"Le banche sono sicure. Tutti noi lo diamo per scontato. La sicurezza si può vedere: mura robuste, serrature antiscasso, allarmi, caveaut blindati, agenti di vigilanza...Ma c'è un altro componente della sicurezza di una banca che non è così visibile: la sicurezza dell'informazione." (Tradotto da R.M. Nash, 2000) .

Ovviamente, il problema della sicurezza dell'informazione è ben conosciuto dalle istituzioni finanziarie, ove tradizionalmente si prevedono piani e misure per la protezione e il controllo degli accessi agli archivi: sistemi informatici e reti di comunicazione protetti, livelli gerarchici di autorizzazione degli accessi, e così via.

Il rapporto biennale ABI sulla sicurezza informatica delle aziende di credito (ABI, 1999) distingue una serie di aree di intervento, tra cui quelle di sicurezza fisica, logica, organizzativa e delle comunicazioni. La conversione in formato elettronico di porzioni sempre maggiori degli archivi aziendali, l'automazione dei processi di business, la crescente diffusione di sistemi distribuiti su rete locale, hanno fatto sì che le banche italiane si siano strutturate adeguatamente per la gestione della sicurezza dell'informazione in tutti gli aspetti considerati: l'analisi dei rapporti ABI dal 1995 al 1999 testimonia una forte e crescente attenzione del sistema bancario a tale riguardo.

Tuttavia, la recente affermazione dei canali di distribuzione elettronica, basati direttamente o indirettamente su Internet, ha conseguenze sul piano della sicurezza dell'informazione molto più profonde di quanto ci si potrebbe aspettare a prima vista, che possono avere un impatto rilevante non solo sull'attività delle singole banche, ma anche a livello di sistema.

Sul piano delle singole banche, i servizi on line permettono al cliente di effettuare transazioni via Internet, andando a modificare il contenuto di archivi chiave del back office senza alcun intervento o controllo diretto del personale bancario. È evidente che l'efficacia dei meccanismi di riconoscimento, autenticazione e abilitazione dell'utente deve essere fuori discussione, e che il rischio di intrusione è amplificato dal numero elevatissimo e sempre crescente di persone che hanno accesso potenziale al canale: per esempio, se c'è una probabilità su un miliardo che una persona sia in grado di aggirare un sistema anti-intrusione, il rischio potrebbe essere accettabile con 100 utenti conosciuti, molto meno con milioni di persone sconosciute. Il fatto di poter accedere via Internet da luoghi remoti, in Paesi soggetti a legislazioni diverse, utilizzando computer con indirizzi Internet mascherati e comunque difficilmente rintracciabili, dà la possibilità ai potenziali intrusi di agire di nascosto e in tutta calma, con poche probabilità di essere scoperti .

Sul piano del sistema bancario, già la stessa diffusione dell'utilizzo di carte di credito per i pagamenti on line, che vengono abilitati senza poter accertare l'effettiva disponibilità fisica della carta da parte dell'utente, come avviene tradizionalmente off line, aumenta il rischio potenziale di frode. La riduzione del grado di affidabilità delle carte di credito rappresenta una minaccia indiretta per le banche, che richiede l'adozione di contromisure efficaci e tempestive, accettate e riconosciute a livello di sistema .



segue >>
2.2 IL CONNUBIO TRA INFORMATICA E DIRITTO