Nel mercato finanziario, la tanto auspicabile innovazione digitale deve andare di pari passo con la protezione dei dati: ecco perché il tema della insurtech e fintech security assume una rilevanza sempre maggiore con l’andare del tempo. I nuovi player, agili e innovativi, fondano i propri modelli di business e il loro successo sul digitale e sui dati, fornendo user experience ottimizzate e accessibili a tutti. La natura dei dati gestiti li rende estremamente preziosi, da cui non solo la centralità della fintech security, ma anche la stretta regolamentazione dell’intero settore. Inoltre, lo sviluppo del mercato finanziario come ecosistema di servizi e player connessi genera complicati flussi di informazioni da cui nuove fonti di rischio cyber.
Le minacce che incombono sull’attività dei nuovi operatori del settore finanziario sono molte e vanno gestite con preparazione. L’obiettivo è una fintech security strategy articolata, efficace e finalizzata alla protezione dei propri asset digitali. Di seguito, cinque considerazioni imposte dalle esigenze di sicurezza del nuovo ecosistema finanziario.
L’anello debole della fintech security è sempre quello umano. A prescindere dall’attività, dal settore o dell’ecosistema nel quale si opera, è preciso dovere di ogni organizzazione creare una cultura della sicurezza, senza la quale processi, asset e metodologie di gestione sicura dei dati rischiano di essere inefficaci poiché “travolti” da campagne di phishing, social engineering o da malware particolarmente subdoli e pericolosi. A tal fine, gli strumenti disponibili sono molti e vanno dalla formazione tradizionale (non molto efficace) all’impiego di piattaforme avanzate con cui attuare percorsi personalizzati, simulare attacchi realistici, sfruttare le dinamiche della gamification per sviluppare engagement e sviluppare così quella consapevolezza che rende l’azienda più solida e sicura.
Il termine “outsourcing” descrive un fenomeno molto ampio. La sua rilevanza deriva dal fatto che un numero cospicuo di operatori del settore fintech e insurtech non ha (ancora) dimensioni tali da poter garantire internamente quella somma di competenze, processi e asset che è fondamentale per garantire sicurezza ai clienti e conformità alla normativa in vigore. Bisogna quindi valutare in modo approfondito l’architettura del servizio e, preferibilmente, delegare a provider specializzati tutto ciò che non fa parte delle proprie competenze core: in piena era as-a-service, le garanzie di sicurezza e resilienza fornite da operatori specializzati sono solitamente superiori rispetto a quelle delle fintech stesse e favoriscono la continuità del business e la conformità di cui sopra. In ambito di insurtech e fintech security, si pensi alle soluzioni di Identity and Access Management, alle piatteforme di pagamento e alla gestione dell’infrastruttura che eroga i servizi, infrastruttura che deve garantire resilienza di fronte a eventi cyber ma anche fisici. Non dimentichiamo, inoltre, che tutta la gestione della sicurezza può essere esternalizzata verso aziende specializzate che hanno proprio nelle competenze allo stato dell’arte, negli asset proprietari, processi e certifiche i propri punti di forza. Tutto ciò semplifica l’operatività delle fintech (e insurtech), ma rende più complesso l’ecosistema e quindi necessaria una puntuale attività di Vendor Management soprattutto a livello di processi e certifiche di sicurezza.
Identificare e proteggere gli asset digitali è una priorità assoluta della fintech security. A prescindere da questioni (peraltro centrali) di compliance, è fondamentale definire e implementare metodologie e strumenti di data protection. Vanno quindi definiti ruoli, responsabilità e procedure di gestione sicura dei dati, ma vanno anche implementati strumenti come una crittografia pervasiva, l’autenticazione a più fattori, i sistemi di protezione per i device portatili e via dicendo.
L’identificazione proattiva di vulnerabilità e lacune a livello di architettura e di codice è essenziale per rendere sicura qualsiasi applicazione; la insurtech e fintech security non fa eccezione. Inoltre, è molto utile eseguire dei penetration test professionali sull’applicazione stessa, di modo tale da far affiorare eventuali debolezze e sviluppare efficaci metodologie di mitigazione.
Un piano di Business Continuity è poi essenziale. Data la natura dei servizi erogati da questi operatori, occorre valutare attentamente tutte le cause di potenziali disruption e porvi rimedio. Si parla dunque di potenziali interruzioni a livello di data center – evento che può essere fortemente mitigato rivolgendosi a operatori certificati –, di attacchi cyber dall’esterno o dall’interno, dello smarrimento del laptop del CEO a un’infinità di altre fattispecie: in ogni caso, una strategia di continuità operativa ben pianificata può evitare o ridurre al minimo il rischio di disruption.
Come visto, il concetto stesso di insurtech e fintech security è molto ampio e stracolmo di sfide. Qualsiasi player si avvicini a questo settore, a prescindere dalla regolamentazione cui è soggetto, deve essere consapevole del valore dei suoi dati e dell’interesse dei malintenzionati a sottrarli sfruttando ogni genere di vulnerabilità esistente, sia essa infrastrutturale, legata al software o alle persone.
Impedire accessi non autorizzati e garantire la data security sono le massime priorità di ogni organizzazione e vanno raggiunte attraverso un approccio olistico al tema della fintech security, che parta dalla compliance normativa (GDPR, PSD2, PCI-DSS…) per evolvere quotidianamente in funzione di minacce in rapida crescita.
Oltre a dover sfruttare le tecnologie di protezione più evolute, chi si affaccia a questo terreno deve valutare il costante monitoraggio dei third-party vendor (fondamentali in un mondo interconnesso come quello finanziario), garantire la giusta cultura della sicurezza ai propri dipendenti e, non da ultimo, sviluppare campagne di awareness anche verso i clienti, che sono di solito i primi bersagli delle attività cyber criminali. Non è un caso che il furto delle credenziali attraverso malware o phishing, per quanto meccanismi rodati e ben conosciuti, sia ancora la principale minaccia dell’ecosistema finanziario, e quindi della fintech security. Tutto ciò apre un’ulteriore sfida per gli operatori del settore, che nel loro percorso possono farsi affiancare da player specializzati, in grado di garantire competenze e strumenti adeguati ad un’attività di monitoraggio costante e di reazione immediata di fronte ad eventuali anomalie.