Menu
Premium
Strategie e performance di banche e intermediari finanziari - Strategies and performance of bank and financial intermediaries
29, May 2026

Il rischio cyber è diventato rischio sistemico: cosa dice la BCE e cosa devono fare i board

La BCE dedica molteplici riferimenti nella sua Financial Stability Review di maggio 2026 alle minacce cyber e ai rischi ICT collocandoli esplicitamente tra le vulnerabilità strutturali trasversali, capaci di amplificare l'instabilità finanziaria sistemica. Non si tratta di un avvertimento tecnico rivolto ai team di sicurezza, ma di un chiaro segnale strategico indirizzato ai board.

Da rischio operativo a rischio di sistema: il cambio di paradigma

Per anni, il rischio cyber è stato classificato e gestito come rischio operativo. Un problema del CISO, del reparto IT, del fornitore di soluzioni di sicurezza. Il board ne discuteva a margine, spesso in risposta a un incidente già avvenuto. La FSR 1/2026 della BCE sancisce formalmente la fine di questa stagione.

Il documento inquadra il cyber risk insieme a tre altri fattori di destabilizzazione strutturale: l'ascesa dell'intelligenza artificiale — in particolare i frontier model di nuova generazione —, il quantum computing e la frammentazione regolamentare globale. Tutti e quattro vengono descritti come rischi capaci di cristallizzarsi simultaneamente, amplificandosi a vicenda in uno scenario di stress già elevato.

In un contesto in cui la guerra in Medio Oriente ha già prodotto shock energetici, volatilità sui mercati delle materie prime e pressioni inflazionistiche, la BCE avverte che le minacce ibride alle infrastrutture critiche stanno ulteriormente complicando il quadro. L'analisi qualitativa è supportata da un indicatore quantitativo: il conteggio delle menzioni di cyberattacchi e guerra ibrida sul Financial Times dal 2006 ad aprile 2026 mostra una curva in forte accelerazione, con un picco in corrispondenza degli ultimi eventi geopolitici.

Il fattore AI: quando la tecnologia moltiplica il rischio

Il passaggio più critico della FSR, dal punto di vista strategico, riguarda l'interazione tra intelligenza artificiale e capacità offensive:

"the possibility that cyberattacks will cause severe and widespread disruption is growing rapidly, as AI — especially newly emerging frontier models — enhances both the potential scope for, and the speed of, attacks staged by state and non-state actors alike"

Questa non è un'ipotesi di scenario futuro, ma una valutazione del presente formulata dalla BCE con implicazioni immediate per coloro che governano un'organizzazione. I modelli di rischio cyber costruiti negli anni scorsi — basati su frequenze di attacco storiche, tempi di risposta medi, profili di minaccia consolidati — stanno diventando obsoleti. L'AI abbassa drasticamente la barriera di accesso agli attacchi sofisticati, accelera i tempi di esecuzione e consente la personalizzazione su scala di campagne di social engineering, phishing e intrusione. Anche gli attori non statali, quali ad esempio i gruppi criminali, gli hacktivisti ed i proxy, oggi dispongono di capacità che fino a pochi anni fa erano prerogativa esclusiva degli Stati.

Per il board, la domanda non è più "siamo protetti dagli attacchi che conosciamo?" ma "siamo pronti per attacchi che non abbiamo ancora visto?"

Quantum computing: l'orizzonte che si avvicina

La BCE cita esplicitamente il quantum computing tra i rischi emergenti di destabilizzazione lungo il percorso di innovazione. Per il settore finanziario — e per qualsiasi organizzazione che gestisca dati sensibili, transazioni, identità digitali — questa menzione non va sottovalutata.

Il problema è noto agli esperti come harvest now, decrypt later: attori avversariali raccolgono oggi dati cifrati, in attesa che la potenza computazionale quantistica raggiunga la soglia necessaria per decifrarli. Le infrastrutture crittografiche attuali non sono progettate per resistere a questo scenario.

