Innovazione Tecnologica e Cybersecurity nel Sistema Finanziario
Dott. BORIS GIANNETTO – BANCA D’ITALIA
Atti di conferenza – Speech @ Cyber Security Virtual Conference 2021
Il video completo dell’intervento disponibile a fondo pagina.
Bentrovati.
Sono Boris Giannetto, mi occupo di cybersecurity, threat intelligence e cyber resilience nel Servizio Supervisione Mercati e Sistemi di Pagamento della Banca d’Italia.
Ringrazio molto gli organizzatori per la cordiale ospitalità e saluto calorosamente, ancorché a distanza, tutti i partecipanti.
Nel mio intervento tratterò il tema dell’innovazione tecnologica nel sistema finanziario, con particolare attenzione agli aspetti di cybersecurity.
Nuovi modelli di sicurezza (e di resilienza) per nuovi ecosistemi finanziari e tecnologici
Un riferimento preliminare all’emergenza pandemica. La pandemia, fenomeno ampiamente prevedibile e previsto in diversi rapporti antecedenti alla crisi, ha indubbi impatti su tutti gli elementi della nostra trattazione.
Tuttavia, cercheremo qui di seguire un approccio ristretto alla materia, concentrandoci su aspetti peculiari, intrinseci e di lungo periodo riguardanti l’innovazione e la sicurezza nel comparto finanziario.
Un unico cenno all’impulso dato dalla pandemia alla già crescente digitalizzazione, che sarà verosimilmente resa ancora più energica dalla implementazione di piani nazionali e transregionali, volti a promuovere la ripresa economica e la resilienza.
Il fil rouge del mio intervento lega l’innovazione tecnologica al sistema finanziario su due piani, distinti per ordine logico e teorico, ma interrelati nella pratica: sicurezza cibernetica e sicurezza tout court. Questi due piani si compenetrano e si condizionano vicendevolmente.
Lo sviluppo incessante di nuove tecnologie, è sempre più accompagnato dalla crescita di nuovi prodotti e servizi finanziari. Le nuove tecnologie sono via via più collegate al mondo della finanza.
Il ricorso a nuove tecnologie applicate ai servizi finanziari crea un ecosistema nuovo, fluido e in costante mutamento, che vede spesso la disintermediazione delle entità finanziarie classiche. La digitalizzazione amplifica l’accesso ai servizi finanziari e bancari da remoto. Tutti questi aspetti hanno una indubbia rilevanza nel rapporto tra tecnologie, finanza e sicurezza.
La sicurezza non è più un aspetto ancillare; essa diviene un asset intrinseco alle infrastrutture e ai servizi, una sorta di commodity. Occorre sviluppare nuovi modelli di sicurezza (e di resilienza) per tenere il passo a nuovi ecosistemi finanziari e tecnologici.
Aspetti definitori. Esempi di applicazione di nuove tecnologie a infrastrutture, prodotti e servizi finanziari
Per comprendere le interconnessioni tra fenomeno tecnologico, sicurezza e sistema finanziario, dobbiamo innanzitutto partire da alcuni aspetti concettuali e definitori.
Con riguardo al tema dell’innovazione tecnologica, spesso vi è una commistione semantica tra le tecnologie in senso stretto da una parte – intese come strumenti o mezzi di connessione e computazione – e dall’altra le tecniche, le discipline e i metodi che poggiano su questi strumenti. Qui intendiamo entrambi gli aspetti. Fenomeni anticipati decenni fa, come quello della convergenza tecnologica, si sono nel frattempo pienamente sviluppati.
Quanto al cyber, spazio globale interconnesso di tecnologie, Internet e reti, calcolatori e dispositivi etc., è ormai dominio trasversale, crocevia di molteplici azioni e interessi. Entreremo tra poco nel merito della materia.
La sicurezza indica etimologicamente una condizione ideale di assenza di preoccupazioni e pericoli; va però concretamente vista come condizione ottimale di prevenzione e reazione.
Il sistema finanziario è tecnicamente da intendersi come un sistema complesso, ovvero caratterizzato da una grande quantità e varietà di interdipendenze non lineari tra i singoli elementi che lo compongono; piccoli eventi e minime perturbazioni possono provocare grandi impatti e ricadute di tipo sistemico, con problemi ad esempio di accesso alla liquidità o di esecuzione di pagamenti. La trasmissione di tali eventi tra i nodi della rete è peraltro caotica, nell’accezione scientifica del termine.
Il sistema finanziario è costituito da un insieme articolato e interconnesso di attori e di elementi. Vi sono datori di fondi e prenditori di fondi (es. famiglie e imprese); intermediari finanziari (es. banche, assicurazioni,
società di gestione del risparmio, società di intermediazione mobiliare etc.); mercati (monetario, finanziario, dei cambi); infrastrutture, piattaforme e sistemi di pagamento; strumenti e prodotti scambiati sui mercati; Autorità di vigilanza, supervisione e sorveglianza (es. Banca d’Italia, CONSOB, IVASS, AGCM).
Parlando di innovazione tecnologica in campo finanziario occorre certamente partire dalla Fintech. In sintesi, nuove tecnologie applicate alla finanza. In un senso più generale, ci si riferisce a prodotti e servizi finanziari che prevedono l’impiego di avanzate tecnologie dell’informazione e della comunicazione.
Breve parentesi. La Banca d’Italia è molto attiva nel campo dell’innovazione finanziaria e in materia di Fintech: c’è il Milano Hub sull’innovazione, un Canale Fintech, una Divisione Fintech. Su questi temi l’istituto opera anche in seno al Comitato sulla Stabilità Finanziaria, al Comitato di Basilea, alla Banca Centrale Europea (BCE), all’Autorità Bancaria Europea (EBA) e all’Autorità Europea degli Strumenti Finanziari e dei Mercati (ESMA).
Le aree maggiormente interessate dal fenomeno Fintech sono: i pagamenti, la gestione degli assets, la gestione del risparmio e del credito, il trading, l’insurtech (in campo assicurativo), il regtech (per la parte regulatory), il suptech (per la parte supervision), il crowdfunding.
Le principali tecnologie impiegate in campo Fintech, vanno dall’artificial intelligence (AI) alla big data analysis, dalla robotic process automation (RPA) al distributed ledger technology (DLT) e alla blockchain (la dottrina distingue la seconda come sotto-insieme del primo), dal machine learning (ML) alla realtà aumentata (AR), dalle reti neurali (NN) fino agli algoritmi HFT (high frequency trading).
Molte Istituzioni finanziarie hanno da tempo avviato iniziative e progetti concreti in campo Fintech (oltre a Banca d’Italia, ad esempio anche la CONSOB). Il mercato europeo su questo fronte è ora in una fase di recupero rispetto a Stati Uniti d’America e Asia (in queste aree, la forte espansione è data anche dal maggiore utilizzo di app e dispositivi mobili per i pagamenti, in luogo di contante e carte). L’interesse verso questo comparto è stato manifestato anche da parte delle cosiddette Big Techs (con iniziative concrete, progetti di lending, piattaforme di pagamento, carte etc.).
Sul fronte banche, assicurazioni, organizzazioni finanziarie in genere, si assiste a fenomeni di partnership sul fronte Fintech, con avvio di collaborazioni ex novo o in itinere con società specializzate. Si pensi ad esempio alle partnership tra grandi gruppi attivi nel comparto dei pagamenti digitali, con gestori di piattaforme di criptovaluta. L’elemento che emerge è che le entità finanziarie classiche – anche a fronte di incertezza circa la effettiva solidità e gli sviluppi futuri del comparto – investono e diversificano rispetto alle attività ordinarie.
