Negli ultimi cinque anni, le banche hanno subito una profonda trasformazione, sotto la spinta di varie motivazioni: progresso tecnologico, aumento dei rischi derivanti da frodi e computer crime, globalizzazione della concorrenza, diminuzione dei tassi d’interesse e dei margini di profitto, richiesta di maggiore trasparenza e maggiori controlli da parte della legislazione e dei clienti.
Per fare il punto sulla situazione abbiamo intervistato Bob Giffords, direttore della ricerca e della consulenza della società Financial Insights e super esperto del settore FinTech (tecnologie per il settore finanziario).

Quali sono gli impatti dei problemi di sicurezza IT sulle banche ?

Chiaramente gli accessi alle banche per via elettronica e i collegamenti tra le banche sono in continuo aumento. Inoltre gli istituti di credito sono al lavoro per colmare l' enterprise gap residuo tra i sotto-sistemi non ancora collegati tra di loro, come i sistemi per la gestione dei fornitori e quelli per la gestione dei clienti, per creare una ragnatela di relazioni e di processi automatizzati in grado di gestire in modo automatico i processi sia all'interno che all'esterno dell'azienda. Per implementare un modello di questo tipo, la sicurezza è assolutamente cruciale e le soluzioni per la sicurezza devono essere molto più evolute rispetto a quelle del passato poiché non possono limitarsi a proteggere un'area specifica ma devono coprire tutta l'impresa. Non esiste un'unica soluzioni ma sono necessarie molte soluzioni per fronteggiare i vari tipi di rischi, che devono essere integrate per lavorare insieme.
Le banche sono già abituate a fronteggiare frodi come la falsificazione delle carte di credito e di debito, che cercano di prevenire con molti mezzi: dall'adozione delle "carte intelligenti" dotate di chip ai programmi che analizzano le spese dei titolari delle carte di credito e danno l'allarme se individuano spese inusuali. Questo tipo di sicurezza è ben conosciuto dalle banche ed è supportata da soluzioni mature. Ci sono però altri tipi di frode perpetrate eseguendo attraverso Internet transazioni non autorizzate, utilizzando nomi falsi o nomi e dati di altre persone. Per esempio, recentemente si è parlato molto di phishing, un tipo di frode che rientra nella casistica del social engineering e ha lo scopo di “rubare” l'identità di un utente appropriandosi di numeri di carta di credito, password o altre informazioni personali, convincendo l'utente a fornirle con falsi pretesti, normalmente email che sembrano richieste di informazioni da parte della propria banca.

Quali sono le possibili contromisure contro gli attacchi di questo tipo?

Non ci sono singole contromisure sicuramente efficaci. La difesa consiste in un controllo integrato, che rileva comportamenti anomali catturando i dati da molte fonti diverse a vari livelli ed effettuando controlli incrociati. La prevenzione si attua predisponendo accurate procedure di sicurezza, che devono essere collaudate e aggiornate regolarmente. Infatti, poiché gli attacchi sono normalmente rivolti verso gli anelli deboli della catena di sicurezza, è necessario cercare continuamente di scoprire quali sono questi anelli per rinforzarli.

Quale ruolo gioca la trasparenza nel Bilancio Sociale e nella comunicazione finanziaria delle banche?

Per le istituzioni finanziarie la reputazione è la cosa più importante, però le banche devono essere molto riservate per proteggere le informazioni relative ai propri clienti. D'altra parte, per guadagnare la fiducia dei clienti, le banche devono operare in modo trasparente. Pur rispettando l'obbligo di proteggere i dati dei clienti dagli sguardi indiscreti sia all'interno che all'esterno della banca, con la trasparenza verso i clienti e verso il mercato c'è più da guadagnare che da perdere. Per esempio, con la trasparenza si ha il vantaggio di poter trovare più facilmente aiuto per risolvere i problemi. Se mi capita un problema e non voglio farlo sapere a nessuno, devo trovare da solo la soluzione, mentre se lo comunico all'esterno posso trovare qualcuno che mi aiuti. La trasparenza in un momento di continui cambiamenti favorisce la crescita dell'impresa.

Qual'è il ruolo dell'IT nella trasparenza di sistemi bancari?

