Cybersecurity nel settore finanziario: sfide, normative e tecnologie

Negli ultimi anni il settore finanziario è diventato uno dei principali bersagli dei cybercriminali. Banche, fintech e altri operatori maneggiano dati sensibili e denaro digitale, attirando attacchi sempre più sofisticati. Le minacce spaziano dalle frodi online (come phishing e smishing) fino ai malware e ransomware che bloccano i sistemi chiedendo riscatti. Secondo una ricerca di Cybersecurity360, le istituzioni finanziarie devono difendersi da un’ondata di violazioni di dati, ransomware, malware, phishing e social engineering sempre più sofisticati e frequenti. A questi si aggiungono attacchi DDoS per paralizzare i servizi online, minacce interne (dipendenti infedeli o imprudenti) e attacchi alla catena di fornitura (compromissione di partner o fornitori). La crescente digitalizzazione – servizi bancari online, app mobile, pagamenti digitali e persino valute digitali – amplia la superficie di attacco, offrendo nuovi punti di ingresso ai criminali.

Un caso emblematico è stato l’assalto del 2016 alla banca centrale del Bangladesh, dove hacker hanno tentato di rubare 1 miliardo di dollari sfruttando vulnerabilità nel sistema SWIFT. Pur bloccati la maggior parte dei bonifici, 101 milioni sono comunque spariti, dimostrando che “i rischi informatici sistemici erano stati fortemente sottovalutati”. Oggi si sa che non si tratta di “se” ma di “quando” avverrà il prossimo grande attacco: l’ex presidente della BCE Christine Lagarde ha addirittura ammonito che un cyber attacco potrebbe scatenare una vera crisi finanziaria. In pratica, banche e servizi di pagamento competono con aziende tecnologiche, mentre l’emergenza sanitaria ha spinto clienti e dipendenti verso il digitale, aumentando i tentativi di frode. Ad esempio, durante la pandemia il settore finanziario ha subito la seconda quota più alta di attacchi cyber legati al COVID-19 (dietro solo alla sanità), con campagne di phishing finalizzate a ottenere credenziali di accesso o installare malware.

Le principali sfide per il settore quindi includono:

• Frodi via ingegneria sociale: email, SMS o siti fasulli che fingono di provenire da banche o servizi di pagamento, chiedendo password o codici OTP.
• Ransomware e malware: virus informatici che criptano dati aziendali o li esfiltrano per chiedere riscatti, causando blackout dei sistemi (un problema diffusissimo che oltre il 60% delle aziende nel mondo dichiara di aver affrontato pagando un riscatto).
• Attacchi a infrastrutture e reti: DDoS, vulnerabilità di rete, exploit contro sistemi legacy o applicativi (SQL injection, dipendenze software non aggiornate).
• Minacce interne: errori o abusi da parte di personale interno, spesso la conseguenza di scarsa formazione sulla sicurezza.
• Attacchi alla catena di fornitura (supply chain): compromissione di software o servizi esterni collegati alle banche (ad es. cloud provider, gestori di ATM, consulenti IT).

Tutte queste minacce richiedono un approccio di difesa a più livelli. Le perdite economiche possono essere enormi: basti pensare che solo nel 2021 le banche statunitensi hanno pagato oltre 1,2 miliardi di dollari in riscatti. Proteggere la fiducia del pubblico è quindi essenziale.

Normative specifiche per il settore finanziario

In ambito finanziario esistono normative europee e nazionali molto stringenti in materia di cybersecurity. Ecco alcuni esempi chiave:

