Nuovi requisiti e nuovi standard di Cybersicurezza per l’accesso al credito bancario « LMF Lamiafinanza

Nuovi requisiti e nuovi standard di Cybersicurezza per l’accesso al credito bancario

— a cura del Prof. Marco Bacini
Direttore Master Intelligence per la Sicurezza Nazionale e Internazionale —

Le banche stanno modificando profondamente i propri criteri di valutazione del rischio, introducendo la cybersicurezza come uno dei fattori fondamentali nella concessione di prestiti. Se tradizionalmente il focus è sempre stato posto su elementi finanziari come la solvibilità e la redditività dell’azienda, oggi la protezione contro le minacce informatiche è considerata altrettanto fondamentale per determinare la stabilità a lungo termine di un’impresa.

Questo cambiamento è guidato dalla crescente consapevolezza delle banche riguardo ai pericoli derivanti dagli attacchi informatici e alle potenziali ripercussioni che una violazione della sicurezza potrebbe avere sull’economia di un’impresa.

Le normative in materia di cybersicurezza stanno diventando sempre più stringenti, e le istituzioni finanziarie non possono più ignorare i rischi legati alla protezione dei dati. In Europa, la direttiva NIS2 impone alle imprese di settori critici (ma non solo) di implementare adeguate misure di protezione informatica. Di conseguenza, le banche si trovano oggi sempre più nella necessità di valutare, oltre ai tradizionali indicatori finanziari, anche la capacità delle aziende di difendersi dalle minacce digitali.

Le vulnerabilità informatiche non riguardano solo la possibilità di danni diretti derivanti da attacchi. In molti casi, le aziende con scarse difese informatiche rischiano danni reputazionali che potrebbero compromettere la loro capacità di generare ricavi e di mantenere relazioni commerciali solide. Questo rende necessario un approccio preventivo e proattivo alla sicurezza, un approccio quindi che non solo protegga i dati sensibili, ma che garantisca anche la continuità operativa e la fiducia dei clienti e dei partner.

Un passo importante in questa direzione è rappresentato dalla Digital Operational Resilience Act (DORA), una regolamentazione dell’Unione Europea che impone alle istituzioni finanziarie di implementare misure di resilienza operativa digitale. La DORA si concentra sull’individuazione, gestione e mitigazione dei rischi informatici, stabilendo requisiti specifici per garantire la continuità dei servizi finanziari in caso di attacchi informatici. Questo quadro normativo rafforza ulteriormente l’idea che la cybersicurezza non sia più un’opzione, ma un requisito determinante per la stabilità del sistema finanziario.

In parallelo, un altro strumento di rilevante importanza è il TIBER-EU (Threat Intelligence-Based Ethical Red Teaming for Europe), un programma che consente alle istituzioni finanziarie di testare la propria resilienza attraverso simulazioni realistiche di attacchi informatici. Il TIBER-EU permette alle banche e alle altre entità finanziarie di identificare le proprie vulnerabilità attraverso esercizi mirati, in modo da adottare misure preventive e migliorare la propria difesa. Il programma si basa su un approccio etico, in cui esperti di cybersicurezza tentano di “attaccare” l’organizzazione in modo controllato, fornendo feedback concreti per migliorare la protezione dei sistemi.

Per le banche, integrare la cybersicurezza nel processo di valutazione del credito è quindi una sfida complessa, ma non impossibile. Diverse istituzioni stanno sviluppando sistemi di scoring specifici per la valutazione dei rischi informatici, integrando audit esterni e valutazioni dei piani di sicurezza aziendali. Questo consente di ridurre il rischio di esposizione a violazioni e di offrire prestiti solo a quelle imprese che dimostrano un impegno serio nella protezione dei dati.

Da un lato, l’introduzione della cybersicurezza come requisito per l’accesso al credito ha il potenziale di migliorare la protezione delle informazioni e la gestione del rischio a livello globale, dall’altro potrebbe rappresentare una barriera per le piccole e medie imprese, che potrebbero non disporre delle risorse necessarie per adeguarsi a questi nuovi standard. Le PMI, infatti, sono spesso le più vulnerabili, sia per la mancanza di competenze che per la scarsità di budget dedicato alla sicurezza informatica.

Le politiche pubbliche potrebbero intervenire per sostenere queste realtà, promuovendo maggiori programmi di formazione e incentivi per implementare sistemi di cybersecurity nelle PMI. La creazione di partnership tra il settore pubblico e privato potrebbe facilitare l’adozione di pratiche di cyber-hygiene anche per le piccole imprese, riducendo così il gap tra grandi aziende e realtà più piccole.

La richiesta sempre più forte di standard elevati in materia di cybersicurezza come prerequisito per il credito, non è solo una reazione alle minacce informatiche, ma anche un’opportunità per costruire un sistema economico più sicuro e resiliente. Le imprese che sapranno rispondere a questa sfida, investendo in adeguate soluzioni di difesa e prevenzione (cyber intelligence) non solo potranno accedere più facilmente al credito, ma contribuiranno anche a rafforzare la sicurezza complessiva del sistema economico globale.