Diverse proiezioni prevedono per i prossimi anni ingenti investimenti in tecnologie blockchain in America, Europa e Asia, sia nel pubblico sia nel privato.
Ma le tecnologie avanzate non vengono applicate soltanto a prodotti e servizi. Esse interessano anche le infrastrutture sulle quali poggiano i prodotti e i servizi finanziari.
A questo riguardo, tecnologie offerte da terze parti per la gestione di piattaforme sono ampiamente impiegate in campo finanziario. Se da un lato alcune di queste tecnologie vengono specificatamente sviluppate per alcuni servizi e strumenti finanziari, dall’altro alcune di esse hanno una gestazione autonoma; soltanto in seguito vengono applicate alla finanza. Si va da ambienti cloud a piattaforme di threat intelligence.
Alcune tecnologie sono poi ancora in fase di sviluppo o consolidamento, e potranno – verosimilmente in un prossimo futuro – arrecare benefici (o anche minacce) al comparto finanziario, sia direttamente sia indirettamente.
Pensiamo ai supercomputer, ai computer quantistici e alle quantum networks, alle connessioni spaziali laser o ad altre tecnologie collegate allo sfruttamento delle risorse dello spazio extra-atmosferico.
Vi sono poi frontiere nuove o ancora non completamente esplorate. Pensiamo al cognitive computing, ad alcuni sistemi cyber-fisici, alle neuro-tecnologie, che per loro natura si potrebbero prestare a un impiego in campo finanziario, soprattutto in ragione della velocità e duttilità di utilizzo. Le interfacce e gli impianti di ingegneria neurale, ad esempio, attraverso i comandi e le interazioni simbiotiche uomo-macchina potrebbero avere un ruolo sia nella parte di analisi, sia nel trading.
Qui, come vedremo, possono sorgere diverse questioni, di varia natura. Questo ci porta ad introdurre il tema della sicurezza.
Sicurezza cibernetica: considerazioni sui trend
L’evoluzione degli ecosistemi tecnologici e finanziari implica la necessità di sviluppare nuovi modelli di cybersecurity e di cyber resilience. Il contesto nel quale operiamo è peraltro sempre più complesso: vi è concomitanza e interconnessione di minacce. Aumentano le minacce cosiddette ibride.
La componente cyber è sempre più interrelata a elementi di finanza, economia, tecnologia, geopolitica, intelligence. Per far fronte a tutto questo occorre mettere in campo analisi sistemiche di scenario (SSA).
Le operazioni cibernetiche “below the threshold” (sotto soglia), non sempre sono agevolmente rilevabili. Spesso non sono affatto rilevate (o vengono scoperte soltanto molto tempo dopo). Vi è un problema di detection. Si corre ai ripari spesso tardi e gli impatti sono a volte seri. Problema della remediation.
Tali operazioni comunque, anche se rilevate, non sono quasi mai attribuibili oltre il mero livello di plausibilità. Problema dell’attribution. Il reperimento di smoking guns (prove certe) non è sempre agevole nel dominio cyber, se non con attività di SIGINT e HUMINT, prerogative delle agenzie di intelligence. L’offuscamento e l’anonimizzazione delle azioni cyber è invece piuttosto semplice e diffuso. Le false flags sono all’ordine del giorno. Tutto questo rende profittevole fare ricorso allo strumento cyber per azioni malevole.
Un nodo da sciogliere è quello dell’impiego di persone con competenze multidisciplinari in campo cyber, dotate di esperienza sul campo e soprattutto di doti quali intuito, capacità di analisi e investigativa.
Mantenendo la narrazione su due piani, parliamo qui di implicazioni di sicurezza cibernetica.
In tema di cybersecurity, nelle sue varie declinazioni, l’obiettivo di alto livello rimane la difesa del perimetro costituito da patrimonio, compiti e reputazione.
Tale difesa ruota attorno a due pilastri, prevenzione e reazione. Due tra gli strumenti principali che ci vengono in aiuto in questo frangente sono sicuramente la threat intelligence e la cyber resilience.
Senza poter entrare qui nel merito di queste discipline, pare utile sottolineare che i lodevoli tentativi di ordinare questa materia con standardizzazioni e framework, vanno costantemente accompagnati da previsioni ed interventi ad hoc, mirati per ciascuna organizzazione.
Un altro elemento da tenere presente, in un contesto complesso e in continua evoluzione, è l’adozione di un approccio “zero trust” in materia di cybersecurity, partendo dal presupposto che vulnerabilità e intrusioni all’interno del perimetro da difendere possono sempre essere presenti. Tale impostazione è stata promossa anche di recente dalla NSA (national security agency) statunitense.
Vediamo ora nel dettaglio alcune implicazioni di cybersecurity derivanti dall’introduzione di specifiche tecnologie nel comparto finanziario.
Sfide di cybersecurity derivanti da Distributed Ledger Technologies (DLTs)
Innanzitutto le sfide di cybersecurity derivanti da Distributed Ledger Technology (DLT).
Breve inciso. In soldoni e semplificando, con “DLT” ci riferiamo a un protocollo che consente il funzionamento di un database digitale decentralizzato, basato su transazioni crittografate.
In materia di DLT rilevano sia temi di cybersecurity generale, sia aspetti peculiari.
Tra i temi di cybersecurity ordinaria da tenere presenti vi è sicuramente l’identification and access management (IAM): quello della identificazione e della gestione degli accessi è un punto fondamentale; occorre prevedere ed implementare sistemi di autenticazione forte, a più fattori e possibilmente ibridi, con impiego di diversi metodi e tecnologie.
Questo tema si lega a quello della crittografia; si pensi alla obsolescenza delle funzioni crittografiche di hash; allo sviluppo di nuova capacità di computazione in grado di scardinare gli attuali schemi di fattorizzazione (si parlerà più avanti di supercomputer e quantum computers).
Sempre sul fronte cybersecurity classica, rilevano gli aspetti di sicurezza legati alla privacy, con riguardo al mantenimento della riservatezza, alla possibilità di risalire agli IP sorgente etc; ma sono anche da rilevare i problemi derivanti da una eccessiva anonimizzazione, per via di possibili traffici illeciti, riciclaggio etc. (anche questo punto, lo vedremo tra poco).
Altro tema classico è quello del data integrity: ancorché in tali ambienti questa componente è maggiormente tutelata rispetto ad altri. Conviene a tal proposito sempre considerare unitamente, anche in questo caso, i tre parametri CIA, confidentiality, integrity, availability.
Sul fronte business continuity classica, la struttura decentralizzata del DLT – si pensi ad esempio a blockchain pubbliche – consente una solida e intrinseca ridondanza, con migliaia di nodi di rete disponibili. Per le blockchain private, è utile fare ricorso a una segmentazione geografica e a una ridondanza su ambienti sicuri separati (tipo VPN).
Questo ci porta ad altri aspetti di sicurezza specifici per DLT: si pensi ai “consensus attacks” (“consensus”, insieme di regole di convalida che forniscono a partecipanti indipendenti la capacità di verificare la validità e l’integrità delle registrazioni delle transazioni su un libro mastro). Alcuni esempi ne sono il “consensus hijacking” tramite ad esempio il “51% attack” con controllo della maggioranza dei validatori su reti permissionless pubbliche o il regulator’s exploitation attack su reti permissioned private. Gli attacchi contro gli algoritmi che governano il consensus possono comunque agire su diversi entry points come reti, nodi, utenti e codice.