• PSD2 (Payment Services Directive 2): è una direttiva UE che introduce l’open banking e impone requisiti di sicurezza per i pagamenti elettronici. In base a PSD2, tutti i fornitori di servizi di pagamento nell’UE devono adottare la Strong Customer Authentication (SCA), cioè l’autenticazione a più fattori. In pratica, ad ogni login o transazione online l’utente deve usare almeno due metodi di verifica (per esempio password + codice OTP inviato via SMS o app). PSD2 richiede anche che le banche forniscano API sicure per consentire a terze parti di accedere ai dati – ma solo con il consenso esplicito del cliente – aumentando così l’apertura e la competitività del mercato.
• GDPR (Regolamento generale sulla protezione dei dati): stabilisce regole rigide su come le banche e le fintech devono trattare i dati personali dei cittadini UE. Chiunque raccolga o processi dati sensibili dei clienti (es. nominativi, numeri di conto, dati biometrici) deve garantire misure di sicurezza adeguate e il rispetto dei diritti degli interessati (trasparenza, portabilità, cancellazione, ecc.). Il GDPR impone anche obblighi di notifica in caso di violazione dei dati. Le sanzioni per la non conformità possono arrivare fino al 4% del fatturato annuo o 20 milioni di euro, garantendo così un forte incentivo al rispetto delle regole.
• DORA (Digital Operational Resilience Act): è un nuovo regolamento UE in vigore dal 17 gennaio 2025, pensato appositamente per il settore finanziario. DORA armonizza i requisiti di resilienza digitale per banche, assicurazioni, fintech, fornitori di servizi ICT critici e altri soggetti finanziari. Stabilisce un quadro comune per la gestione dei rischi ICT: prevede politiche unificate di valutazione del rischio, il reporting obbligatorio degli incidenti informatici (con scadenze precise per le notifiche) e obblighi di test periodici (tra cui test di penetrazione “guided by threats” – TLPT) su persone, processi e sistemi. DORA richiede inoltre controlli rigorosi sui fornitori terzi (terze parti ICT) e promuove meccanismi di info-sharing: per esempio in Italia il CERTFin – il Computer Emergency Response Team delle banche – consente a tutti gli operatori finanziari una migliore visibilità sulle nuove minacce cyber. In sostanza, DORA mira a far sì che tutto il settore possa «monitorare, rilevare, resistere, rispondere e riprendersi» da attacchi informatici potenzialmente gravi. Le autorità di vigilanza europee (EBA, EIOPA, ESMA) hanno elaborato numerosi standard tecnici attuativi per guidare l’applicazione pratica di DORA. In Italia sono già stati richiesti alle banche autovalutazioni rigorose del proprio ICT Risk Management Framework, con adeguamenti tecnici entro il 2025.
• Altre normative: vanno citate anche la direttiva NIS2 (che dal 2024 impone requisiti di sicurezza a settori critici, inclusi i servizi finanziari) e le linee guida di vigilanza (per esempio, la Circolare 285 della Banca d’Italia aveva già anticipato molti aspetti di DORA). A livello globale, i regolatori finanziari spesso richiedono standard come la PCI DSS (per la sicurezza dei dati delle carte di pagamento) o le indicazioni del Cybersecurity Framework del NIST. In ogni caso, le banche sono sottoposte a audit regolari per dimostrare la conformità a questi requisiti: non rispettarli può comportare multe salate o addirittura la revoca di licenze.

Tecniche e tecnologie avanzate di protezione

Per difendersi da attacchi così complessi, banche e fintech adottano soluzioni tecnologiche all’avanguardia. Ecco alcuni esempi divulgativi di misure di sicurezza avanzate:

