Torniamo a parlare delle sfide che dovrà affrontare il fintech nei prossimi anni, tra queste la sicurezza informatica è un tema molto importante e urgente, attinente alla protezione dei dati e delle transazioni finanziarie che avvengono attraverso le tecnologie digitali. Alcuni dei principali rischi cyber che il fintech si trova a sfidare sono:
Le frodi online: si tratta di attività illecite che mirano a trarre in inganno i clienti o le aziende fintech per ottenere vantaggi finanziari. Queste attività possono includere phishing, spoofing, malware, ransomware, social engineering, ecc. Queste frodi possono causare perdite finanziarie, danneggiare la sicurezza delle transazioni e minare la fiducia dei clienti.
La non conformità: si tratta della mancata osservanza delle normative vigenti in materia di sicurezza informatica e protezione dei dati da parte delle aziende fintech. Queste normative possono variare a seconda del paese o della regione in cui operano le aziende fintech, e possono richiedere requisiti specifici come il Know Your Customer (KYC), il General Data Protection Regulation (GDPR), il Payment Services Directive 2 (PSD2), ecc. Questa non conformità può esporre le aziende fintech a sanzioni legali, multe e perdita di licenze.
Le violazioni dei dati: si tratta di attacchi informatici che mirano a rubare o compromettere i dati sensibili dei clienti o delle aziende fintech, come le informazioni personali, le credenziali di accesso, i dati delle carte di credito, ecc. Questi attacchi possono causare danni economici, legali e reputazionali alle vittime, oltre a violare la privacy e la fiducia dei clienti.
Misure di sicurezza
Per mitigare questi rischi, le aziende fintech devono adottare delle misure di sicurezza informatica efficaci ed adeguate al loro livello di esposizione e criticità. Alcune di queste misure sono:
La cifratura: si tratta di un processo che trasforma i dati in un formato illeggibile per chi non dispone della chiave di decifratura. La cifratura è utile per proteggere i dati in transito e in archivio da accessi non autorizzati o modifiche illecite.
L’autenticazione: si tratta di un processo che verifica l’identità di un utente o di un dispositivo che richiede l’accesso a un servizio o a una risorsa. L’autenticazione è utile per prevenire gli accessi non autorizzati o fraudolenti ai dati o alle transazioni.
La gestione degli accessi: si tratta di un processo che definisce chi può accedere a quali dati o risorse e con quali livelli di autorizzazione. La gestione degli accessi è utile per limitare gli accessi ai soli soggetti legittimati e monitorare le attività svolte.
La formazione del personale: si tratta di un processo che mira a sensibilizzare e istruire il personale delle aziende fintech sulle buone pratiche e le normative in materia di sicurezza informatica e protezione dei dati. La formazione del personale è utile per prevenire errori umani o comportamenti negligenti che possano compromettere la sicurezza informatica.
Normative da rispettare
La sicurezza informatica per il fintech, come abbiamo detto, richiede il rispetto di diverse normative vigenti a livello nazionale ed europeo. Alcune delle principali normative che regolano la sicurezza informatica per il fintech sono:
La Direttiva NIS 2 (Network and Information Security Directive 2), che è stata proposta dalla Commissione Europea nel dicembre 2020 e che mira a rafforzare il livello di sicurezza informatica nell’Unione Europea, ampliando il campo di applicazione della precedente Direttiva NIS del 2016. La Direttiva NIS 2 prevede l’obbligo per gli Stati membri di designare delle autorità nazionali competenti per la sicurezza informatica, di istituire dei team di risposta agli incidenti informatici (CSIRT), di adottare delle strategie e dei piani nazionali per la sicurezza informatica, e di stabilire dei requisiti minimi di sicurezza e di notifica degli incidenti per gli operatori di servizi essenziali e per i fornitori di servizi digitali. Tra questi ultimi, rientrano anche i prestatori di servizi finanziari, come le banche, le assicurazioni, le società di investimento, le piattaforme di trading online, i gestori di fondi, i prestatori di servizi di pagamento e i fornitori di servizi tecnici per il settore finanziario.
Il Regolamento DORA (Digital Operational Resilience Act), che è stato proposto dalla Commissione Europea nel settembre 2020 e che mira a creare un quadro armonizzato per la resilienza operativa digitale degli operatori del settore finanziario nell’Unione Europea. Il Regolamento DORA prevede l’obbligo per gli operatori finanziari di adottare delle misure proporzionate e adeguate per gestire i rischi informatici, tra cui la valutazione dei rischi, la gestione degli incidenti, il testing, l’audit interno e la governance. Il Regolamento DORA prevede anche l’obbligo per gli operatori finanziari di monitorare e supervisionare i fornitori di servizi tecnici critici, come i cloud service provider, i software provider, i data analytics provider, ecc. Il Regolamento DORA prevede inoltre la creazione di un Comitato congiunto per la resilienza operativa digitale (Joint Committee on Digital Operational Resilience), composto dalle Autorità Europee di Vigilanza (EBA, EIOPA, ESMA) e dalla Banca Centrale Europea (BCE), con il compito di coordinare le attività di vigilanza e regolamentazione in materia di sicurezza informatica per il settore finanziario.
Il Regolamento GDPR (General Data Protection Regulation), che è entrato in vigore nel maggio 2018 e che mira a garantire la protezione dei dati personali dei cittadini dell’Unione Europea. Il Regolamento GDPR prevede l’obbligo per i titolari e i responsabili del trattamento dei dati personali di adottare delle misure tecniche e organizzative appropriate per garantire un livello adeguato di sicurezza dei dati personali, tenendo conto dei rischi presentati dal trattamento. Il Regolamento GDPR prevede anche l’obbligo per i titolari e i responsabili del trattamento dei dati personali di notificare alle autorità competenti e agli interessati gli eventuali incidenti che comportino una violazione dei dati personali. Il Regolamento GDPR prevede inoltre il diritto degli interessati di accedere ai propri dati personali, di rettificarli, cancellarli, limitarne il trattamento, opporsi al trattamento e trasferirli ad altri titolari o responsabili del trattamento.