Categoria: Cyberculture

Virtual Currencies e regole

2018-02-10
ALBERTO BALESTRERI

Attualmente nel mondo sono operanti più di 1.500 schemi di Virtual Currency (VC) o criptovalute ed ogni giorno vengono effettuate oltre 284mila transazioni con i soli Bitcoin, nonostante i costi elevati di ciascuna transazione (25 dollari) ed i tempi necessari per poterla completare (almeno un’ora). Ciononostante le VC non possono assurgere al ruolo di moneta, come tradizionalmente inteso da secoli, per una pluralità di motivi razionali e sintetizzati da Yves Mersch, membro dell’Executive Board della BCE, nel corso di una prolusione intitolata “Virtual or virtueless? The evolution of money in the digital age”.

La nascita di derivati su Bitcoin, di ETF che investono in VC, i 3 miliardi di euro raccolti nel 2017 da Initial Coin Offerings (ICO), i clamorosi furti di VC da parte di cybercrimes, l’uso delle VC quale strumento di pagamento o di collaterale nelle transazioni finanziarie non possono che minare alla radice la più profonda flemma di un qualsiasi banchiere centrale. Per non immaginare quale sarebbe l’impatto sul CET1 (e sulla coefficiente di leva finanziaria) se le azioni delle banche potessero essere denominate ed emesse direttamente in Bitcoin.

Certamente il tempo farà pulizia di ciò che non serve, come evidenzia Yves Mersch nella sua conclusione. Rimane il fatto, però, che le gravi responsabilità di un banchiere centrale - che, meglio di chiunque altro, percepisce i rischi sistemici delle VC - non dovrebbero tradursi in una chiusura all’innovazione. Si tenga conto che le VC sono nate e si sono sviluppate all’interno dell’attuale quadro di regole (e già questo la dice lunga sugli effetti che la chiusura all’innovazione ha avuto sui legislatori, PSD2 in primis) e che le VC non sono solo tecnologia, ma rappresentano uno degli aspetti della cultura digitale, come abbiamo già avuto modo di osservare su questo blog. Le VC sono nate e, in una forma o in un’altra, vivranno per sempre. La revisione delle regole dovrebbe quindi avvenire coinvolgendo tutti gli attori dell’industria delle VC, così come sta già avvenendo con le FinTech. L'innovazione deve essere accolta e fatta evolvere, chiusura ed indifferenza, per quanto giustificabili sotto il profilo dei rischi, non sono la strategia migliore per mantenersi resilienti.

Le criptovalute sopravviveranno?

2018-02-07
ALBERTO BALESTRERI

Paperon de’ Paperoni sarebbe totalmente d’accordo con Augustin Carstens, General Manager della Banca dei Regolamenti Internazionali che, in un recente discorso intitolato “Money in the digital age: what role for central banks?”, ha espresso con chiarezza e dovizia di particolari la propria opinione conservativa in tema di criptovalute. Come potrebbe, lo zio Paperone, fare ogni mattina un rigenerante bagno in un deposito di criptovalute? E come potrebbe contemplare la monte n. 1 se essa fosse virtuale? E perché Gastone dovrebbe poter riuscire ad arricchirsi, una volta di più, con le criptovalute mentre al povero Paperino non rimarrebbero che pochi dollari cartacei di fatto fuori corso?

La nascita e lo sviluppo di migliaia di criptovalute è un fenomeno molto interessante, che si innesta pienamente nella cultura digitale e che, potenzialmente, può incidere in modo molto significativo sulla finanza e sui modelli di produzione della ricchezza di famiglie, imprese e Stati. Vi sono moltissimi rischi, come correttamente evidenziato da Cartens, e la probabilità di sopravvivenza delle criptovalute in un mondo dominato da banche centrali, rese ipersensibili dalla Grande Crisi Finanziaria, appare oggi molto ridotta. Vi sono ovviamente concrete esigenze di protezione dei consumatori, di contrasto al finanziamento del terrorismo, di lotta al riciclaggio ed all’evasione fiscale, di salvaguardia della stabilità del sistema finanziario. Tutto vero, ma non sufficiente per bloccare uno sviluppo ordinato delle criptovalute.

Probabilmente l’approccio che governi e banche centrali stanno adottando nei confronti delle criptovalute (affine, per motivazioni, a quello adottato dalle agenzie governative sul Web) tende a soffocare lo sviluppo di un nuovo mondo che potrebbe risultare, al contrario, di grande utilità in tema di gestione, controllo e promozione delle politiche monetarie.

