In un argomento per definizione delicato e sempre attuale come la cybersecurity quando si entra nel mondo finanziario il livello della sfida, se possibile, sale ancora di più. Un problema riguardante non solo le banche e il mondo finance in generale, ma chiunque offra servizi dove al centro ci siano transazioni economiche. «Anche se la gestione e la tutela dei capitali desta sempre preoccupazioni, a prescindere dalla dimensione dell’azienda – sottolinea Jacopo Tupac Santaiti, cyber security lead di Soldo –, c’è comunque un bisogno concreto di innovazione che spinge sempre più verso pagamenti e processi digitali».
Una tendenza da assecondare e un’opportunità per chi si occupa per mestiere di gestire il denaro di un’azienda: una pesante responsabilità, con la consapevolezza di non potersi permettere passi falsi sul fronte della sicurezza IT. «I nostri servizi di gestione delle spese si rivolgono di fatto alle aziende – prosegue Santaiti -. Uno dei punti di forza su cui possiamo fare leva è la competitività. Una volta dimostrato il valore aggiunto che soluzioni come la nostra portano nei processi, l’innovazione viene accettata e addirittura ricercata».
La cybersecurity come processo
L’innovazione IT, però, si porta dietro inevitabilmente anche sempre nuove questioni legate alla sicurezza, ancora troppo spesso vista come onere o male necessario. Soldo sposa invece la linea di volerla considerare un vero e proprio processo, costantemente oggetto di attenzioni e investimenti, con la ricerca costante di migliorie e upgrade.
Un retaggio sostanzialmente culturale, in cui inevitabilmente i tempi sono lunghi, e dove è importante comprendere l’importanza di alcuni punti fermi ancora poco accettati. «Il tema della cultura e della relativa formazione è a mio avviso l’aspetto principale. Istruire, formare e tras-formare per così dire la componente umana chiede molto più tempo che installare e configurare un nuovo strumento».
E questo gli hacker lo sanno benissimo: i cybercriminali contano da sempre sulla carenza di know how, o sulla semplice buona fede di chi ancora troppo spesso gestisce i sistemi informativi. Oggi non è più sufficiente conoscere le tecniche di base. I livelli di sofisticazione raggiunti dal phishing e dagli altri sistemi di violazione dei sistemi sono tali da poter trarre in inganno chiunque. Per questo è necessario andare verso procedure di sicurezza più articolate, all’apparenza ostiche.
«A questo dobbiamo aggiungere un punto, spesso sottovalutato, che riguarda in particolare le nuove generazioni. La maggiore confidenza con lo strumento digitale, a volte, porta a fidarsi eccessivamente anche dei sistemi di protezione. Invece, la soglia di attenzione va sempre tenuta alta, perché l’eccesso di fiducia è paradossalmente una delle armi migliori nelle mani degli hacker».
La maggior parte delle aziende oggi sta iniziando a capire che la soluzione risiede nell’innalzare i requisiti di sicurezza: autenticazione a più livelli, verifica continua, ulteriori conferme esplicite a seconda dell’operazione richiesta. In pratica, costruendo e applicando una strategia zero trust. Non sempre gradita agli utenti per il maggior numero di passaggi richiesti, ma sicuramente affidabile e consigliata in primis da Soldo.
«Ogni informazione fornita dall’utente è fuori dal perimetro aziendale, e come tale, è da considerarsi potenzialmente già compromessa. Oltre a un’autenticazione su più fattori durante la fase di autenticazione, è sempre saggio prevedere un ulteriore processo approvativo per le azioni dispositive».
Dal punto di vista del fornitore di servizi, è fondamentale non dare mai niente per scontato. Mettere cioè in discussione la vera identità di chi si collega ai propri server, anche a costo di costringerlo a una verifica in più. Le truffe informatiche infatti oggi hanno raggiunto livelli tali da ingannare anche agli utenti più scrupolosi.
