La pandemia da Covid-19 sta rendendo necessari ed improrogabili una serie di interventi anche da parte degli Organismi di Vigilanza in campo bancario, finanziario ed assicurativo che non erano mai stati ipotizzati o che, comunque, è stato opportuno mettere in campo ben prima di quelle che erano le scadenze previste.
In tale ottica Banca d’Italia e IVASS hanno dato nuovo impulso all’attività che era già stata posta in essere dal “Gruppo di Coordinamento per la Sicurezza Cibernetica GCSC”, il cui ultimo intervento recava la data del 31 agosto 2018 in uno studio intitolato “Sicurezza cibernetica: il contributo della Banca d’Italia e dell’Ivass” si prendeva atto di come il rischio cibernetico fosse diventato – e lo sarebbe stato ancor di più nel futuro – uno dei pericoli ai quali si doveva prestare la massima attenzione a causa delle conseguenze che il suo dilagare avrebbe potuto avere nello svolgimento delle attività produttive e di consumo.

Si auspicavano l’acquisizione di una nuova e più sentita consapevolezza da parte degli attori in scena (soggetti nazionali e sovranazionali, pubblici e privati) e di una sempre maggior collaborazione a livello planetario nell’azione di contrasto al paventato dilagare dei fenomeni criminali commessi mediante l’utilizzo di tecnologie informatiche.
Per altro, lo studio era ben consapevole di quanto la sola protezione dei sistemi cibernetici potesse non essere sufficiente, se non accompagnata da un’attenzione globale, non riservata esclusivamente agli addetti ai lavori.
Banca d’Italia e IVASS ribadivano, infine, la loro funzione di caposaldo contro le azioni illecite poste in essere nei confronti dei sistemi bancario, finanziario ed assicurativo (particolarmente l’IVASS in campo assicurativo) e si paventava che le violazioni in tali ambiti avrebbero potuto provocare non soltanto conseguenze dirette all’interno dei network considerati ma anche, forse in taluni casi anche più gravi, sul mondo circostante, in tema di fiducia e di reputazione.
Note Covid-19 Banca d’Italia e IVASS: gruppo di coordinamento per la sicurezza cibernetica
In piena pandemia il GCSC ha pubblicato – nello scorso mese di aprile 2020 – un nuovo documento programmatico, nel quale sono stati ribaditi gli obiettivi tanto di proteggere le infrastrutture interne degli Istituti – in virtù della loro funzione di Organismi di Vigilanza – quanto di tutelare i soggetti che negli specifici campi prima delineati utilizzano i servizi finanziari (in senso lato) digitali, con particolare attenzione alle persone e alle imprese che prima dell’epidemia facevano ricorso alla rete in misura modesta.

Le recenti e ancora non concluse vicende, come è noto, hanno accelerato il processo di digitalizzazione dell’economia mondiale (e non soltanto dell’economia).
Distanziamento sociale e Smart Working nel settore bancario
La necessità di mantenere il distanziamento personale ha imposto, anche in campo bancario e assicurativo, l’adozione di sistemi di interazione personale online – individuali e di gruppo – che in parte esistevano già ante Coronavirus ma che, in questi difficili momenti, sono stati (ri)scoperti ed utilizzati a pieno regime.
In tal modo si è attribuita in misura aumentata ai protagonisti del settore, rispetto ad un pur recente passato, la possibilità di svolgere – naturalmente in mancanza di controindicazioni specifiche, come può essere, ad esempio, per le attività manifatturiere – la propria attività in regime di cosiddetto smart working: si è passati, così dai circa 570.000 lavoratori operativi da remoto stimati nel 2019 (Osservatorio Smart Working 2019, Convegno “Smart Working davvero: la flessibilità non basta”), ai molti milioni di questa prima parte del 2020.
È significativo che il Gruppo di Coordinamento abbia affiancato nel suo obiettivo di difesa le persone e le imprese che in passato facevano ricorso alla rete in misura modesta, non sempre consapevoli delle insidie del mondo digitale, ai soggetti nei confronti dei quali recare istituzionalmente il proprio supporto.
Azione di tutela per distributori assicurativi e clienti
Quindi, anche i distributori assicurativi – agenti, broker, produttori diretti, banche, intermediari finanziari, S.I.M., Poste Italiane, collaboratori degli intermediari principali – ed indirettamente i loro clienti, potranno essere coinvolti nella generale azione di tutela, fermo restando per compagnie e intermediari l’obbligo di uniformarsi al dettato della General Data Protection Regulation GDPR, oltre che alle norme del settore, ovvero Codice Civile, Codice delle Assicurazioni Private, Regolamenti IVASS (in particolare, in ultimo, i numeri 40 e 41/2018, in attuazione nazionale della International Distribution Directive IDD).
Sicurezza cibernetica ai tempi del Covid-19
Le note diffuse il 17 aprile 2020, intitolate alla “Sicurezza cibernetica ai tempi del Covid-19”, elencano una serie di presidi che saranno costituiti o implementati in esecuzione del programma previsto.
Se ne segnalano, tra gli altri, due:
- lo stimolo alla cooperazione pubblico-privato per la condivisione delle informazioni e per la creazione di capacità difensive, anche attraverso la gestione del CERT del settore finanziario italiano (CERTFin), in collaborazione con l’Associazione bancaria italiana (ABI) e con la partecipazione delle maggiori imprese bancarie e assicurative; *
- la valutazione delle azioni di mitigazione del rischio cibernetico, ad esempio in ambito assicurativo le coperture tramite polizze dedicate (cyber insurance).
*L’iniziativa è volta ad innalzare la capacità di gestione dei rischi cyber degli operatori bancari e finanziari mediante un’attività di supporto operativo e strategico alle attività di prevenzione, preparazione e risposta agli incidenti di sicurezza.
Il tema della cooperazione pubblico-privato era già stato lanciato nel documento del 2018, mentre assume grande importanza la nuova attenzione alle coperture assicurative contro i rischi informatici che, come segnalava uno studio ANIA del 2019, hanno per ora un ambito di applicazione molto modesto.
I pericoli di oggi come nuove opportunità per il futuro
In questi momenti si sente spesso ricordare come in cinese la parola “crisi” sia composta di due caratteri, uno che rappresenta il “pericolo” e l’altro l’”opportunità”.
Dimentichiamo le dispute sulla validità di questa interpretazione e auguriamoci che, non soltanto in campo assicurativo o informatico, nel futuro si possa trarre giovamento dalle iniziative intraprese in questo periodo.