L'IT facilita la comunicazione, la distribuzione delle informazioni e le transazioni. Un importante aspetto della trasparenza consiste nel rendere disponibili i dati relativi alla transazione agli interessati (clienti e impiegati della banca autorizzati). Conviene realizzare un "bus informativo" su cui viaggiano la maggior parte delle informazioni relative alle transazioni, che possono essere viste da chiunque ne abbia il diritto. Le architetture a bus sono molto efficienti. Se non c'è una struttura a bus, tutte le volte che servono i dati bisogna creare procedure ad hoc per estrarli. Ogni banca ha le proprie applicazioni centrali (core banking) che in pratica non ha la possibilità di modificare e altre applicazioni di contorno che possono essere migliorate, sostituite o eliminate.
L'area più nuova è quella della comunicazione multicanale (sistemi di sportello, ATM, banca telefonica, e-banking, mobile banking, contatti via web e via email), che è cresciuta tumultuosamente negli ultimi cinque anni. Nella multicanalità di prima generazione, ogni canale di comunicazione aveva il proprio sistema informativo e il proprio gruppo di supporto e i vari sistemi erano collegati ma non completamente integrati. Nella nuova architettura, la banca vede il proprio cliente in modo unitario, come del resto il cliente vede la banca in modo unitario indipendentemente dal canale utilizzato per interagire. C'è un unico stack di protocolli, un livello comune di software e un livello di presentazione molto simile in ogni canale. Con questa architettura si semplifica molto la raccolta dei dati e si hanno maggiori garanzie di coerenza e di esattezza dell'informazione. Per esempio, se chiedo il saldo del mio conto corrente attraverso home banking, dovrei vedere un prelievo effettuato un minuto prima da un ATM del medesimo istituto. Le nuove architetture dei sistemi informativi bancari dovrebbero permettere la trasparenza a tutti i livelli: dal più basso al più alto. Se vi collegate al sito Internet di una banca, potete vedere che generalmente le informazioni che vengono fornite sul funzionamento della banca sono maggiori di qualche anno fa, questo anche come conseguenza dei nuovi principi di "corporate social responsibility" che si basano sulla considerazione che la gente ha sempre più bisogno di altra gente per fare business ed è importante conquistare la fiducia e il rispetto dei propri partner.

Qual'è il ruolo dell'IT nella governance delle istituzioni finanziarie ?

In primo luogo vediamo una crescita generalizzata dei metodi per la misura delle performance, come le balanced scorecard. Poiché i diversi tipi di banche hanno anche diverse value proposition, utilizzano anche diverse metriche per l'analisi delle performance. Si assiste quindi a una maggiore diversificazione delle informazioni in funzione del tipo di banca, con data warehouse e programmi di analisi sempre più raffinati. C'è anche una maggiore precisione nella definizione delle job description dei singoli dipendenti, con piani di incentivazione legati alle performance individuali in base a obiettivi individuali misurabili, e nella valutazione del grado di raggiungimento degli obiettivi mediante processi formali di performance appraisail. I dati raccolti in questo modo consentono di creare uno skills inventory sempre aggiornato delle competenze che costituiscono il vero capitale della banca. Altre aree d’interesse sono i sistemi di Business Intelligence per il controllo della profitability: customer profitability, general profitability, organisation unit profitability, legal entity profitability, etc.
Un'altra area riguarda le normative di Basilea 2 e le nuove norme che regolano i sistemi di controllo per verificare che le isitituzioni finanziarie investano i soldi ricevuti dai loro clienti in modo coerente con i loro desideri. Questo implica la necessità di avere una value proposition esplicita, una politica di investimenti esplicita e misurabile, un modo per individuare le reponsabilità individuali dei gestori, un sistema di profilazione degli investitori e dei tipi di investimento che intendono effettuare e sistemi in grado di verificare periodicamante la coerenza tra gli investimenti effettuati e i desideri espressi dagli investitori.

A che punto sono le banche nella realizzazione di questo complesso processo evolutivo?

Penso che nessuna banca abbia già raggiunto pienamente tutti questi obiettivi strategici. Mentre la maggior parte degli istituti di credito ha realizzato sistemi decorosi di Internet Banking e siti Web ricchi di informazioni, molte banche sono ancora intente a modificare i programmi di contabilità generale per classificare le voci di spesa e di ricavo in modo sufficientemente preciso per implementare un sistema di activity based costing in grado di alimentare i sistemi di business intelligence di cui abbiamo parlato.
Una volta messa a punto la parte finanziaria, si possono affrontare altre aree come gestione delle risorse umane per obiettivi, Company Social Responsibility, IT governance, process governance, etc.

Torna a inizio pagina

Vai alla conferenza

Vai all'intervista