Non si finisce mai di imparare
Mai come in situazioni del genere, tecnologia e formazione vanno quindi a braccetto. Non si tratta semplicemente di dedicare tempo per imparare a usare un nuovo software o un nuovo servizio. Anche per il singolo utente, è fondamentale restare sempre aggiornato sulle dinamiche dei nuovi rischi informatici. Un compito di tutti, dei fornitori di servizi, dei divulgatori e delle aziende stesse. «Un rischio oggi potenziato dall’avvento dell’intelligenza artificiale usata con finalità malevola, capace di rendere gli attacchi detti di ingegneria sociale sempre più complessi, dove non si può più dare niente per scontato».
I primi tentativi di “pesca a strascico” con e-mail considerate improbabili da una larga maggioranza di utenti, oggi stanno lasciando spazio ad attacchi meno massivi e più mirati, studiati sul comportamento e sul profilo personale. Dubitare per regola di un’identità è quindi qualcosa di più di una pignoleria.
Sulla messa a punto di veri e propri processi legati alla sicurezza, la strada è in genere ancora abbastanza lunga. La sensibilità però, non deve mancare. «Diverse aziende iniziano a sottoporci questionari molto articolati, non solo per ragioni di compliance. Domande in genere molto calzanti e dettagliate, anche su particolari tecnici. Parliamo in genere di realtà strutturate, con diverse centinaia di dipendenti».
Dal punto di vista dell’utente finale, buona parte di questo lavoro deve restare nascosto. Dietro strategie zero trust, autenticazioni su più livelli, autorizzazioni mirate e ogni altro accorgimento c’è una enorme componente sommersa a carico del fornitore. Dalla simulazione degli attacchi di phishing, all’evoluzione nei sistemi di riconoscimento per bloccarli prima ancora che arrivino agli utenti, formazione e aggiornamento sono un’attività senza sosta che non si svela, ma c’è.
«Da noi, pur essendoci un dipartimento con specifiche responsabilità sulla sicurezza, preferiamo sempre una cooperazione tra tutte le aree aziendali, così da allargare la base di conoscenza e portare un maggiore valore aggiunto da trasferire ai clienti, diciamo che uno più uno non fa due, fa qualcosa di meglio».
La sfida infinita Soldo
Organizzazione, formazione e cultura sono quindi elementi cardine nelle strategie Soldo. Un elemento in più, da aggiungere alla principale offerta di servizio anche perché gestire le spese aziendali è qualcosa di più di un “nice to have”: è fondamentale infondere nel cliente la garanzia di potersi affidare a un partner sicuro, pur nella consapevolezza dei rischi esistenti e non eliminabili del tutto. «Dall’altra parte, questa è diventata una vera e propria industria, con gruppi criminali in grado di investire per migliorare la qualità dei propri risultati. In più totalmente indifferente alle regole e priva di scrupoli».
Una sfida dove è già possibile intravvedere il prossimo livello. Se oggi si parla tanto di Intelligenza artificiale generativa, con risultati in grado di ingannare un gran numero di utenti, si può solo immaginare a quale livello potrebbe arrivare il phishing o in futuro il deep fake. «A maggior ragione, diventa fondamentale lavorare alacremente su una strategia zero trust affiancata da una formazione continua. Per ognuno di noi sarà sempre più difficile riconoscere una truffa, ma non possiamo lasciare alla sola tecnologia la responsabilità del trovare le adeguate contromisure, dobbiamo accompagnarla con la corretta conoscenza e mindset».
Con buona probabilità, la norma diventeranno le successive autenticazioni, superare una serie di controlli dai quali non si potrà davvero prescindere. In particolare quando parliamo di transazioni dirette che richiederanno più livelli o l’ausilio di strumenti di biometria. Con una regola molto semplice: più un’operazione è delicata, maggiori saranno i passaggi da superare.
«Il nostro cliente è interessato prima di tutto al servizio, come è giusto che sia, ma sottintesa è la piena fiducia nella nostra capacità di gestire la sicurezza, anche senza entrare troppo nei dettagli tecnici – conclude Jacopo Tupac Santaiti -. È però importante che ogni azienda conosca alcuni concetti chiave, utili per imparare a difendersi e tutelare ogni possibile rischio evitabile. Vogliamo contrastare imprudenza o incompetenza, intesa come assenza di conoscenza».
