La sicurezza informatica nelle imprese è una tematica che negli ultimi anni ha assunto importanza crescente. Lo sviluppo tecnologico legato a internet, da un lato ha aperto nuove opportunità di sviluppo, dall’altro ha reso necessario predisporre nuove forme di tutela da i rischi che la stessa tecnologia comporta.
Con lo sviluppo dell’internet banking e del fenomeno della digitalizzazione dei pagamenti le conseguenze legate ad attacchi informatici e furti di credenziali hanno assunto dimensioni sistemiche, al punto da richiedere l’implementazione di presidi sempre più sofisticati.
Se fino a pochi anni fa le maggiori minacce riguardavano la presenza di virus o worm, da qualche anno a questa parte i maggiori ambiti di rischiosità riguardano soprattutto la perdita/furto di informazioni o la sostituzione dell’identità personale.
Tra i possibili schemi di furto di identità elettronica che colpiscono direttamente i clienti, estromettendo di fatto l’azienda da qualsiasi responsabilità nel percorso fraudolento, i più diffusi sono i seguenti:
- Il phishing, consistente nella generazione di e-mail e nella creazione di siti web molto simili a quelli aziendali, con la finalità di carpire ai clienti informazioni personali e riservate, come gli User ID e le password per i servizi di internet banking o altre informazioni utilizzate per i pagamenti digitali;
- il crimeware, consistente nella contaminazione dei pc degli utenti, tramite virus informatici atti a intercettare le informazioni personali presenti nei pc e trasmetterle così al truffatore. Anche questo schema attacca direttamente il cliente ma, a differenza dal phishing, non sempre si manifesta secondo caratteristiche specifiche.
Alcuni dei principali tentativi di truffa via e-mail possono essere riconosciuti agevolmente, infatti tipicamente:
- si tratta di comunicazioni non adeguatamente personalizzate, che spesso incamerano generici messaggi di richiesta di informazioni personali per motivi non ben specificati (es. scadenze, problematiche di ordine tecnico, aggiornamento data base, ecc.);
- in alcuni casi, utilizzano forme di intimidazione, ad esempio minacciando la sospensione o revoca dell’account in caso di mancato riscontro da parte dell’utente.
Anche l’attenzione agli incidenti di sicurezza è andata via via crescendo nel tempo, avendo impatti rilevanti nella gestione di banche e imprese. Per questo motivo, la materia della sicurezza informatica è stata oggetto di apposita disciplina normativa, soprattutto sul comparto degli Intermediari finanziari.
In base a quanto definito da Banca d’Italia (Circolare n. 285/2013), la gestione degli incidenti di sicurezza informatica ha l’obiettivo di minimizzare l’impatto di eventi avversi e garantire il tempestivo ripristino delle funzionalità dei servizi e delle risorse ICT coinvolti.
Anche l’European Banking Autority (EBA) in attuazione dell’art. 96, Direttiva UE 2015/2366 recante disposizioni relative ai «servizi di pagamento nel mercato interno» definisce gli incidenti operativi o di sicurezza come singoli eventi o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti.
Gli eventi critici che possono riguardare le operazioni di pagamento, nonché altri impatti sugli utenti dei servizi di pagamento (come ad esempio le alterazioni sul contenuto dei messaggi di pagamento), comprendono accessi illeciti o non autorizzati dei dati personali relativi agli utenti stessi e ai terzi soggetti beneficiari/pagatori delle transazioni, con conseguente violazione dei dati personali (data breach).
Richiedere una consulenza in materia di sicurezza informatica può risultare utile per assicurare alle imprese l’implementazione dei necessari presidi a tutela del rischio informatico, con benefici in termini di compliance e di buona governance e importanti ricadute in termini economici e reputazionali.