In un mercato digitale la cybersecurity è ovunque e va perseguita con comportamenti, apparati e ovviamente anche norme. L’Europa, da sempre impegnata sul piano delle regole, ha proposto una serie di azioni su resilienza finanziaria, crypto assets e registri distribuiti, un argomento trattato al CyberTech 2022.
La manifestazione, tornata in presenza anche nell’edizione di Roma, è stata percepita dai visitatori professionali di più alto livello rispetto al passato pre-pandemia. “Abbiamo incontrato molte aziende rappresentate da persone esperte, interessate a verificare le nostre proposte”, ci ha detto Stefano Vaninetti, Director Cybersecurity South Europe di Cisco; “ora c’è consapevolezza di non poter digitalizzare senza essere sicuri”.
“Negli ultimi anni il digitale italiano è cresciuto molto, ma la cyberprotezione un po’ meno”, spiega Paolo Lossa, Country Sales Director di CyberArk. La sicurezza cresce molto, ma stranamente il “debito di sicurezza” cresce ancora di più. “Sale l’importanza delle assicurazioni cyber, soprattutto per il ransomware”, conclude il manager..
Tornando al Fintech, l’obiettivo che si staglia all’orizzonte è Il nuovo mercato digitale in un ambiente sicuro, introduce Paolo Ciocca di Consob. Tre le misure proposte, ovvero DORA, MiCa e il Pilot régime, proposte il 24 settembre 2020 dalla Commissione per normalizzare la finanza digitale.
Su DORA, in particolare, il Parlamento europeo e la Presidenza del COnsiglio hanno raggiunto un accordo provvisorio sempre il 10 maggio 2022.
DORA, MiCA, Pilot régime
Il pacchetto contiene una completa strategia di finanza digitale: resilienza operativa digitale (DORA), regole ai mercati delle cripto-attività (MiCA) e una proposta sulla tecnologia di registro distribuito (DLT).
L’approvazione di tutte e tre le azioni lancerebbe l’Europa come benchmark mondiale: con Russia e Cina non si sa come confrontarsi, mentre gli USA hanno una situazione molto frammentata. Il solo confronto possibile è con gli USA, i cui riferimenti culturali sono compresi dagli europei e viceversa, anche se non sempre la visione risultante è unica.
L’azione imminente riguarda il Digital Operational Resilience Act, in sintesi DORA,
Una prima parte del lavoro, dice Ciocca, consiste nell’unificare i perimetri delle nazioni facenti parte dell’Unione su tutta la value chain.
Restano ancora scoperti alcuni punti: il legal audit va incluso o no? E come si potranno supervisionare i cloud service providers?
Il nodo più teso della questione è di natura strutturale: i tempi europei per l’entrata in vigore delle direttive sono troppo lunghi. Poiché si tratta di attendere un periodo di 6 + 24 mesi, quand’anche la pubblicazione dell’accordo fosse immediata se ne parlerebbe comunque a fine 2024, un periodo che oggi è veramente troppo lungo.
Le norme certamente richiedono dei tempi di implementazione, ma cosa succederà nei prossimi mesi in un mercato non ben regolamentato? Questo è un elemento che va assolutamente considerato nella costruzione della Nuova Europa della quale si parla oggi per motivi contingenti.
Nuovi attacchi, nuove scelte
“Il finance attira gli attacchi”, spiega Dirk Clausmeier, del Ministero delle finanze tedesco, e nell’attuale scenario di sicurezza frammentata gli attacchi stanno aumentando, e “il nuovo non è mai regolato”.
Proprio perché comprende elementi nuovi, la sicurezza nel fintech è complessa da identificare: “oggi la sicurezza dev’essere distribuita, quindi ovunque, e comunque in grado di scalare sempre”, precisa Robert Smith, Field CISO di NoName. E l’intelligenza artificiale come s’inserisce nel discorso? “Gli attacker stanno usando l’AI”, riprende Smith, “con un +700% rispetto all’anno precedente”. L’AI certo pone una barriera all’ingresso e, inoltre, porta nuovi tipi di vulnerabilità, come sono gli stessi bias degli algoritmi.
Andando sul distribuito bisogna aumentare l’etica dei provider e soprattutto del personale. Questo è questo un punto dolente, forse il più importante di tutti.
Guardando alla struttura di DORA si identificano quattro capisaldi: governance, reporting, testing e terze parti, tra le quali troviamo anche i cloud provider.
I membri del Parlamento europeo hanno chiesto la vigilanza di Esma (Autorità europea per gli strumenti finanziari e i mercati) sull’emissione degli asset-referenced token e di EBA (Autorità bancaria europea) per la supervisione degli electronic money token.
In conclusione, gli ultimi tre anni hanno portato a forti miglioramenti nell’approccio della cybersecurity italiana in senso europeo, in vista delle norme per il mercato digitale.
L’Italia, però, non ha ancora recuperato il forte ritardo pregresso; la forte spesa -permessa anche dal PNRR- ha portato più digitalizzazione che sicurezza. Forse sarebbe stato meglio il contrario.