Per Andrea Enria, presidente del consiglio di vigilanza della Bce, in audizione alla Commissione Econ del Parlamento europeo: “Il test sarà il primo di questo tipo e si concentrerà su come i meccanismi di risposta e di recupero delle banche potrebbero far fronte in caso di un attacco informatico grave ma plausibile”.
“Le banche devono affrontare meglio il rischio informatico migliorando i propri quadri operativi. Per verificare la posizione delle banche a questo riguardo, nel 2024 eseguiremo uno stress test sulla resilienza informatica per tutte le banche vigilate. Il test sarà il primo di questo tipo e si concentrerà su come i meccanismi di risposta e di recupero delle banche potrebbero far fronte in caso di un attacco informatico grave ma plausibile”.
Lo ha detto Andrea Enria, presidente del consiglio di vigilanza della Bce, in audizione alla Commissione Econ del Parlamento europeo.
“La vigilanza bancaria europea esorta le banche ad affrontare le carenze nella gestione del rischio di credito. Meritano un approfondimento particolare le esposizioni verso il settore immobiliare. L’attuale contesto di tassi di interesse più elevati potrebbe esercitare un’ulteriore pressione al ribasso sui prezzi degli uffici e delle case, rendendo più difficile per i proprietari di immobili commerciali e le famiglie onorare il proprio debito. Le banche dovrebbero tenere conto di questi rischi nelle loro pratiche di accantonamento e nella pianificazione del capitale”, ha detto Enria.
Per S&P Global Ratings le banche Ue sempre più esposte ad attacchi cyber
A Marzo S&P Global Ratings ha condotto un’analisi dal titolo “Cyber risk insights: european banks IT complexity amplizes risk”, sull’esposizione delle banche europee ai rischi di cybersecurity. Secondo l’agenzia di rating, le banche europee sono soggette a un crescente rischio di criminalità informatica e sono potenzialmente vulnerabili a cyberattacchi, per via della complessità generata dalla combinazione di sistemi tecnologici nuovi e tradizionali. Le operazioni bancarie sono intrinsecamente soggette al rischio informatico, a causa del rischio di perdite finanziarie dirette, l’elevato contenuto di dati sensibili, l’esposizione a danni reputazionali e la possibilità di sanzioni normative.
Ecco i punti chiave dello studio.
- La crescente minaccia di attacchi informatici e la rapida digitalizzazione dei servizi finanziari espongono sempre di più le banche europee ai rischi di cybersecurity, nonostante il settore e le autorità di regolamentazione stiano rispondendo.
- Un attacco riuscito può comportare una perdita finanziaria diretta dovuta al furto di fondi, ma anche perdite indirette. Queste ultime possono derivare da richieste di riscatto legate a dati rubati o da danni reputazionali duraturi, che possono portare a deflussi di depositi e influire sull’accesso al mercato del debito, oltre a innescare sanzioni normative.
- Per questo è fondamentale prendere in considerazione la preparazione contro eventuali attacchi informatici nella valutazione dell’affidabilità creditizia di una banca. Un tema su cui influisce negativamente anche la carenza di competenze e investimenti in materia di sicurezza informatica in Europa.
I problemi maggiori? I sistemi End-of-Life e la dipendenza dai colossi del cloud
Spesso le vecchie infrastrutture IT non ricevono più il supporto necessario e questo genera problemi. I cosiddetti sistemi “End-of-Life” (EoL), caratterizzati da linguaggi di programmazione obsoleti, sono più comuni tra le banche incumbent, che presentano un’infrastruttura IT stratificata.
Le operazioni basate su cloud, che consentono l’esternalizzazione sia dell’archiviazione dei dati che della potenza di calcolo, sono emerse rapidamente come fondamento dei nuovi sistemi IT della maggior parte delle banche. Tuttavia, i servizi cloud sono dominati da una manciata di grandi aziende statunitensi, in particolare Google e Amazon, con conseguenti problemi di concentrazione dei servizi che creano una dipendenza operativa potenzialmente pericolosa per il settore bancario europeo.
Quanto può essere dannoso un attacco informatico?
Finora, per S&P, la qualità creditizia delle banche europee è stata poco influenzata dagli incidenti informatici. Ma la criminalità informatica è sempre più sofisticata e le banche restano vulnerabili ai danni derivanti da interruzioni del servizio, perdite di dati, perdite finanziarie e sanzioni normative.
Per accertare la probabile entità del danno derivante da un attacco informatico riuscito a una grande banca, S&P ha strutturato un modello per valutare il costo di un evento improbabile ma significativo presso 94 banche europee con entrate superiori a 1 miliardo di dollari nel 2022.
Questo calcolo, chiamato tail-value-at-risk, misura la perdita media per una grave violazione, con una probabilità dello 0,4% di verificarsi (altrimenti espressa come perdita media per il livello di confidenza del 99,6%).
I risultati mostrano che un istituto potrebbe subire una perdita, direttamente attribuibile all’evento, fino al 7% del suo valore patrimoniale. Una perdita potenzialmente rilevante per la valutazione della qualità creditizia di una banca.