la cybersecurity, rendendo possibile il rilevamento di frodi o di transazioni anomale in tempo reale.

Il Cloud rende anche possibile lo sviluppo di nuovi prodotti digitali come, per esempio, le app bancarie e le piattaforme di investimento. Questo rimanda all’annoso problema delle API, tipicamente REST / SOAP che vanno valutate attentamente nella scelta dell’architettura Cloud da implementare.

Appare chiaro che i dati, anima inossidabile di tutte queste attività, vadano protetti in modo maniacale, lasciando il compito ai provider di infrastrutture Cloud – che pure rispondono a ciò che è imposto da norme e certificazioni – oppure conservarli al proprio interno facendosi carico di gran parte dell’adeguamento normativo imposto, tra gli altri, dal GPDR, dal regolamento DORA e, tra gli altri, dallo standard PCI DSS.

Inoltre, sempre stando al report Akamai linkato sopra, il 34% degli attacchi DDoS registrati nel 2024 è stato indirizzato proprio alla volta di imprese del settore finanziario, rendendolo il più colpito in assoluto.

Le dimensioni del fenomeno

Gli episodi che hanno guadagnato gli onori delle cronache sono molteplici, ne citiamo soltanto alcuni per restituire lo spessore delle capacità del cyber crimine:

• JPMorgan Chase, 2014: usando credenziali compromesse e un malware istallato su server interni all’azienda, sono stati violati circa 80 milioni di conti dei clienti della banca americana.
• Bangladesh Bank, 2016: manipolando il sistema SWIFT e usando credenziali rubate, sono stati sottratti 81 milioni di dollari.
• Equifax, 2017: violazione dei dati di 147 milioni di persone, numeri di carte di credito inclusi.
• Capital One, 2019: violazione dei dati di 106 milioni di clienti tra Stati Uniti e Canada, oltre a problemi causati ai sistemi interni.

Questi episodi, che si snodano lungo un lustro, dimostrano che i cyber criminali non mirano soltanto al denaro e che nessuna impresa del comparto finanziario può ritenersi al riparo, a prescindere dalle latitudini in cui opera.

Per tornare a tempi più recenti, il report Exprivia relativo al primo trimestre del 2025, segnala 862 casi di minacce relativi alle aziende italiane che operano nella finanza.

Quali sono le conseguenze per le imprese vittime

Chi lavora nella finanza sa che i mercati possono reagire in modo isterico, illogico e persino incomprensibile ma, in fine dei conti, hanno sempre ragione.

Tra le conseguenze immediate a cui devono fare fronte le aziende vittime di attacchi andati a buon fine c’è lo spauracchio del crollo dei titoli borsistici.

C’è poi il danno reputazionale che coincide con la perdita di clienti e con un maggiore costo per acquisirne di nuovi.

Non da ultimo, intervengono le ammende inflitte dai regolatori, laddove viene certificata una politica di conformità lasca.

Oltre a questi danni che si verificano sul breve periodo, le aziende vittime sono confrontate con difficoltà che si diluiscono nel tempo, a cominciare dall’obbligo di rifondere i clienti che hanno subito danni al patrimonio.

Parallelamente, inforcando un sentiero che non si esaurisce in breve tempo, è necessario sobbarcarsi costi per gli audit, per la formazione del personale e per l’aggiornamento delle infrastrutture ICT.

Altre conseguenze hanno gittate più lunghe. Si pensi, per esempio, alle polizze assicurative per gli incidenti cyber, i cui premi esplodono per quelle aziende che hanno già subito intrusioni.

Credere che il costo di una violazione sia riconducibile ai danni causati nell’immediato dalla stessa, è molto lontano dalla verità, così come abbiamo spiegato in questo approfondimento.

Come aumentare la resilienza del settore finanziario

Gli interventi che possono essere fatti sono molti ed è difficile elencarli in ordine di priorità.

Un primo accorgimento che protegge le infrastrutture delle imprese gestendo sia le connessioni che avvengono dall’interno sia quelle esterne, è l’implementazione di soluzioni per il controllo delle identità e degli accessi. In questo modo è possibile gestire quali azioni può compiere ogni singolo account e a quali risorse può accedere.

Mappando questi requisiti, ogni organizzazione può anche apportare eventuali correzioni, restringendo così le superfici d’attacco e l’esposizione ai rischi.

Più in generale, la mappatura degli asset e delle vulnerabilità si presenta come condizione essenziale per edificare un avamposto di cybersecurity efficace, scalabile e resiliente.