Le molte criticità evidenziate da Carstens nella propria prolusione sono reali, si fondano su ricerche accurate e tendono a salvaguardare un bene assai prezioso, la fiducia che i privati ed i mercati hanno nelle banche centrali. Ma il tema è più ampio e la fiducia dovrebbe essere estesa alla capacità delle banche centrali di integrare le criptovalute nel quadro esistente, e questo non solo grazie alla sola produzione di regole da imporre ai “produttori” di criptovalute. La cultura digitale - che è fatta da connessioni, dati, informazioni, suoni ed immagini - impone un mutamento di paradigma non solo sul fronte della regolamentazione (lo shadow banking in Basilea 1 rimane un insegnamento per tutti) ma anche sulla percezione della innegabile utilità che la tecnologia può rivestire nello svolgimento delle funzioni proprie che la storia e la cultura, più che le norme, hanno assegnato alle banche centrali.

Potete vedere il video della prolusione sul sito della Bundesbank cliccando qui.

Dalla fiducia alla resilienza

2018-02-01
ALBERTO BALESTRERI

La Banca d'Italia ha recentemente pubblicato un occasional paper intitolato "L'architettura dei sistemi di pagamento interbancari dalla prospettiva della Cyber Security" la cui lettura risulta interessante per coloro che si occupano professionamente di questo tema assolutamente centrale, ma ancora insufficientemente studiato, sia sotto il profilo macro che in relazione alle tematiche di governance di ogni intermediario finanziario.

Gli autori (Antonino Fazio e Fabio Zuffranieri) propongono un mutamento di paradigma particolarmente deciso per le cd. infrastrutture tecniche del sistema dei pagamenti, e cioè di quel complesso di impianti, installazioni e procedure tecniche e amministrative - utilizzate da uno o più operatori - che consentono una gestione dei flussi informativi funzionali al trasferimento della moneta o all'estinzione di obbligazioni pecuniarie anche mediante compensazione nell'ambito di un sistema di pagamento. L'esempio più noto di infrastruttura tecnica è la SWIFT (Society for Worldwide Interbank Financial Telecommunications), sulla quale la sorveglianza è condotta in modo cooperativo dalle Banche Centrali nazionali dei Paesi del G10 e dalla BCE, sulla base di specifici protocolli.

In buona sintesi, tramite SWIFT - che è un circuito chiuso tra banche - transitano "messaggi di pagamento" che, una volta emessi, generano automaticamente variazioni nelle rispettive posizioni debitorie e creditorie della banca che li ha emessi e di quella che li ha ricevuti, e ciò sulla base della fiducia assoluta (Trust Paradigm) accordata da ciascuno dei partecipanti alla cooperativa dato che il sistema è alimentato e gestito solamente da "membri dello stesso club".

"In such an open and more hostile environment, financial entities can no longer presume to be in a
safe, club-like, isolated environment, since attackers, given their asymmetrical capabilities, can overcome any defence, at a system and at individual level. This means that a paradigm shift, from ‘trust’ to ‘resilience’, is required. In essence, there is a greater onus to design and build secure infrastructure architecture and establish a comprehensive risk management framework. For this reason, some international authorities have already suggested that financial entities design their internal controls based on the assumption that defences have been breached and attackers have
already infiltrated the systems (‘the attacker is already in’ assumption, CPMI-IOSCO 2014)."

Nel paper gli Autori evidenziano, tra l'altro, l'insufficienza dell'implementazione delle misure di trasferimento o di mitigazione dei cyber risks così come attualmente implementate, e ciò anche con riferimento ai nuovi programmi di sicurezza elaborati da SWIFT.

Il mutamento di paradigma proposto, e cioè il passaggio da un approccio fondato sulla fiducia ad uno basato sulla resilienza (propria e dell'intero sistema), vale a maggiore ragione nella gestione di qualsiasi relazione tra intermediari finanziari, con particolare rilievo per gli istituti di pagamento che, come noto, sono i più esposti a qualsiasi tipologia di attacco esterno data la miriade di device e connessioni con in quali si relazionano.

La lettura del paper contiene molti stimoli a fare e molte idee concrete per coloro che fanno parte degli organi con funzione di supervisione strategica, con funzione di gestione e con funzione di controllo.

