Da sempre, la business continuity nel banking è una priorità assoluta. Se è vero che oggi il vantaggio competitivo si gioca sulla capacità di innovare, sulla customer experience e su prodotti/servizi particolarmente d’appeal, l’esistenza stessa degli operatori si fonda sulla capacità di generare un rapporto fiduciario (trust) con i propri clienti. Il pilastro principale di questo rapporto è proprio la continuità del servizio a prescindere da qualsiasi evento e circostanza in grado di causare disruption.
Business Continuity nel banking per rafforzare il rapporto di fiducia
Per quanto non esista settore che possa permettersi interruzioni al proprio business senza forti ripercussioni di reputation o compliance, nell’ecosistema bancario un potenziale evento avverso avrebbe conseguenze disastrose a causa della peculiarità dei servizi offerti. I clienti, siano essi privati o imprese, si fidano della banca e della sua capacità di custodire in modo sicuro il patrimonio e i dati sensibili, di garantire un’infrastruttura online sempre accessibile, un network di dispositivi self per operazioni bancarie (ATM) e un customer service di alto livello, comprensivo di touchpoint fisici e virtuali.
Un’interruzione del servizio, l’impossibilità di accedere per ore al proprio conto online o un downtime dell’infrastruttura di pagamento minano la fiducia tra le parti e conducono immediatamente il cliente verso altri lidi. Dal punto di vista della banca, tutto ciò non si traduce unicamente in perdite economiche e di posizionamento sul mercato, ma anche in un crollo della reputation e rischi di compliance, essendo il finance un settore fortemente regolato.
La necessità di un Business Continuity Plan completo e approfondito
Sulla base di quanto esposto si comprende chiaramente la necessità di business continuity nel banking, o meglio di un Business Continuity Plan che permetta alle istituzioni coinvolte di rispondere efficacemente alle principali cause di disruption, senza interruzioni di servizio o con tempi di recovery ritenuti accettabili in funzione del servizio stesso.
Com’è noto, il Business Continuity Plan non deve riguardare soltanto l’infrastruttura informatica, per quanto essa rappresenti il principale fattore di continuità dei servizi bancari, bensì l’intera azienda. La BCP deve difenderla da possibili atti di terrorismo e disastri naturali, rispetto ai quali occorre anche prevedere e disciplinare modalità di lavoro alternative (come lo smart working), oltre ovviamente a guasti dell’infrastruttura IT (hardware o software failure, problemi di rete…), errori interni e tutto l’universo degli attacchi cyber. Le banche devono quindi valutare accuratamente le proprie vulnerabilità rispetto ad ognuno di questi ambiti, identificando piani di mantenimento dell’operatività. Non si dimentichi, inoltre, che ognuno di questi scenari necessita un piano di risposta ad hoc, comprensivo di un’accurata gestione della comunicazione durante il periodo di crisi.
Dagli attacchi Cyber ai rischi di Supply Chain
Limitando ora l’osservazione al comparto tecnologico, bisogna sottolineare come la continuità del business sia sempre più legata all’uptime e alle performance dell’infrastruttura IT, il cui livello di complessità è cresciuto esponenzialmente nel corso degli anni.
La continuità del servizio e la protezione dei dati rappresentano fattori prioritari all’interno dell’ecosistema bancario: basti considerare che, secondo IBM, il costo di un singolo data breach nel settore finanziario è secondo solo a quello dell’healthcare, posizionandosi a 5,72 milioni di dollari. Sotto questo profilo, le banche risentono non solo della crescente complessità dell’infrastruttura da gestire, che si può basare su articolati modelli cloud, ma anche della crescita esponenziale delle minacce cyber, di una security awareness spesso vacillante e della sempre maggiore dipendenza da altri player dell’ecosistema. Questo crea ulteriori rischi di disruption. Vediamo queste potenziali vulnerabilità più in dettaglio:
-
Vulnerabilità interne e security awareness
Le banche sono sempre state all’avanguardia dal punto di vista della protezione dalle minacce esterne, motivo per cui buona parte degli attacchi cyber attuali mira l’anello debole della catena: quello umano. Phishing e Social Engineering sono la punta dell’iceberg di un fenomeno molto pericoloso e rispetto al quale l’unica risposta efficace è lo sviluppo di una cultura della sicurezza. Da qui, la centralità di piani di security awareness che puntino ad essere efficaci, smart e continuativi, poiché la sicurezza cyber è un tema che evolve e si modifica quotidianamente.
-
Mancanza di competenze specialistiche in cyber security
Pur vivendo nell’era dell’automazione dell’IT, il ruolo della competenza umana è ancora centrale nel mondo della sicurezza informatica. Purtroppo, il mercato è avaro di talenti e gli operatori del settore faticano a garantire per sé una task force di sicurezza cyber in grado di sfruttare al meglio gli strumenti di protezione offerti dal mercato. La soluzione è l’outsourcing verso player specializzati, che possono mettere a disposizione non solo tool e competenze, ma anche l’aggiornamento quotidiano di cui sopra.
-
Rischi di Supply Chain
Il mondo della finanza è fortemente interconnesso. Da quando il fintech ha rinnovato questo settore dalle fondamenta, si sono creati ecosistemi di player e di servizi che puntano a garantire la migliore user experience possibile. Tutto ciò apre però potenziali vulnerabilità, perché un’interruzione da parte di un player esterno può causare un forte disservizio. Lo stesso vale per quanto concerne l’outsourcing di tutta o parte della propria infrastruttura IT verso player esterni specializzati. Sotto questo profilo, un corretto mix di competenze, asset e certifiche è critico per la selezione del partner. Risulta così utile integrare attività di Vendor Management con il Business Continuity Management, di modo tale da identificare con anticipo la strada migliore per abbattere i rischi di Supply Chain.