Il controllo delle identità e degli accessi è peraltro propedeutico all’adozione di altre misure di sicurezza:

• Architetture Zero Trust per la verifica iterata di utenti e dispositivi
• Crittografia per i dati in transito e per quelli a riposo, peraltro caldeggiata dalle normative
• Segmentazione della rete, incluso il Cloud
• Autenticazione a più fattori, obbligatoria per i pagamenti digitali così come imposto dalla normativa PSD2
• Tecnologie SIEM per la centralizzazione dei log e il rilevamento delle intrusioni
• Penetration test, richiesto dalla normativa DORA

Ci sono altri elementi che meritano approfondimenti a parte, perché più ampi e – in un’ottica di più ampio respiro – maggiormente necessari alla resilienza dell’intero settore.

Le AI al servizio della cyber difesa

Il cyber crimine si serve delle Intelligenze artificiali per aumentare e rendere migliori le proprie capacità offensive. Il fronte opposto, quello della cybersecurity, deve fare altrettanto. Il ricorso alle AI non è un optional e si presta al rilevamento delle minacce e delle frodi, oltre a offrire un supporto inalienabile per l’automazione dei processi di risposta.

La guerra tra crimine e difesa si giocherà sempre di più nelle trincee delle AI: è opportuno che le imprese acquisiscano le opportune competenze.

Il ricorso alle AI è l’incipit di un libro inesauribile i cui capitoli centrali devono ancora essere scritti.

È importante che il settore finanziario (e ciò vale per qualsiasi altro comparto) collabori per creare o finanziarie hub di competenze al cui interno formare profili altamente preparati per fare fronte al cyber crimine.

La formazione è capitale ma, spesso, la si menziona solo declinandola a vantaggio degli utenti e più raramente appannaggio degli specialisti della cyber security, confrontati con scenari in rapida evoluzione per lo più capitanati dalle AI e dal machine learning che facilitano anche la cyber security predittiva. Giocare d’anticipo è quanto mai vitale per qualsiasi settore.

Gli obblighi normativi

La NIS2, acronimo di Network and Information Security Directive 2, è una direttiva europea che impone degli standard di cyber security alle imprese dei settori critici, tra i quali spicca anche la finanza.

Impone la governance della gestione dei rischi cyber, il reporting degli incidenti entro termini prestabiliti, la formazione continua e la supervisione della sicurezza della supply chain.

Le imprese della finanza, essendo sistemi particolarmente aperti, hanno a che fare con diversi partner e devono quindi vigilare affinché le infrastrutture ICT di questi ultimi siano confacenti agli standard.

Il Digital Operation Resilience Act (DORA) è un regolamento europeo e impone requisiti di resilienza e guarda soprattutto al mondo della finanza.

Poggia le proprie fondamenta su cinque pilastri ai quali abbiamo dedicato un approfondimento e che riprendiamo in breve soprattutto per mostrare che sono ridondanti, essendo in parte ribaditi anche da altre direttive sovranazionali (NIS2 inclusa):

• Gestione del rischio
• Incident reporting
• Test di resilienza (inclusi i già citati Penetration test)
• Gestione dei rischi di terze parti
• Scambio di informazioni

Il fatto che ci siano normative precise è la manifestazione stessa della loro necessità: per troppo tempo la cybersecurity è stata male interpretata, relegandola a costo secco quando, in realtà è un costo che permette la continuità aziendale e quindi la generazione di profitti.

La parola d’ordine è collaborazione

Il cyber crimine va visto come un consorzio che, oltre a unire capacità e potenza di calcolo, mette a disposizione di terzi il proprio sapere, allestendo delle vere e proprie filiere del crimine.

Inoltre, si distingue per sapere fare uso delle Intelligenze artificiali, valide compagne per rendere gli attacchi sempre più sofisticati, mirati e quindi efficaci. Gli esempi sono molti: qui abbiamo parlato dell’episodio occorso alla Ferrari e qui abbiamo trattato il caso di un’organizzazione di Hong Kong.

Le singole imprese non possono ostacolare i consorzi. Una lotta impari i cui equilibri possono essere ristabiliti solo formando consorzi che si scambiano informazioni, parlano delle soluzioni e, perché no, si coordinano tra loro per testare soluzioni di difesa e individuare quelle più efficaci, allargando il focus ai servizi di Intelligenza artificiale che facilitano gli assetti difensivi.

Un approccio reattivo è molto al di sotto della capacità di fuoco che le imprese devono avere per contrastare il cyber crimine e, benché sia una visione ancora in parte miope, la collaborazione tra imprese è una forma di risposta proattiva capace di mettere il turbo alla proattività stessa e alla cyber difesa.