I meccanismi di manipolazione del consensus possono portare a trasferimenti non autorizzati di risorse digitali, censura non autorizzata delle transazioni, doppia spesa o interruzione operativa della convalida della transazione etc.
Altri aspetti specifici per DLT. Vi può essere DDoS tramite spam transactions – transazioni fittizie che inondano e saturano la rete.
Può essere compromessa la sicurezza del codice degli smart contracts, con attacchi al chaincode (come presidio, in ambito smart contracts sono ormai da tempo sviluppati tools per l’analisi e lo scanning del protocollo connesso al contratto).
Un altro elemento da tenere in considerazione, è l’interoperabilità dei protocolli di diverse DLT; DLT scarsamente interoperabili o totalmente non interoperabili arrecano diversi problemi di usabilty ma anche di security.
Altro tema è quello dei cryptojacking malwares, finalizzati all’estrazione di criptomoneta da parte di miners. Qui il problema sta nel rilevare l’abuso di risorse computazionali sui devices.
Altro fenomeno rilevante è il furto di criptomoneta dai wallets (vi sono diversi malwares con impiego di codice malevolo che utilizzano zero-day exploits; in ascesa i python-based trojans). Per contro, vanno sempre più prendendo piede efficaci algoritmi di machine learning che aiutano nella fase di detection per entrambi i tipi di attacco, anche a fronte di sofisticate tecniche di evasione e offuscamento.
Un ultimo aspetto al quale si è fatto cenno, è quello della tracciabilità. Ancorché le attività illecite (di diversa natura) siano di per sé tracciabili, esse non sempre sono intercettabili sul nascere. Le singole investigazioni o operazioni più ampie di AML (Anti-Money Laundering) risultano essere time critical.
In considerazione di questi aspetti, in materia di DLT, temi che rimangono aperti e che vanno potenziati, sono:
- il rafforzamento di misure riguardanti l’identificazione, l’autenticazione e l’accesso;
- il miglioramento nella conservazione delle informazioni e dell’integrità dei dati;
- lo sviluppo di standards per rimuovere i dati dai ledgers;
- lo sviluppo di tecnologia per rendere più tempestivo il monitoraggio delle attività illegali;
- interoperabilità tra diversi protocolli di ledger;
- crittografia (anche post-quantistica);
- rafforzamento dei vincoli di privacy negli smart contracts;
- parametri legali e di governance per i ledgers;
- irrobustimento dei meccanismi per l’integrità del consensus;
- gestione dei wallets con chiavi multiple;
- sicurezza della rete e degli endpoints.
ENISA, qualche anno fa ha trattato in uno studio molte di queste questioni, che rimangono ancora attuali, anche se in parte sono state affrontate.
Sfide di cybersecurity derivanti dal cloud e da piattaforme di terze parti
Cloud. Qui, considerando le molteplici e variegate declinazioni possibili per gli ambienti cloud (pubblico, privato, ibrido con edge computing etc.), vi sono sfumature differenti in merito alla sicurezza, ma alcune questioni sono valide in generale.
Questioni specifiche. La sicurezza ruota spesso attorno ai poli provider e cliente. Un possibile problema nella esternalizzazione di servizi in cloud, specie in campo finanziario è la possibilità di controllo effettivo ed esclusivo – sottolineo controllo effettivo ed esclusivo – su tutti i processi e i dati in cloud (con preservazione di tutti i parametri CIA – confidentiality, integrity, availability). Un altro aspetto specifico è quello delle possibili errate configurazioni nell’ambiente cloud, che possono portare a vulnerabilità e a incidenti di sicurezza. Altro problema, arrivato alla ribalta per episodi di cronaca, la sicurezza fisica degli ambienti cloud e le possibili ripercussioni. Una questione di tipo gestionale, è la difficoltà di uscire da fenomeni di lock-in specie per servizi infungibili. Ultimo elemento, i dati strategici, sensibili o segreti: qui vi è ampio dibattito sull’approntamento di cloud interamente nazionali (strada non sempre semplice a livello tecnico, si veda l’esperimento di alcuni Stati).
Molti analisti propongono comunque diverse soluzioni per la risoluzione della maggior parte delle questioni indicate e ritengono il cloud una risorsa valida anche sotto il profilo della sicurezza.
Per la parte piattaforme di terze parti, ad esempio su threat intelligence e TIP, oltre ai classici aspetti di cybersecurity, occorre ben ponderare le possibili interferenze di tipo geopolitico sui feeds di terze parti e il possibile data poisoning sui dati grezzi e sulle informazioni fornite.
Sfide di cybersecurity derivanti da artificial intelligence (AI)
Tra le sfide derivanti dall’AI, il tema del rapporto uomo-macchina è centrale, così come lo sono le questioni etiche e quelle relative alla privacy. Le misure proposte recentemente dalla commissione europea sembrano confermare questa centralità. Al riguardo, è opportuno che l’impiego di sistemi di intelligenza artificiale e annessi tenga conto di vincoli e paletti sul fronte libertà e diritti individuali, evitando scenari distopici di orwelliana sorveglianza di massa, con eventuale acquisizione preventiva e inconsapevole di dati biometrici e riconoscimento facciale; riconoscimento facciale considerato possibile anche in Europa, ma con diversi limiti. Su tali limiti, si vedano le recenti proposte della commissione europea (comunicazione, piano e regolamento), che rilevano una serie di rischi per la sicurezza e per i diritti fondamentali degli individui (e a contrario, si veda la lista di casi nei quali è considerata possibile l’identificazione biometrica da remoto).
A questi rischi di sicurezza – che attengono alla sicurezza degli individui che utilizzano o interagiscono con sistemi di intelligenza artificiale – se ne aggiungono altri.
Alcuni aspetti umani, quali coscienza, ingegno, intuito, inventiva, capacità investigativa, stima emozionale del contesto, valutazione etica nella fase decisionale o di analisi et cetera. Sono caratteristiche difficilmente replicabili. E se in parte replicabili, possono rivelarsi critiche. Il dibattito, anche scientifico, sui limiti dell’artificial intelligence è aperto (invero lo è già dai tempi del test di Turing).
In campo finanziario l’utilizzo degli algoritmi di intelligenza artificiale può riguardare ad esempio ispezioni, analisi di big data (si pensi alla profilazione), trading (si pensi all’algo-trading), transazioni finanziarie (si pensi ai robo-advisors), pagamenti in genere, controlli su piattaforme finanziarie, questionari al personale, test sui sistemi, shock test e test sugli algoritmi eccetera.
Anche in tema di AI, sul fronte sicurezza cibernetica valgono sia i classici presìdi invalsi a livello internazionale, sia valutazioni specifiche; occorre in primo luogo considerare e vagliare le possibili criticità derivanti dalla porzione di autonomia della macchina; in sintesi occorre ponderare i meccanismi endogeni di auto-controllo ed esogeni di controllo; potenziali problemi: possibilità di alterare gli algoritmi alla base della sua intelligenza (soprattutto nella fase decisionale); effetti di imponderabilità delle decisioni prese (scarso controllo e previsione sulla fase decisionale); problemi di privacy e di utilizzo per i dati personali e sensibili acquisiti dalla macchina; rischi per interazione uomo-macchina (riconoscimento facciale, manipolazione del comportamento umano, restrizione del libero arbitrio et alia).
