Rafforzare insieme la ciber-resilienza nel settore finanziario

Signora Arni, lei è direttrice dell'associazione «Swiss Financial Sector Cyber Security Centre» (Swiss FS-CSC), fondata quasi due anni fa. Perché il mercato finanziario svizzero necessita di un centro di sicurezza informatica? 

Alexandra Arni: : I rischi informatici sono aumentati e sono diventati una minaccia onnipresente per il settore finanziario. Gli incidenti e gli attacchi informatici che possono ledere la reputazione del settore finanziario svizzero o portare a una grave crisi finanziaria rappresentano una minaccia crescente. Garantire la resilienza è possibile solo attraverso sforzi congiunti e in collaborazione con le autorità: è necessario dunque un partenariato pubblico-privato. Per questo motivo, dopo un intenso lavoro di sviluppo, nella primavera del 2022 gli istituti finanziari e le rispettive associazioni insieme alla Confederazione - in particolare al Centro nazionale per la cibersicurezza (NCSC), oggi Ufficio federale della cibersicurezza (UFCS) - hanno fondato l'Associazione Swiss FS-CSC.

Quali attori sono rappresentati in Swiss FS-CSC e come funziona la collaborazione? 

Alexandra Arni: I membri sono banche, assicurazioni con le rispettive associazioni, SIX e la Banca nazionale svizzera. A livello di Confederazione, sono coinvolti come affiliati l’UFCS, la FINMA e la Segreteria di Stato per le questioni finanziarie internazionali (SFI). 

Il lavoro dell'associazione è ripartito su più organi. Il Comitato direttivo prende le decisioni strategiche e vigila sulla Cellula operativa per la cibersicurezza (Operational Cyber Security Cell, OCS) incaricata dall’associazione. Di questo comitato fanno parte tutti i principali stakeholder (in particolare gli istituti di rilevanza sistemica, le associazioni chiave e i rappresentanti delle autorità citate).   

All'inizio di quest'anno è poi entrato in funzione un altro organo: la Cellula di coordinamento delle crisi (Crisis Coordination Cell, CCC). Questa cellula opera a livello coordinativo e comunicativo in caso di crisi informatica sistemica, fornendo ad esempio supporto per le decisioni, sviluppando soluzioni strategiche per mitigare gli attacchi informatici e raccomandando misure per sostenere la ricostruzione dell'infrastruttura comune.

Un altro organo molto importante è il Gruppo di esperti, composto da esperte ed esperti delle società affiliate, che attualmente è suddiviso in sette Chapter e fornisce consulenza al Comitato direttivo (v. grafico). 

Il Consiglio di amministrazione dell’associazione, che attualmente conta quattro membri (due del ramo bancario e due del ramo assicurativo), e una segreteria completano l’organizzazione. 

Come valuta attualmente il rischio informatico per gli istituti finanziari in Svizzera? È aumentato negli ultimi 1-2 anni?

Alexandra Arni: Il numero di incidenti informatici segnalati all’UFCS in Svizzera è cresciuto notevolmente nell'ultimo anno. Il settore finanziario e soprattutto la sua clientela rappresentano i bersagli principali degli autori degli attacchi: è ciò che mostrano molte campagne di phishing in cui si tenta di rubare i dati delle carte di credito. Le minacce informatiche sono tra i rischi più pericolosi per banche e assicurazioni. Le soluzioni individuali non bastano più, perché le minacce sono troppo complesse e interconnesse. 

In che modo Swiss FS-CSC può generare un valore aggiunto per il settore finanziario? Qual è il suo bilancio intermedio dopo gli ultimi due anni? 

Alexandra Arni: La cibersicurezza richiede un'organizzazione congiunta del settore finanziario, in cui siano coinvolte anche le autorità. Un istituto finanziario da solo non può più garantire la sicurezza.  

I membri di Swiss FS-CSC aumentano la ciber-resilienza del proprio istituto, contribuiscono alla reputazione e alla stabilità del settore finanziario svizzero e agiscono in prima linea per plasmare il futuro della cibersicurezza in Svizzera.