• Autenticazione multifattoriale (MFA): oltre alla classica password, si richiede sempre un secondo o terzo fattore di sicurezza. Ad esempio, dopo aver inserito la password l’utente potrebbe dover digitare un codice temporaneo inviato via SMS o generato da un’app, oppure usare la propria impronta digitale. Questo rende molto più difficile l’accesso non autorizzato: anche se un attaccante rubasse la password, non potrebbe proseguire senza il secondo fattore. In pratica, PSD2 stesso impone l’uso di MFA nei pagamenti digitali, e tutti i moderni sistemi bancari supportano codici OTP, token hardware, autenticazione biometrica, ecc.
• Crittografia dei dati: i dati sensibili devono essere cifrati sia “in transito” sia “a riposo”. Ad esempio, le comunicazioni con la banca online viaggiano su connessioni protette (HTTPS/TLS) che rendono illeggibili le informazioni a chi intercetta il traffico. Anche le banche criptano le informazioni nei loro database e su dispositivi rimovibili, in modo che un malware o un furto fisico del disco non possa esporre documenti o estratti conto. In generale si utilizzano cifrari a chiave pubblica (per iniziare sessioni sicure) e privati (per dati archiviati), spesso gestiti da moduli hardware sicuri (HSM) dedicati alle chiavi crittografiche.
• Architettura “Zero Trust”: molti istituti stanno passando a un modello di rete senza assunzioni predefinite di sicurezza. Il principio “mai fidarsi, sempre verificare” significa che ogni richiesta di accesso, anche da dispositivi o utenti interni, deve essere continuamente autenticata e autorizzata. Non esiste un perimetro di rete “sicuro”: ogni sessione è isolata (micro-segmentazione) e la fiducia va riconquistata con controlli stretti. Questo riduce enormemente il rischio che un intruso, una volta entrato, si muova lateralmente attraverso i sistemi. In una zero-trust architecture ogni risorsa critiche ha proprie policy access control granulari, e ogni utente e dispositivo viene analizzato in tempo reale.
• Monitoraggio continuo e threat intelligence: le banche utilizzano sistemi avanzati di Security Information and Event Management (SIEM) e di Intrusion Detection/Prevention (IDS/IPS) che raccolgono e analizzano in tempo reale log di rete, comportamenti utente e telemetria di sistema. Grazie all’uso di analytics e intelligenza artificiale, questi strumenti riconoscono anomalie (“comportamenti insoliti”) che potrebbero indicare un attacco in corso. A valle, le informazioni raccolte vengono integrate in piattaforme di threat intelligence: database condivisi di indicatori di compromissione (IP malevoli, hash di malware, ecc.) alimentati sia internamente che da fonti esterne (organizzazioni internazionali, altre banche, CERT nazionali). Così, quando un nuovo attacco viene individuato da un istituto, può essere segnalato al consorzio del settore – in Italia il CERTFin – che a sua volta avverte tutte le banche affiliate. Questo scambio di informazioni consente di prevenire attacchi simili altrove. In sostanza, la threat intelligence è «informazione raccolta, analizzata e utilizzata per identificare possibili minacce informatiche»: conosciuto un modus operandi degli hacker, gli istituti possono rinforzare tempestivamente le difese difronte a quell’insidia.
• Altre tecnologie di protezione: si impiegano inoltre firewall di nuova generazione, endpoint security (antivirus/antimalware potenziati da intelligenza artificiale), sistemi di rilevamento delle intrusioni, e regolari penetration test autorizzati (inclusi test “guided by threat” come previsto da DORA) per valutare la robustezza della sicurezza. Le banche utilizzano anche Virtual Private Network e segmentazione della rete per isolare i sistemi critici (core banking, pagamento elettronico) dalle altre reti. Molte adottano soluzioni di Identity and Access Management (IAM) evolute, in cui i permessi degli utenti cambiano dinamicamente in base al ruolo, al luogo di accesso o all’ora del giorno, minimizzando le possibilità di abuso interno. Infine, sempre più diffuse sono le piattaforme di Security Orchestration, Automation and Response (SOAR) che automatizzano le difese ripetitive (per esempio bloccare automaticamente un indirizzo IP malevolo).

In concreto, immaginiamo una procedura di login per un cliente: oltre alla password il sistema richiede un SMS con codice temporaneo (autenticazione multifattoriale). Tutte le operazioni compiute appaiono su un pannello di monitoraggio dove l’analisi comportamentale segnala immediatamente comportamenti anomali (per esempio un accesso da località inconsueta). Se invece un hacker prova a penetrare nella rete interna, l’architettura zero-trust blocca l’attacco isolando automaticamente la macchina compromessa. Nel frattempo, qualsiasi nuovo malware scoperto in un’altra banca viene comunicato via cyber intelligence – così i firewall possono aggiornarsi in tempo reale per riconoscere e neutralizzare quell’attacco specifico.

In sintesi, il settore finanziario si difende con una combinazione di persone, processi e tecnologie: autenticazione a più fattori, crittografia, monitoraggio costante, architetture di sicurezza distribuita, e collaborazione tra istituzioni (attraverso normative e scambio informazioni) sono oggi le basi per mantenere al sicuro i dati e i servizi bancari.