Sfide di cybersecurity derivanti da machine learning (ML) e reti neurali (NN)
Machine learning e reti neurali. Su questo fronte, le implicazioni di sicurezza sono già all’ordine del giorno. Attacchi contro gli algoritmi di auto- apprendimento (ad esempio di un SIEM – security information and event management – di un sistema XDR – extended detection & response – o di una TIP – threat intelligence platform) sono non soltanto possibili, ma anche estremamente pericolosi; si pensi al data poisoning su machine learning con manipolazione degli algoritmi di apprendimento e manipolazione di informazioni
– tecnica peraltro già impiegata; gli effetti che questa può avere in campo finanziario sono potenzialmente devastanti (con conseguenze finanche maggiori rispetto alla esfiltrazione di dati e informazioni).
In materia di reti neurali, ammesso che si possa arrivare a modelli che mimino lontanamente la complessità delle reti neurali biologiche, si assiste anche qui a possibili problemi di sicurezza derivanti in sostanza da manipolazione di informazioni, nel caso di specie adversarial examples, che mirano a confondere
i pattern della rete neurale. Si pensi ai possibili danni derivanti dall’uso di questi attacchi contro neural networks impiegate in modelli stocastici per le previsioni finanziarie. Anche l’hackeraggio mirato della rete neurale e l’inserimento in essa di backdoor sono pratiche possibili.
Sfide di cybersecurity derivanti da supercomputer (SC), quantum computers (QC), quantum techs (QT), tecnologie spaziali e altre tecnologie
Parliamo in questa sezione di deep techs. Tecnologie chiave per il presente e per il futuro. Dal punto di vista strategico ci riferiamo a disruptive technologies.
I super computer sono impiegati ormai da tempo da governi, istituti di ricerca e grosse aziende. Il loro impiego è questione corrente. I quantum computers continuano a dare risultati promettenti in diverse aree del globo. Non bisogna dimenticare i fronti delle quantum networks o del quantum Internet. Quindi è bene parlare in genere di quantum techs.
Quali sono qui le principali implicazioni di cybersecurity?
Crittografia, possibilità di elevatissime capacità computazionali, possibile crisi di sistemi classici basati su fattorizzazione di numeri primi a 200 cifre (tipo RSA).
Rimedi: sviluppo di tecniche di post-quantum cryptography e di distribuzione quantistica delle chiavi. Non dico qui nulla di nuovo. Il tema è però fondamentale.
Su tecnologie e connessioni spaziali. Spesso queste tecnologie sono serventi. Il loro ruolo è sovente di supporto alle altre tecnologie “terrestri”. Si pensi alle telecomunicazioni. In molti casi, le tecnologie sviluppate per specifici usi in ambito spazio hanno un successivo riutilizzo e ricadute commerciali, in ambito terrestre. Questo ruolo è già ora importante, sarà via via più centrale nel futuro.
Gli impatti sul sistema finanziario sono per ora mediati, indiretti. Ma queste tecnologie saranno in futuro fondamentali, anche per specifici servizi.
Su questo fronte, vi sono implicazioni di controllo dello spazio e di geopolitica dello spazio – lo sfruttamento delle risorse dello spazio extra- atmosferico, andrà ben al di là delle connessioni radio, delle comunicazioni al laser, delle reti di satelliti. E sarà un fronte cruciale. La sicurezza fisica e logica delle infrastrutture spaziali incrocia elementi di sicurezza generale (che vedremo tra poco). I piani statuali e interstatuali sullo spazio vedono una rimodulazione di scelte strategiche che hanno caratterizzato gli ultimi decenni. Anche in connessione ad iniziative private. Siamo agli albori di una nuova fase.
Correre su alcuni fronti – computazione, intelligenza artificiale, telecomunicazioni e spazio – può dare la possibilità a Paesi che sono più indietro di colmare il gap accumulato su altri fronti: prevalere sul più forte, partendo da una posizione di inferiorità.
Tutte le tecnologie elencate vanno inquadrate in un’ottica di transizione ecologica. Una delle sfide fondamentali per gli anni a venire. Altro tema trasversale rispetto a tutte le tecnologie esposte, è quello dei dati: la conservazione e la gestione sicura dei dati, specie quelli finanziari, è un aspetto centrale.
Altro fronte. Chip, semiconduttori e superconduttori. Qui, la partita è aperta e a tutto campo. Gli Stati che non sono davanti in termini di know-how cercano strade alternative. In questo frangente, hanno un ruolo importante anche le catene di approvvigionamento, le supply chain (ne parleremo più avanti); altra questione è quella di alcune materie prime (si pensi alle terre rare). Per i chip emergono sempre più questioni di sovranità tecnologica.
Anche in materia di telecomunicazioni, oltre alle classiche questioni di cybersecurity, valgono primariamente considerazioni di primato tecnologico e indipendenza tecnologica (vedremo tutti questi aspetti tra poco), specialmente per le reti di ultima generazione (e con questo ci riferiamo non soltanto a quelle in via di attuale commercializzazione, ma anche quelle il cui lancio è previsto tra circa un decennio; le “G” di generations, si susseguono velocemente).
Anche per queste tecnologie, ovviamente l’impatto sul comparto finanziario e è più mediato, indiretto, ma rilevante; la cybersecurity ha comunque ricadute trasversali su tutti i settori.
Per il presente, un filone molto interessante è quello dei sistemi cyber-fisici (cyber phsysical systems – CPS), quindi sistemi informatici che interagiscono con il mondo fisico, in una stretta relazione tra computazione e connessione. Qui l’elemento interattivo è fondamentale. Così come è cruciale, sotto il profilo della sicurezza, l’adozione di un approccio sinottico, che ricongiunga sfere spesso separate come security e safety. Questi sistemi hanno e possono avere un vasto impiego in campo finanziario; anche per contrastare fenomeni specifici (si pensi agli attacchi black-box contro gli ATM).
Un altro filone, già fiorente, è la branca della fotonica. Questa si interconnette ad altre tecnologie, sia per la computazione, sia per le telecomunicazioni. Ciò che interessa sotto il profilo della sicurezza è sia la componente infrastrutturale (si pensi alle telecomunicazioni di nuova generazione), sia quella relativa a dispositivi e Internet of Things (IoT): ad esempio, dispositivi di olografia, congegni ottici, apparati indossabili; oppure, si pensi ai sensori in campo safety e al tema delle smart cities. Tutti elementi validi in generale, ma anche per lo specifico impiego in campo finanziario.
Riguardo a possibili scenari futuri, abbiamo fatto cenno alle neuro-tecnologie, anche per i possibili futuri utilizzi in ambito finanziario. Un loro possibile sviluppo ed impiego investe questioni etiche, scientifiche, mediche e giuridiche. Ma anche questioni di sicurezza: più che di cybersecurity si dovrebbe qui parlare, seriamente e non per facezia, di cyborg-security.
Questo diverrebbe un fronte molto delicato. Al netto di scenari da hackeraggio del cervello, occorrerebbe affrontare comunque il tema in modo multidisciplinare.
Sempre nell’ambito di possibili sviluppi futuri, un filone che potrebbe ricomprendere intelligenza artificiale, reti neurali e machine learning è quello del cognitive computing (cc). Qui si prevede lo sviluppo di nuovo hardware e software per mimare pattern del cervello umano, ben oltre le attuali realizzazioni, in particolare nelle sue facoltà di ragionamento, risposta, stimolo, decisione, emozione, adattamento, evoluzione. Qui, sotto il profilo della sicurezza, rilevano sicuramente le componenti di interpretazione e di impredicibilità del comportamento della macchina.