Vi sono anche molti temi utili per ricerche future: dal punto di vista professionale, rileviamo due aree di interesse specifico:

- i membri degli organi apicali di banche ed intermediari finanziari debbono investire in una specifica attività di formazione circa la natura ed i modelli di gestione dei rischi cibernetici. Il tema possiede una rilevanza decisamente superiore a quella attualmente percepita e può generare rischi di una magnitudo non immaginabile;

- potrebbe essere interessante valutare se il mutamento di paradigma proposto possa essere declinato in una qualche forma utile anche nella governance di ogni soggetto economico che abbia "natura di club", e cioè abbia natura associativa, consortile o cooperativa. La fiducia tra associati, consorziati e cooperatori va bene, ma perseguire la resilienza (per se stessi e per il sistema al quale si appartiene) è probabilmente meglio....

Alcune definizioni utili per la sicurezza informatica

2018-01-12
ALBERTO BALESTRERI

Il Decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali" pubblicato sulla Gazzetta Ufficiale n. 87 del 13 aprile 2017 riporta nell'articolo 2 definizioni che rappresentano uno standard per coloro che si occupano di sicurezza informatica. Le principali, da tenere ben presenti in sede di analisi e di controllo, sono le seguenti (corsivo e numerazione nostri):

Spazio cibernetico: l'insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di essi;

Sicurezza cibernetica: condizione per la quale lo spazio cibernetico risulti protetto grazie all'adozione di idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria o accidentale, consistenti: i) nell'acquisizione e nel trasferimento indebiti di dati; ii) nella loro modifica o distruzione illegittima; iii) ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;

Minaccia cibernetica: complesso delle condotte che possono essere realizzate nello spazio cibernetico o tramite esso, ovvero in danno dello stesso e dei suoi elementi costitutivi, che si sostanzia in particolare, nelle azioni di singoli individui od organizzazioni, statali e non, pubbliche o private, finalizzate all'acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a controllare indebitamente, danneggiare, distruggere o ostacolare il regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi;

Evento cibernetico: avvenimento significativo, di natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito, danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi.

Alcuni semplici consigli in tema di cyber security

2018-01-11
ALBERTO BALESTRERI

L'IVASS ha recentemente pubblicato una lettera al mercato, inviata a tutti gli intermediari assicurativi, che riporta gli esiti di un'indagine condotta presso 3.000 agenti e broker italiani in tema di gestione delle informazioni e di prevenzione dei rischi informatici.

Il documento, che potete scaricare direttamente dal sito dell'IVASS cliccando qui, evidenzia almeno due questioni interessanti sotto il profilo generale, e quindi al di là degli specifici indirizzi rivolti al mercato assicurativo:

a) ogni intermediario deve prestare la massima attenzione ai cyber rischi che possono essere introdotti dalla propria rete di professionisti. La lettera ci informa che "Il 15% degli intervistati ha ammesso di aver subito almeno un attacco cyber, percentuale che sale al 50% per i grandi broker. Se si considera che molti operatori, non disponendo di idonei sistemi di monitoraggio, potrebbero non essere in grado di accorgersi di aver subito attacchi (anche in forma di sottrazione dei dati), il dato rivela una notevole criticità, soprattutto se associato alla circostanza - del pari emersa dall’indagine - che il 30% degli agenti, il 15% dei broker e il 20% dei grandi broker del campione hanno risposto che non riuscirebbero in caso di attacco a ripristinare integralmente i sistemi ed a recuperare tutti i dati e le informazioni.". I rischi, come l'innovazione, arrivano prevalenteemente dalla periferia, e la cyber security è, per definizione, oggetto di continue innovazioni;

b) la lettera al mercato riporta alcune indicazioni, in tema di prevenzione e di protezione, che rappresentano una ottima sintesi di ciò che serve - ad una qualsiasi impresa o professionista - per sopvravvivere. E' infatti innegabile che i sistemi informativi siano oggi parte costituente ed integrante per lo svolgimento di qualsiasi attività di consulenza e che tali attività possano essere fortemente, se non addirittura irreparabilmente, danneggiate da cyber attacchi.

La cyber security (aziendale e professionale) rappresenta un vero e proprio asset, una protezione continua di tutto ciò che è racchiuso nel perimetro di una qualsiasi iniziativa economica, e come tale deve essere oggetto di accurata valorizzazione da parte del soggetto economico e di continuo monitoraggio da parte degli organi di controllo.