Guardando indietro, sono molto soddisfatta del grande impegno dei membri, della buona collaborazione con la Confederazione e dei risultati ottenuti insieme finora in Swiss FS-CSC. L'associazione è cresciuta e ha acquisito molti nuovi membri; inoltre, dall'autunno scorso è stata completata con successo la creazione della Cellula di coordinamento delle crisi. Partenariato pubblico-privato significa soprattutto collaborazione.
 

«Gli incidenti e gli attacchi informatici che possono ledere la reputazione del settore finanziario svizzero o portare a una grave crisi finanziaria rappresentano una minaccia crescente.»

Alexandra Arni

In quale circostanza l'associazione potrebbe assumere un ruolo primario?  

Alexandra Arni: Se si presenta un incidente informatico sistemico, l'associazione assume insieme alla Cellula di coordinamento delle crisi (CCC) un ruolo guida a livello di coordinamento e di comunicazione. Un incidente informatico sistemico si verifica, ad esempio, quando un istituto di rilevanza sistemica viene colpito da un ciberattacco e questo ha un impatto sul sistema finanziario o sulla stabilità finanziaria: potrebbe essere il caso, ad esempio, di un'infrastruttura importante come il traffico dei pagamenti. In tal caso, l'economia del Paese può subire danni che vanno oltre il settore finanziario. La gestione delle crisi richiede quindi l'impegno congiunto di tutti gli attori principali ed è proprio per questo che abbiamo istituito la Cellula di coordinamento delle crisi.

L'associazione organizza annualmente per i suoi membri delle esercitazioni informatiche a livello strategico e operativo, nel corso delle quali vengono simulati scenari realistici in caso di incidenti informatici. In queste occasioni, offriamo ai membri anche l'opportunità di uno scambio di opinioni tra di loro.  

Quanto è importante la prevenzione? Cosa possono fare gli istituti finanziari per proteggersi dagli attacchi informatici?

Alexandra Arni: La prevenzione è uno strumento importante in termini di cibersicurezza. Occorre sensibilizzare i membri riguardo ai rischi e addestrarli a far fronte alle emergenze. Tramite il Cyber Security Hub (CSH), un sistema d’informazione dell’UFCS, forniamo loro informazioni sulla situazione attuale delle minacce. Inoltre, tramite CSH si tiene uno scambio regolare di informazioni tra i membri, con altre infrastrutture critiche e con le autorità. Vengono effettuate anche delle call mensili con i membri per monitorare la situazione informatica a livello nazionale e internazionale. Oltre a ciò, i membri ricevono informazioni su temi relativi al mondo virtuale da esperti qualificati nell'ambito del ciclo di conferenze «Lecture Series Swiss FS-CSC».

Signor Jaimes, lei è membro del Consiglio di amministrazione di Swiss FS-CSC dalla metà dello scorso anno quale rappresentante dell'Associazione Svizzera d’Assicurazioni (ASA). Come valuta la ciber-resilienza del settore assicurativo svizzero?

Gabor Jaimes: Probabilmente saremo in grado di giudicarla solo in caso di un grave incidente informatico, che, fortunatamente, finora non si è verificato. La maggior parte degli assicuratori e dei riassicuratori investe molto nella propria cibersicurezza. Finora in Svizzera non si sono verificati incidenti gravi, come ad esempio quello avvenuto presso l'assicurazione malattie australiana Medibank. Questa è già una buona notizia. Tuttavia, le aziende devono tenere alta la guardia perché il contesto dei ciber-rischi sta cambiando dinamicamente. Inoltre, molti assicuratori danni vendono alla propria clientela anche coperture assicurative cyber, in quanto di principio i rischi informatici sono assicurabili. Ciò significa che gli assicuratori sono doppiamente esposti ed è probabilmente per questo che sono particolarmente attenti alla tematica.  

«Banche e assicurazioni oggi sono ben preparate. Ora occorre sviluppare gli strumenti che abbiamo creato ed esercitare regolarmente il loro utilizzo.»