Tematiche di sicurezza latu sensu, conseguenti all’impiego di nuove tecnologie nel comparto finanziario
Nella parte conclusiva, passiamo in rassegna alcune tematiche di sicurezza latu sensu legate all’impiego di nuove tecnologie nel comparto finanziario. Queste tematiche sono spesso strettamente correlate a quelle di cybersecurity.
La sicurezza nazionale è prerogativa delle agenzie nazionali di intelligence e degli organi di law enforcement. Tale appannaggio non è peraltro intaccato nemmeno dalle previsioni del Trattato sul Funzionamento dell’Unione Europea.
L’interconnessione di minacce di varia natura, il carattere ibrido delle minacce, operazioni di ingerenza sotto-soglia, cyber network operations (CNOs), information warfare, rendono tuttavia il quadro complesso. La componente cyber si intreccia ad altri fattori, geopolitici, economici, finanziari.
Il sistema finanziario è tra i gangli vitali e strategici di un Paese: le informazioni, i sistemi e i processi gestiti dalle istituzioni finanziarie sono particolarmente appetibili per uno Stato estero. Il tema della sicurezza nazionale, ancorché indirettamente, interessa quindi anche le istituzioni finanziarie.
Una stretta cooperazione tra queste istituzioni e le agenzie sopra citate è auspicabile. Così come è auspicabile una maggiore regolamentazione delle attività assimilabili a quelle di intelligence (sempre che possano tecnicamente inquadrarsi come tali), svolte al di fuori delle agenzie. Non è questo un fenomeno di per sé negativo. Ma è bene ricordare che aziende private e altre Istituzioni (anche finanziarie) hanno fini, poteri e mezzi diversi dalle agenzie di sicurezza nazionale.
In campo tecnologico, problemi per la sicurezza e la stabilità finanziaria di un Paese possono derivare non soltanto dagli attacchi cibernetici, condotti da attori statuali, organizzazioni, individui.
Per la sicurezza di un Paese, alcuni fenomeni tecnologici possono rivelarsi anche più insidiosi degli attacchi (che comunque costituiscono una parte rilevante delle minacce). Per converso, gli stessi fenomeni, se opportunamente governati, possono generare effetti sistemici positivi, nel lungo periodo.
Tratteremo qui brevemente di alcuni temi, quali finanza decentralizzata, monete digitali nazionali, central bank digital currencies (CBDC), autonomia strategica, supremazia tecnologica e sovranità cibernetica. Con alcuni focus specifici.
Disintermediazione e DeFi (Decentralized Finance)
La disintermediazione degli istituti di credito, delle Banche Centrali e in genere delle entità finanziarie (ma su questo punto, vedremo tra poco che molto si muove), in virtù dell’avvento di nuove tecnologie, è una questione dibattuta da tempo.
Alcune tecnologie creano de facto un ambiente decentralizzato e disintermediato. Su questo non c’è dubbio. Il nocciolo della questione è nella portata futura di tale fenomeno e nella capacità da parte delle entità finanziarie di governarlo, assecondandone la natura, senza rinunciare al ruolo di guida. Il tema DeFi (decentralized finance) può avere un peso crescente negli anni a venire (anche in considerazione degli attuali ritmi di crescita del segmento, che ha incrementi di miliardi di dollari l’anno).
Il fenomeno DeFi può avere impatti su varie funzioni svolte da entità finanziarie classiche (banche, borse, altri intermediari): può riguardare depositi, investimenti, negoziazione.
Le spinte tecnologiche verso la decentralizzazione, assecondano peraltro aneliti di modifica degli attuali assetti di governance nel sistema finanziario. La DeFi può avere ripercussioni anche sul ruolo delle Istituzioni finanziarie.
Le Autorità non stanno a guardare. La promozione di strumenti innovativi avviene talvolta su scala regionale e transnazionale. Le autorità centrali, a fronte del fenomeno incipiente, ricercano nuovi modelli di governo (vedremo tra poco). Alcuni Paesi e le rispettive Autorità finanziarie vanno nella direzione di una apertura, altri mostrano segnali di rigidità, che arrivano talvolta fino al blocco degli IP di exchange che scambiano crypto-assets, spesso per volumi cospicui di transazioni opache (si applica lo schema KYC – know your customer), altre volte anche in presenza di attività regolari.
Breve digressione in tema di cripto-attività. Molte Autorità negli ultimi anni hanno messo in guardia dai rischi collegati agli investimenti in cripto-
attività (nel 2018 EBA, ESMA, EIOPA; più recentemente Banca d’Italia e CONSOB). In una fase nella quale vi è quotazione di società che operano in cripto valuta, le Autorità mettono in guardia da rischi di bolle speculative. A questo proposito, si è assistito ad elevata volatilità e in alcuni casi a vere e proprie drawdowns, con ribassi anche del 10-20% in poche ore (cd. flash crash). Anche per far fronte a questo, sono fiorite diverse stablecoins.
Ma il tema incertezza (e sull’altro versante, fiducia) rimane centrale, anche a causa di ripetuti booms & busts (tutti elementi validi per economia e finanza in generale). Ma forse, più che di incertezza, si dovrebbe parlare di indeterminazione. Rimane il tema della fiducia.
Oltre al tema volatilità, le autorità rilevano anche i rischi derivanti da scarsa disponibilità di informazioni, complessità di tecnologie sottostanti, insufficienti tutele legali e contrattuali, assenza di controlli regolamentati.
A questo proposito, parlando di regolamentazione, qualcosa si muove in materia di crypto-assets, anche a livello europeo, secondo l’approccio “new functionalities, new rules”. In ambito nazionale, sul modello di altri Paesi, si pensi alla previsione della “sandbox” regolamentare.
A tale riguardo, un aspetto particolare in tema di finanza decentralizzata e sicurezza, che richiede particolare attenzione, anche secondo diverse indicazioni della FATF (financial action task force), è il fenomeno del riciclaggio e del finanziamento di attività illecite attraverso nodi di scambio decentralizzato, cripto-valuta e non-fungible tokens (NFT). La proliferazione di cripto-valute (incluse in questo caso anche le stablecoins), può creare minacce nel mondo reale, perché consentono il movimento di grandi somme di denaro su reti decentralizzate, ancorché tracciabili. D’altro canto, il contante e i flussi di denaro sporco sono in qualche modo appunto tracciabili e tracciati (qui il problema che si pone è il fattore tempo; intercettare sul nascere).
Questione ulteriore da tenere in considerazione, in tema di cripto-monete e mining, il digital carbon footprint. Su questo occorrono comunque maggiori riscontri e dati certi.
Digital cryptocurrencies & CBDC. Implicazioni di cybersecurity
La digital currency è una valuta digitale, gestita e scambiata su sistemi informatici e reti come Internet.
Le digital currencies includono cryptocurrencies e central bank digital currencies (CBDC).
A questo riguardo, la creazione di digital currencies ha destato particolare interesse negli ultimi anni da parte di molte Banche Centrali nazionali e transregionali. Di qui la previsione e i progetti di CBDC. Un sondaggio recente della BIS riporta che più dell’80% delle 66 Banche Centrali intervistate, aveva
in cantiere progetti in tal senso. Il fenomeno è di vasta portata e ha varie possibili implicazioni.
