• modelli organizzativi
• struttura organizzativa
• cyber-resilience
• cyber security
• intelligenza artificiale
• sistemi informativi
• covid 19
• cyber risk
• GDPR 2016
• direttiva NIS 2018
• organizational models
• organizational structure
• cyber-resilience
• artificial intelligence
• nformative system
• directive NIS 2018

La presente tesi di laurea ha come tema lo studio della cyber security derivante dal fenomeno del cyber risk, data l’elevata frequenza e intensità degli attacchi informatici nei confronti delle banche. Si tratta di un rischio nuovo, fino a poco tempo fa nascosto dai rischi più tradizionali come il rischio di credito e il rischio di mercato, e che consiste nel subire danni a seguito di violazioni dei sistemi informatici delle banche.
Il contesto storico di questo fenomeno è la “Rivoluzione 4.0” o “Digital Trasformation”. Si tratta di una Rivoluzione diversa rispetto a quelle del passato per un elemento distintivo: la curva di espansione è più corta a livello temporale. Pertanto gli impatti sono accelerati e i tempi di recupero sono più brevi, indice di un forte rischio di rientro dell’investimento per l’imprenditore. È quindi un processo che obbliga tutte le aziende a rivedere i propri modelli di business e la propria vision, dovendo esse includere al loro interno la componente digitale, composta da elementi quali l’iper-connettività, il super computing, lo smarter world, la cybersecurity ed il cloud.
Tali elementi hanno fatto emergere nuove aspettative da parte dei consumatori, i quali richiedono sempre di più un’offerta di prodotti e servizi bancari real time, in modo da concludere qualsiasi operazione con un ridotto “time consuming”. A quest’esigenza si collega quella della semplificazione, che richiede necessariamente la presenza di processi sempre più automatizzati ed economici.
Il settore bancario ha risposto positivamente a questi nuovi bisogni, modificando l’operatività sia delle filiali che delle sedi centrali, così da perseguire una fidelizzazione della clientela e contrastare la concorrenza del settore.
La tesi è articolata in quattro capitoli e procede nel modo seguente: si parte dalla descrizione del contesto di innovazione digitale che sta attraversando il settore bancario, poi vengono illustrati i principali metodi di attacco informatico e le conseguenze sulla sicurezza, ed infine vengono presentate le soluzioni adottate.
Il primo capitolo affronta l’evoluzione dei sistemi informativi, inizialmente con un quadro generale sull’integrazione informativo-contabile dei vari settori aziendali, con un focus sul Web Information System che ha permesso il passaggio dai sistemi Legacy ai sistemi ERP, per poi focalizzarsi sulle specificità dei sistemi informativi del settore bancario. Seguono quindi le caratteristiche della Digital Trasformation, la quale ha rappresentato un vero e proprio cambio di paradigma con la nascita dei third party providers, nuovi sportelli bancari, nuovi canali virtuali bancari e l’applicazione della tecnologia blockchain nella banche.
Ne consegue la nascita di nuovi elementi, come i millennials, il trading on line, le criptovalute, gli smart contracts, i documentali paperless e l’automazione dei processi.
Il secondo capitolo definisce nello specifico il cyber risk e ne tratta le principali minacce, quali malware e phishing, utilizzando esempi pratici e recenti con le conseguenze che questi hanno apportato al sistema bancario. Qui viene anche esposto un breve case study per una maggiore comprensione delle criticità del fenomeno. Seguono poi le caratteristiche del FAIR, un metodo di valutazione del cyber risk.
Nello spiegare le motivazioni che portano i criminali ad attaccare le banche e le tecniche da loro utilizzate, è emerso in questo capitolo come siano stati messi a punto attacchi ai clienti utilizzando come effetto leva la paura da Covid-19, l’emergenza sanitaria mondiale che stiamo attraversando.
Il terzo capitolo descrive i protocolli di sicurezza adottati a salvaguardia dei sistemi informativi bancari, partendo dalle strategie dell’eurosistema, quali il CROE, il Tiber-EU e l’applicazione nazionale nel Tiber-IT, i principi del General Data Protection Regulation , le caratteristiche della Payment Services Directive 2 (PSD2) e dell’Open Banking.
In questo capitolo un paragrafo specifico è riservato al funzionamento dei sistemi di crittografia, partendo dal più semplice, il c.d. “sistema a chiave simmetrica”, e a seguire il “sistema a chiave asimmetrica” e la Funzione di Hash.
Il quarto ed ultimo capitolo tratta l’importanza del fattore umano e delle campagne di sensibilizzazione del cliente per ottenere una maggiore cyber security.
The subject of this degree thesis is the study of cyber security resulting from the phenomenon of cyber risk, given the high frequency and intensity of cyber attacks on banks. This is a new risk, concealed until recently by more traditional risks such as credit risk and market risk, and which consists of suffering damage as a result of breaches of banks' computer systems.
The historical context of this phenomenon is the “Revolution 4. 0” or “Digital Transformation”. It is a different Revolution from those of the past for a distinctive element: the expansion curve is shorter in time. Therefore, impacts are accelerated and recovery times are shorter, indicating a high risk of return on investment for the entrepreneur. It is therefore a process that forces all companies to review their business models and vision, as they must include the digital component, composed of elements such as hyper-connectivity, super computing, smarter world, cybersecurity and cloud.
These elements have given rise to new expectations on the part of consumers, who are increasingly demanding an offer of real time banking products and services, so that any transaction can be concluded with reduced "time consuming". This need is linked to that of simplification, which necessarily requires the presence of increasingly automated and economic processes.
The banking sector has responded positively to these new needs, changing the operations of both branches and head offices, so as to pursue customer loyalty and counteract competition from the sector.
The degree thesis is divided into four chapters and proceeds as follows: it starts with the description of the digital innovation environment that is going through the banking sector, then it is explained the main methods of cyber attack and the consequences on security, and finally it is presented the solutions adopted. The first chapter deals with the evolution of the information systems, initially with a general framework on the information-compatible integration of the various business sectors, with a focus on the Web Information System which allowed the transition from legacy systems to ERP systems, and then focus on the specificities of the information systems of the banking sector. This is followed by the characteristics of Digital Transformation, which has represented a real paradigm shift with the emergence of third-party providers, new bank counters, new virtual banking channels and the application of blockchain technology in banks.
The result is the birth of new elements, such as millennials, online trading, cryptocurrency, smart contracts, paperless documents and process automation. The second chapter specifically defines cyber risk and deals with its main threats, such as malware and phishing, using recent practical examples with the consequences they have brought to the banking system. A short case study for a better understanding of the critical aspects of the phenomenon is also presented here. This is followed by the characteristics of FAIR, a cyber risk assessment method. In explaining the motivations that lead criminals to attack banks and the techniques they use, it has emerged in this chapter how attacks on clients have been developed using fear from Covid-19, the global health emergency we are experiencing.
The third chapter describes the security protocols adopted to safeguard banking information systems, starting from the strategies of the Eurosystem, such as the CROE, the Tiber-EU and the national application in the Tiber-IT, the principles of the General Data Protection Regulation, the characteristics of Payment Services Directive 2 (PSD2) and Open Banking. In this chapter a specific paragraph is reserved to the functioning of cryptographic systems, starting from the simplest, the so-called " symmetric key system", followed by "asymmetric key system" and the Hash Function The fourth and final chapter deals with the importance of the human factor and customer awareness campaigns to achieve greater cyber security.