Alexandra Arni

Quali sono i vantaggi per i membri di Swiss FC-CSC e in che modo possono dare il loro contributo? Non è sufficiente, ad esempio, che un membro faccia parte dell'ASA o dell'Associazione svizzera dei banchieri affinché tutti gli interessi siano rappresentati presso Swiss FS-CSC?

Gabor Jaimes: L’ASA si concentra sul prodotto assicurativo cyber, mentre Swiss FS-CSC si concentra sul ciber-rischio operativo dei fornitori di servizi finanziari. Sono però due cose distinte: ecco perché consigliamo di aderire anche a Swiss FS-CSC. Oltre a una serie di servizi essenziali, Swiss FS-CSC offre ai suoi membri anche una piattaforma per uno scambio di idee tra loro e con i responsabili cyber/IT del mondo bancario. 

Nel mio ruolo all'interno del Consiglio di amministrazione, rappresento gli interessi degli assicuratori e dei riassicuratori che sono membri di Swiss FS-CSC e incoraggio chi non è membro a prendere in considerazione l'adesione. Perché se si dovesse davvero verificare una crisi informatica non ci sarebbe più tempo per farlo.

Alexandra Arni: Si tratta della ciber-resilienza del settore finanziario nel suo complesso, ossia delle banche e delle assicurazioni, non solo delle loro associazioni. I rischi informatici riguardano in primis i singoli istituti finanziari, perciò devono prendere delle precauzioni. L’associazione Swiss FS-CSC completa questo impegno con la necessaria dimensione della cooperazione, ma non può sostituirsi agli sforzi dei singoli istituti. Pertanto, devono partecipare anche loro.

Anche altri settori di rilevanza sistemica, come il settore energetico o quello ospedaliero, si stanno unendo in un’associazione alla stregua dello Swiss FS-CSC? Il settore finanziario è un precursore?

Gabor Jaimes: Per quanto riguarda la collaborazione con la Confederazione, in effetti Swiss FS-CSC è un pioniere. Il modello è però pensato anche per altri settori. Come ho appreso dall'Ufficio federale della cibersicurezza, si sta già tentando di estendere il modello ad altri settori di rilevanza sistemica. Swiss FS-CSC offre volentieri il proprio supporto e mette a disposizione la sua preziosa esperienza. 

«La natura dinamica dei ciber-rischi continuerà a sollecitare il settore finanziario e a richiedere degli adeguamenti della resilienza.»

Gabor Jaimes

1Quali sono le sfide future per il settore finanziario in termini di ciber-rischi? Come può Swiss FS-CSC rafforzare la ciber-resilienza del settore finanziario in futuro?

Gabor Jaimes: La natura dinamica dei ciber-rischi continuerà a sollecitare il settore finanziario e a richiedere degli adeguamenti della resilienza. Il settore gestisce flussi di denaro globali e questo lo rende un bersaglio interessante per i criminali informatici. È improbabile che questa situazione cambi nel prossimo futuro. 
A metà maggio 2024 si terrà un’esercitazione strategica rivolta a tutti i membri per gestire le crisi informatiche: verranno simulati i possibili scenari sulla base dei piani di gestione delle crisi elaborati.

In futuro, Swiss FS-CSC creerà una rete anche a livello internazionale, perché i ciber-rischi non conoscono limiti geografici. Al momento, però, l’attenzione è rivolta alla Svizzera e al Liechtenstein: infatti, ora anche i fornitori di servizi finanziari del Liechtenstein possono diventare membri di Swiss FS-CSC.  

Alexandra Arni: Siamo sulla buona strada: banche e assicurazioni oggi sono ben preparate. Ora occorre sviluppare gli strumenti che abbiamo creato ed esercitare regolarmente il loro utilizzo. Le esercitazioni informatiche a livello strategico e operativo rimarranno quindi un elemento importante delle nostre attività anche in futuro. Stiamo inoltre cercando di acquisire altri membri, poiché maggiore è la copertura del settore finanziario, più forte è la ciber-resilienza.