Il blocco informatico verificatosi lo scorso 19 luglio a livello globale (tra i peggiori mai accaduti) mi ha risvegliato un ricordo di tanti anni fa. Era il 1970, avevo 11 anni, e partecipai ad un concorso lanciato dal settimanale “Topolino” e dalla Banca commerciale italiana. Sarebbero stati premiati con 6.500 libretti di piccolo risparmio (contenenti 10.000 lire, ovvero 5 euro di oggi) le migliori frasi sul risparmio (in quegli anni, il 31 ottobre anche nelle scuole si parlava della “giornata del risparmio”). Partecipai e risultai tra i tanti vincitori (forse era un modo per la banca di cominciare la fidelizzazione dei futuri clienti). Conservo ancora quel libretto (lo estinsi una volta diventato maggiorenne). Molte annotazioni erano fatte anche a penna su quel libretto di carta che faceva fede in maniera tangibile di quanto depositato in banca.
Da molto tempo i depositi in conto corrente bancario sono delle semplici scritture elettroniche e i pagamenti (escluso quei pochi che ancora si fanno con il contante) corrispondono a trasferimenti elettronici di fondi.
Venerdì 19 luglio, oltre a voli cancellati e operazioni ospedaliere rinviate, si sono bloccati anche i pagamenti. In molti paesi non funzionavano le app che consentono di operare sul contro corrente (faccio questo esempio, ma il problema ha riguardato l’intero sistema dei rapporti interbancari). Insomma, per un certo periodo di tempo si è avuta la sensazione di non avere a disposizione i propri risparmi. E allora la domanda: cosa accadrebbe se i sistemi informatici su cui si regge il sistema dei pagamenti smettessero di assolvere alle loro funzioni?
Quando l’Europa (o l’Occidente in genere) vuole imporre sanzioni ad un paese terzo ritenuto ostile, una delle misure prese in considerazione è l’esclusione di quel paese dai sistemi digitali comuni dei pagamenti interbancari. Ieri dal sistema siamo stati esclusi noi stessi a causa del descritto malfunzionamento che nessuno è stato in grado di prevenire o di risolvere in breve tempo (pare sia stato suggerito di spegnere e riaccendere i sistemi: un rimedio sconsolatamente artigianale che non ha sortito gli effetti sperati almeno nell’immediato).
Di fronte alla crisi finanziarie, come quella del 2008, le reazioni hanno privilegiato l’obiettivo di salvaguardare la stabilità del sistema da un punto di vista economico. In altre parole, l’idea di sicurezza finanziaria era focalizzata su profili quali: il rischio di credito, il rischio di mercato, il rischio di liquidità, il rischio di condotta sul mercato.
Man mano che l’uso delle tecnologie della comunicazione ha conquistato un ruolo essenziale nella fornitura di servizi finanziari (la digitalizzazione riguarda praticamente tutti i tipi di pagamento) ci si è resi conto che quello informatico è un rischio sistemico proprio grazie all’elevato livello di interconnessione al punto da costituire una potenziale vulnerabilità globale dal momento che incidenti informatici localizzati potrebbero rapidamente diffondersi all’intero sistema finanziario.
Nella consapevolezza dell’esistenza del problema, l’Unione Europea ha da poco emanato il regolamento (UE) 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario, comunemente conosciuto come “DORA” (per via dell’acronimo inglese “digital operational resilience act”). Il regolamento (già entrato in vigore) sarà realmente operativo e vincolante dal 17 gennaio 2025 e si rivolge a praticamente a tutti gli operatori del sistema finanziario (enti creditizi, istituti di pagamento e così via).
DORA: a. favorisce un migliore allineamento delle strategie di gestione dei rischi ICT da parte delle entità finanziarie; b. migliora e armonizza le regole per la gestione del rischio ICT; c. introduce specifici obblighi in materia di gestione degli incidenti ICT; d. prevede dei test cui le entità finanziarie dovranno essere sottoposte periodicamente per accertarne il grado di sicurezza raggiunto; e. disciplina le responsabilità delle cosiddette “terze parti”; f. favorisce lo scambio di informazioni e dati sulle minacce informatiche, al fine di rafforzare la cooperazione tra gli Stati membri.
Lo scorso 19 luglio abbiamo avuto la prova che, in relazione alla finanza, la resilienza informatica finisce per avere una importanza almeno pari alla resilienza economica.
I sistemi digitalizzati devono offrire le stesse garanzie che, in quel lontano 1970, fornivano le annotazioni sulla carta: la stabilità nel tempo delle scritture, la loro inalterabilità, la loro conservazione, la loro conoscibilità e, non da ultimo, la loro esistenza.