Un approfondimento su CBDC. Trattiamo di digital currencies emesse da una banca centrale. Come noto, sono anche chiamate digital fiat currencies o digital base money.
La differenza con le altre virtual currencies e cryptocurrencies, è che qui vi è un intervento di una istituzione finanziaria e, spesso, l’intervento a monte di organi legislativi o governativi. L’utilizzo di DLT o lo scambio su circuiti similari è possibile (non sempre è previsto), ma vi è comunque una forma di centralizzazione e controllo (questo le fa differire dalle altre cripto-valute) da parte di un regolatore.
Per le CBDC, viene spesso prevista la possibilità di deposito diretto presso la banca centrale da parte di utenza finale ed organizzazioni. L’emissione di CBDC con possibilità di deposito diretto, va nella direzione di controllare uno strumento nuovo ed esterno al normale circuito. Il successo di tale iniziativa è un obiettivo sfidante.
Come detto in apertura, le maggiori entità finanziarie del globo stanno affrontando il fenomeno, attraverso studi, consultazioni pubbliche, progetti pilota.
Alcuni Paesi sono più attivi di altri. Tentativi di innovare in questo campo ce ne furono già agli inizi degli anni 90. Ma CBDC propriamente dette sono un fenomeno relativamente nuovo.
Uno degli aspetti critici sembra essere quello della possibile scarsa partecipazione da parte dell’utenza finale (caso dell’Ecuador nel periodo 2014- 2018) e della tenuta nel lungo periodo. Ma siamo ora in una fase nuova e alcune iniziative si fanno più concrete.
Alcune iniziative strutturate sono partite invero già alcuni anni fa.
Già dal 2014, la Banca Centrale della Repubblica Popolare Cinese (PBOC) lavora al progetto di un digital currency electronic payment, con al centro il cosiddetto “digital yuan“, il renminbi digitale. Ad aprile 2020, il digital currency electronic payment è stato testato in 4 metropoli, Shenzhen, Suzhou, Xiong’an e Chengdu. A febbraio 2021 è stata la volta di Pechino. Nel corso del 2021 sono stati previsti diversi piani pilota di sperimentazione per lo yuan digitale, con coinvolgimento di consumatori e utenti (possibili prove di un possibile diffuso utilizzo anche in vista dei prossimi giochi olimpici invernali del 2022). Sono previste diverse collaborazioni pubblico-privato per il lancio sul mercato dell’e-yuan. Il traino nella Repubblica Popolare Cinese può essere costituito dal massiccio ricorso ai pagamenti tramite app e rete mobile da parte di larghe fasce della popolazione.
Nel 2015, anche Bank of England comincia a ragionare di una possibile CBDC, con un sistema basato su blockchain (ricordiamo che non tutte le CBDC prevedono necessariamente l’impiego di questa tecnologia).
Poi è stata la volta della Banca Centrale di Svezia (2016 – il PoC su e-krona è del 2020).
Nel 2017 la Banca Centrale dell’Uruguay lavora ai “digital pesos”. Nel 2019 è la volta della Eastern Caribbean Central Bank.
Il 20 ottobre 2020, la Banca Centrale delle Bahamas ha dato avvio al “sand dollar”.
In ambito Eurozona, a seguito di consultazione pubblica, sono state attivate diverse iniziative tra il 2020 e il 2021; sono al vaglio diverse opzioni per la possibile adozione dell’euro digitale. Alcune decisioni sono prossime.
La Federazione Russa sta lavorando al progetto del rublo digitale da tempo e sono attese iniziative concrete nel breve-medio periodo; recenti linee strategiche vedono una forte connessione con iniziative in materia di pagamenti.
Gli Stati Uniti d’America hanno avviato diversi progetti pilota, sia pubblici sia privati, mirati a raccogliere dati e fare proiezioni circa una possibile adozione di valuta digitale federale.
Altri Paesi hanno in cantiere sperimentazioni (Giappone, Sud Africa, India, Pakistan, Thailandia etc.).
In genere, tra gli aspetti positivi delle CBDC solitamente elencati vi sono: inclusione finanziaria (tutti possono operare direttamente dal proprio dispositivo e wallet; alcune banche centrali prevedono anche schemi senza conto e token-based), crescita economica (maggiori volumi di transazione e pagamenti per facilità d’uso), innovazione tecnologica ed efficienza nelle transazioni (tracciabili e sicure), velocità di utilizzo (in tempo reale e senza intermediazione), effetto antievasione ed effetto anticrimine (emersione del nero e del traffico illecito), possibile leva supplementare per la politica monetaria (con controllo diretto su offerta di moneta e possibile nuovo canale di trasmissione della politica monetaria, con eventuali misure del tipo helicopter money), rilancio di sistemi finanziari in sofferenza.
I risvolti di sicurezza cibernetica sul tema. Sul fronte sicurezza cibernetica, oltre agli indubbi vantaggi per velocità, duttilità e tracciabilità, possono presentarsi i problemi già presentati in ambito DLT. La CBDC presenta gli stessi aspetti trattati per le cripto-valute in genere, ma con qualche distinguo. La mitigazione di alcuni problemi di sicurezza che si riscontrano per le cripto-valute su DLT, può derivare dal maggiore controllo e centralizzazione da parte della banca centrale e dagli avanzati sistemi informatici utilizzati.
Si perdono però in parte gli elementi disintermediazione e decentralizzazione, importanti nel DLT (qualora vi sia utilizzo di tali tecnologie). Questo rileva anche sotto il profilo della centralizzazione dei rischi di cybersecurity (non distribuiti come in ambienti DLT puri; ma sono accentrati dal regolatore). Gli attacchi possono contare così su un macro-target di tipo classico. Problemi di falsificazione della valuta digitale non sono da escludere, sebbene appaiano difficili da mettere in opera.
Sovranità valutaria e finanziaria. Implicazioni geopolitiche e sicurezza tout court
Altre implicazioni. La citata possibilità di deposito diretto presso la Banca Centrale da parte di utenza finale ed organizzazioni (spesso è prevista nei piani). Questo può generare diversi effetti e rimodulazione nelle attuali interazioni del sistema finanziario. Può comportare ad esempio la possibile disintermediazione degli istituti di credito (questo può anche invero alimentare positivamente la concorrenza). Molti di questi gruppi tuttavia hanno piani per offrire direttamente cripto-valuta alla propria clientela (in alcune aree del globo potrebbe essere prevista ex lege una cooperazione pubblico- privato, anche per risollevare istituti di credito in sofferenza). Nella direzione di piani privati in materia di valuta digitale, si muovono anche grossi conglomerati che gestiscono piattaforme di pagamento, i quali promuovono il ricorso alla moneta digitale anche attraverso campagne di fidelizzazione e premi in criptomoneta legati al numero di transazioni. Chi è nel mezzo (es. Le banche), con la CBDC e il possibile deposito diretto presso la Banca Centrale, potrebbe comunque dover riallocare parte delle sue funzioni principali. Ma tutti questi aspetti, possibile disintermediazione ed eventuale riassetto del sistema finanziario, molto dipenderanno da fattori di contesto.
Anche la regolamentazione in materia di pagamenti e e-commerce dovrà inevitabilmente essere adeguata in caso di adozione di digital currencies.
Al momento, è plausibile pensare che vi saranno fasi di armonica (o disarmonica) coesistenza tra moneta fisica e moneta digitale.