NIST ha già pubblicato i primi standard di crittografia post-quantistica. La domanda che ogni CIO e CISO dovrebbe portare al board è: qual è la nostra roadmap per la transizione?

DORA e la risposta regolamentare: non è un adempimento, è un framework strategico

La BCE non cita esplicitamente il Digital Operational Resilience Act, ma il contesto normativo di riferimento è inequivocabile. DORA è applicabile dal gennaio 2025 a banche, assicurazioni, gestori di fondi, infrastrutture di mercato e fornitori ICT critici nell'Unione Europea. Chi ha affrontato DORA come un esercizio di compliance ha perso l'opportunità più importante: usarlo come leva per costruire una governance del rischio ICT all'altezza del contesto descritto dalla BCE.

I pilastri di DORA — ICT risk management, incident reporting, resilience testing (TLPT), gestione del rischio ICT di terze parti, condivisione delle informazioni — non sono adempimenti amministrativi, non sono compliance.

Sono, al contrario, esattamente le capacità che servono per rispondere alla traiettoria del rischio identificata dalla FSR: attacchi più veloci, più sofisticati, potenziati da AI, con potenziale impatto sistemico. Un board che ha adottato DORA come framework di governance dispone oggi di strumenti per:

  • misurare la propria esposizione ICT in modo strutturato e continuativo;
  • identificare le dipendenze critiche dalla supply chain tecnologica;
  • simulare scenari di crisi attraverso i threat-led penetration test;
  • comunicare il rischio cyber al mercato e alle autorità con un linguaggio condiviso.

Le tre domande che il board deve saper rispondere

Alla luce di quanto evidenziato dalla BCE, esistono tre domande che ogni board dovrebbe essere in grado di rispondere oggi — non in modo tecnico, ma strategico.

Prima: il nostro modello di rischio cyber è aggiornato al contesto geopolitico attuale? La convergenza tra rischio geopolitico e rischio cyber è una delle tesi centrali della FSR 2026. Le organizzazioni che operano in settori energetici, infrastrutturali, finanziari o della difesa sono esposte a minacce che hanno una dimensione nazionale e continentale. Il threat modeling deve riflettere questa realtà.

Seconda: la nostra dipendenza da fornitori ICT critici è monitorata e gestita? La BCE identifica nelle interconnessioni tra banche, non-bank financial intermediaries e mercati privati un amplificatore del rischio sistemico. Lo stesso principio vale per le supply chain tecnologiche. Un attacco a un fornitore cloud, a un provider di autenticazione o a un sistema di pagamento condiviso può propagarsi rapidamente lungo tutta la catena del valore.

Terza: la nostra organizzazione è pronta per la crittografia post-quantistica? Non è una domanda per il 2030. È una domanda per oggi, perché la transizione richiede anni di pianificazione, inventariazione dei sistemi crittografici in uso e aggiornamento progressivo delle infrastrutture.

Conclusione: il cyber risk come priorità di governance

La FSR 2026 della BCE non lascia spazio a interpretazioni ambigue. Il rischio cyber non è più una questione tecnica che il board può delegare interamente al management. È una priorità di governance, con implicazioni dirette sulla stabilità finanziaria, sulla continuità operativa e sulla capacità competitiva dell'organizzazione.

I leader che sapranno cogliere questo segnale — trasformando la pressione regolamentare e il contesto geopolitico in un'occasione per rafforzare la propria postura di resilienza digitale — si troveranno in una posizione di vantaggio rispetto a chi continuerà a trattare il cyber come un costo da minimizzare.

La BCE ha parlato. Ma la domanda centrale è: il board della vostra Banca sta ascoltando?

Se stai valutando come tradurre le indicazioni dell'FSR 2026 in azioni concrete per la tua organizzazione — dalla governance del rischio ICT alla roadmap DORA — sono disponibile per un confronto.