Due questioni specifiche. Solidità del comparto e effettivo utilizzo da parte dell’utenza finale. Sull’effettivo utilizzo dipende molto dai modelli di business promossi, dalla struttura dei mercati, dalle abitudini e dalla mentalità degli utenti finali, dal contesto politico e geopolitico, dalla congiuntura sociale ed economica dei Paesi nei quali viene promossa la moneta digitale, dall’impiego nei pagamenti transfrontalieri. E, ultimo ma non per importanza, molto dipende dalla percezione dell’utente circa la propria privacy; valuta digitale centralizzata vuol dire tracciamento e il costume di mantenere invisibile almeno una porzione delle proprie transazioni appare radicato, specie in alcuni Paesi.
La situazione su questo fronte è comunque fluida, lo scenario è in fieri e ci si attende la coesistenza di un sistema ibrido.
Per il futuro, la moneta come la conosciamo, manterrà verosimilmente i suoi fondamentali (mezzo di scambio, unità di conto, riserva di valore), ma potrebbe arricchirsi di nuove sfumature o comunque alcune componenti già note potrebbero prevalere su altre. Il mezzo tecnologico potrebbe mutare intrinsecamente alcuni aspetti della sua natura.
Più che su altri fronti, elementi di cybersecurity si mescolano qui ad aspetti di sovranità monetaria e sicurezza nazionale.
Tra le reali motivazioni alla base di iniziative CBDC vi possono essere: intercettazione di circuiti valutari innovativi, mantenimento del controllo sulla politica monetaria (che potrebbe essere altrimenti depotenziata dal ricorso ad altre CBDC o a cripto-valute), questioni economiche, ricerca del primato valutario (o di egemonia valutaria), istanze di rimodulazione del sistema bancario e finanziario mondiale, allentamento della morsa generata da sanzioni, risanamento del sistema finanziario nazionale, motivi di sicurezza nazionale.
In merito ad alcuni aspetti accennati. Quanto a possibili implicazioni di tipo geopolitico, l’adozione di una valuta digitale crittografata in alcuni Stati potrebbe mirare (vedremo più avanti, con alcuni caveat) a modificare l’assetto monetario internazionale o a sovvertire l’egemonia valutaria di altri Paesi. Un altro aspetto connesso a questo, e già accennato, potrebbe essere su un piano statuale – almeno limitatamente ad alcuni Paesi che possono avere mezzi e motivazioni per farlo – disintermediare il mercato bancario mondiale o modificarne gli equilibri esistenti. Per altri Stati, l’obiettivo di tale politica potrebbe essere invece quello di supportare politiche economiche e commerciali di dimensione globale (si pensi ad iniziative commerciali ad ampio respiro geografico, basate su prestiti e investimenti vincolati concessi ai Paesi di transito ospitanti, in cambio dell’uso di infrastrutture, dell’apertura di hub o di concessioni territoriali); o rivedere schemi obbligazionari e sofferenze creditizie; per altri ancora, rendere inefficaci sanzioni economiche in essere.
La creazione di monete digitali nazionali o regionali, prevede spesso comunque un sistema di coesistenza tra valute digitali nazionali o CBDC e cripto-valute preesistenti.
Per tutto quanto sopra, pare pacifico sostenere che iniziative per il lancio di nuove cryptocurrencies da parte di gruppi privati – specialmente se di dimensioni rilevanti – ricadano ormai sotto lo scrutinio attento di organi governativi e di sicurezza nazionali. Così come vi può essere – in alcune aree – un controllo diretto o indiretto (attraverso regolamentazione stringente, vincoli antitrust asfittici etc.) Su gruppi Fintech privati dotati di infrastrutture e piattaforme di pagamento evolute, il cui know-how e le cui dotazioni possono peraltro tornare utili, per il lancio e la stabilizzazione di valute digitali statali.
Connesso al precedente tema – ovvero istanze di sovranità valutaria in relazione all’adozione di valuta digitale nazionale o CBDC – è il tema della rimodulazione degli attuali assetti nel comparto del regolamento dei pagamenti internazionali.
Anche il controllo o la rimodulazione degli attuali assetti nel regolamento dei pagamenti internazionali è un fattore strettamente connesso con alcuni piani per l’adozione di valute digitali nazionali. Questo per fini di sovranità finanziaria. Questo aspetto è stato anche palesato in pubbliche esternazioni e intese di pubbliche Autorità o in linee strategiche presentate in rapporti ufficiali di taluni Stati.
Alcuni Paesi potrebbero richiedere o fortemente caldeggiare l’utilizzo di una digital currency nazionale nel regolamento delle transazioni con partner commerciali esteri, sia pubblici sia privati.
Questo, al di là di possibili ripercussioni sul fronte valutario, potrebbe esercitare un certo peso su mercati e pagamenti, nonché in una certa misura su aziende private, anche estere.
L’approntamento di gateway nazionali per il regolamento di pagamenti transnazionali è un altro elemento in quest’ottica; anche questo si collega a istanze di rimodulazione degli assetti valutari e finanziari globali; e a istanze di sovranità (o supremazia) nei pagamenti internazionali. La ricerca di egemonia valutaria è per alcuni aspetti correlata all’utilizzo della valuta nelle transazioni globali. E alle piattaforme in uso per regolare quelle transazioni (ad esempio regolamento tra banche).
Alcuni Paesi stringono accordi volti a ridurre la loro dipendenza da alcune piattaforme per il regolamento dei pagamenti, le quali piattaforme hanno sede principale in alcune aree geografiche del globo (ad es. nei Paesi occidentali).
Tali piattaforme vengono percepite come strumenti di controllo economico- finanziario: vi sono quindi talune iniziative che mirano alla sostituzione con modelli nazionali o comunque a una mitigazione di tale controllo o comunque a una modifica degli assetti correnti.
Al riguardo, un approccio meno confrontational – e che spesso viene portato avanti in contemporanea alle citate iniziative – è l’approntamento di gateway nazionali per la promozione di collaborazioni e sinergie cross-border; qui la piattaforma nazionale, viene vista come ponte tra financial networks, per il regolamento di ingenti volumi di transazioni (per avere un maggiore controllo diretto, anche fisico e geografico, sulle transazioni di propri cittadini e di proprie imprese; ma anche su quelle estere). Si adotta quindi un approccio duplice, concorrente e cooperativo.
In ogni caso, sia i progetti volti ad acquisire un primato nella emissione di valute digitali, sia l’eventuale disintermediazione di piattaforme di regolamento delle transazioni globali, non sono di per sé condizioni sufficienti per ottenere sic et simpliciter egemonia valutaria e rilevanza nel comparto dei pagamenti internazionali. Queste dipendono anche da altri fattori, legati alla cosiddetta finanza reale (si pensi ad eventuali sofferenze nel segmento delle obbligazioni o del credito), all’economia reale (occorre un milieu favorevole agli investimenti), ad aspetti regolatori (serve un giusto trade-off tra libertà e controllo), fiscali (necessità di un contesto flessibile), politici e geopolitici.
Autonomia strategica, indipendenza e supremazia tecnologica. Cyber sovereignty
Il tema della sovranità valutaria e finanziaria (e anche economica, per le conseguenze che ne possono conseguire) coinvolge anche una serie di elementi di natura tecnologica.
Le istanze di indipendenza tecnologica rientrano in più vasti disegni geopolitici di autonomia strategica (questa locuzione è da qualche anno in voga anche in ambito europeo).
Il controllo sugli asset tecnologici e in genere sul dominio cyber, è ormai per i Paesi e per le unioni di Paesi, una priorità: a questo controllo si lega la sicurezza nei vari comparti, compreso quello finanziario.
Tali elementi si fondono ad un fenomeno estremamente rilevante: la cosiddetta cyber sovereignty. Sovranità cibernetica. A sua volta, questa coinvolge aspetti specifici come quello dell’Internet sovereignty e quello dell’indipendenza tecnologica (si pensi al dibattito al quale si è accennato sulle supply chain nazionali in merito a infrastrutture e componenti nelle telecomunicazioni, alla produzione di chip e semiconduttori, alla questione delle terre rare). Qui, per meglio dire, si dovrebbe parlare di supremazia tecnologica. Breve inciso su questo punto dei chip: nell’ultimo decennio i casi di asserito spionaggio – o comunque di potenziale spionaggio – attraverso chip, hanno avuto la ribalta delle cronache (nella forma supply chain seeding attacks ma anche interdiction attacks); vi è stato ricorso al golden power, anche di recente, per proteggere aziende nazionali attive in questo comparto. Al di là dei chip, questo fenomeno riguarda potenzialmente diverse tecnologie di telecomunicazione, di computazione, di videoripresa, di scanning, etc; per chi lavora in questo campo, affrontare il tema del potenziale spionaggio attraverso rootkit o componenti hardware preinstallate, per consentire traffico in uscita ed esfiltrazione di dati, non è certo cosa nuova. Al di là di misure tattiche, occorre potenziare schemi nazionali o transregionali di produzione e certificazione, sotto l’egida di enti o poli ad hoc. Vi sono ora in ambito europeo e nazionale diverse iniziative per consorzi di produzione, alleanze industriali, enti di certificazione, misure di tutela verso sovvenzioni estere distorsive.
Aspetti tecnologici, finanziari e di sicurezza si compenetrano qui ad un livello superiore, di rango statuale. Non parliamo più soltanto di cybersecurity e di sicurezza del singolo prodotto, servizio o infrastruttura finanziaria.
Gli Stati o gruppi di Stati – con l’azione talvolta parallela talvolta divergente di gruppi di interesse privati e transnazionali, i quali interessi non sempre necessariamente collimano con la sicurezza nazionale – adottano diverse misure, per tutelare i propri assets nel dominio cyber (ivi compresi quelli finanziari). Ma la tutela dei singoli assets, è legata al controllo sull’intero dominio.
Per azioni di tutela della cyber sovereignty, si va da azioni di public policy in consessi multilaterali sul tema dell’Internet governance a cyber operations, difensive ed offensive; dall’emanazione di disposizioni nazionali in materia di sicurezza nazionale (ivi compresi, in alcuni casi, obblighi giuridici specifici per aziende private di condividere informazioni con l’intelligence) al citato golden power.
Vi sono poi una serie di misure tecniche – che variano a seconda delle giurisdizioni – come limitazioni all’utilizzo di piattaforme di file sharing e social networks; approntamento di DNS (domain name system), servers e reti nazionali; controllo su cavi sottomarini e transoceanici; verifica su supply chain e infrastrutture tramite centri di valutazione e certificazione nazionali; investimenti nella produzione di componenti e supply chain nazionali; predisposizione di standard tecnici in tema cyber; attività di censura su Internet e geoblocking (blocco geografico, ovvero limitazione dell’accesso ai contenuti Internet in base alla posizione geografica dell’utente).
Tutti questi aspetti attengono alla sfera tecnica, ma incrociano elementi di sicurezza e di governance; su più fronti hanno impatti su infrastrutture, prodotti e servizi del sistema finanziario.
La vera portata della difesa o della promozione di una autonomia strategica in campo tecnologico e cyber, dipende molto dalle effettive capacità economiche, produttive e scientifiche di un’area geografica. Si pensi, per converso, alla dipendenza da talune materie prime non presenti in loco e reperibili soltanto in alcune aree, o al know-how presente soltanto in Paesi esteri, o ancora, ai minori costi nelle catene di approvvigionamento di Stati concorrenti.
Se, come crediamo, è importante mantenere un controllo sui propri assets – siano essi tecnologia o finanza – l’autonomia strategica non deve ridursi ad autarchia tattica. Altrimenti potrebbero insorgere altri problemi di sicurezza, derivanti ad esempio da marginalizzazione. È auspicabile quindi venga adottato un approccio di stabilità flessibile, mantenendo una apertura controllata.
Così come, è sì importante investire in tecnologia, ma questo non deve ridursi a tecnocrazia.
Conclusioni
In conclusione, pare opportuno sottolineare le molteplici connessioni tra elementi di innovazione, sicurezza e finanza. Alcuni di questi elementi hanno dirette implicazioni di cybersecurity, altri possono avere conseguenze sul piano della sicurezza nazionale.
In ottica prospettica, le sfide che si pongono davanti richiedono particolare perizia e competenza su entrambi i fronti; occorre mettere in campo professionalità ibride, poli-competenti (non soltanto specialisti sulla singola materia, la cui cooperazione genera multidisciplinarietà sommatoria), al fine di evitare parcellizzazioni nella conduzione delle analisi. È necessario sviluppare nuovi modelli e nuove strategie di cybersecurity, a fronte di nuovi ecosistemi finanziari e tecnologici.
Piani statuali pluriennali sullo sviluppo di tecnologie di frontiera, con investimenti ingenti, sono in cantiere in America, in Europa e in Asia. Queste iniziative vengono talvolta metaforicamente descritte come una corsa al nuovo oro. È indubbio che chi avrà un vantaggio o il primato, potrà gestire standards, modi e tempi.
In materia di sicurezza cibernetica, pare opportuno rafforzare la cooperazione tra istituzioni finanziarie, settore privato, accademia, ricerca, organismi di prevenzione e contrasto, nell’ambito di un centro unico di coordinamento sulla cybersecurity.
Per affrontare queste sfide e quelle della sicurezza in generale, occorre investire risorse, coltivare talenti e valorizzare sinergie. Questo richiede e richiederà un approccio adattativo ed evolutivo a fronte di un contesto sempre più complesso.
Bene, ho terminato il mio intervento, un caro saluto a tutti.
Banca d'Italia, Supervisione Mercati e Sistemi di Pagamento. Continuità di servizio del sistema finanziario (CSSF) italiano. Si occupa di analisi strategica e positioning. Ha expertise su threat intelligence, cyber intelligence e cyber resilience. In Banca d’Italia ha ricoperto vari ruoli (es. team europeo su nuove metodologie di testing basate su threat intelligence in CSSF; referente comunicazione su cyber threat intelligence nel CERT; esperto per il rischio operativo in Architettura Informatica). Per un breve periodo è stato impiegato presso l’UIF. Ha lavorato, tra l’altro, alcuni anni per Telecom Italia S.p.A. (TIM) – Public & Regulatory Affairs, strategia regolamentare e public policy. Background in Istituzioni nazionali ed internazionali con focus su temi di sicurezza (es. UNODC, UNICRI). Laurea con Lode in Scienze Politiche Internazionali (La Sapienza) con tesi su regolamentazione e comunicazioni elettroniche. Ha all’attivo diverse pubblicazioni a livello nazionale ed internazionale (es. Banca d'Italia, Rapporto Clusit, Cyber Defense Magazine, Econpapers); ha partecipato come speaker a vari eventi e summit (es. ITASEC, Security Summit, Corso Alta Formazione Germani); parla alcune lingue.