Tobias Schumacher, Senior Risk Management Specialist Cyber presso la FINMA, spiega nell’intervista quali sono i cyber-rischi a cui devono prestare particolare attenzione gli istituti finanziari. E manda un messaggio chiaro: resta ancora strada da fare anche nel 2026.
Signor Schumacher, il «Monitoraggio FINMA dei rischi 2025» evidenzia ancora una volta segnali allarmanti. Qual è la valutazione della FINMA sulle minacce attuali sul fronte della cyber-sicurezza?
Il settore finanziario svizzero si trova ad affrontare sfide sempre maggiori nell’ambito della cyber-sicurezza. L’interconnessione tecnologica e i rapporti di dipendenza esterni nei confronti di offerenti terzi sono fattori di incremento dei rischi. È fondamentale adottare un approccio integrato per la protezione, l’individuazione e la capacità di reazione e resilienza.
Concretamente quali sono i pericoli maggiori dal Suo punto di vista?
Il panorama attuale dei rischi è caratterizzato da una notevole complessità. Oltre ai rischi finanziari, acquisiscono sempre maggiore importanza anche i rischi non finanziari, come per esempio i cyber-attacchi. Dal «Monitoraggio dei rischi» emerge che anche nel 2025 il settore finanziario svizzero è stato tra i principali bersagli nel mirino di cyber-criminali. A causa della loro forte interconnessione tecnologica, dei loro servizi critici e dei rapporti di dipendenza con fornitori esterni di servizi, le banche, le imprese di assicurazione e altri istituti finanziari sono esposti a un rischio particolarmente elevato. Gli autori degli attacchi evidenziano un livello sempre più elevato di professionalità e sviluppano metodi sempre più sofisticati, in particolare grazie a un’automatizzazione più rapida e all’utilizzo dell’IA generativa. Al tempo stesso, molti istituti presentano un coordinamento ancora insufficiente nella gestione dei cyber-rischi. Spesso l’organizzazione e il controllo delle misure di cyber-sicurezza sono operati in modo isolato all’interno del reparto IT senza essere sufficientemente radicati nella governance, nel sistema di controllo interno o nella gestione del rischio operativa.
In che senso il coordinamento nella gestione dei cyber-rischi è insufficiente?
Un piano di sicurezza moderno non è costituito da singole misure tecniche, bensì da meccanismi di sicurezza armonizzati e basati sul rischio. In particolare, le piattaforme cloud e altre infrastrutture esterne celano ancora notevoli zone d’ombra. I requisiti non sono del tutto definiti, l’efficacia delle misure di sicurezza non è costantemente attestata e spesso manca un’integrazione completa nel sistema di individuazione. In più, spesso i rapporti di verifica dei fornitori di servizi non vengono analizzati in maniera coerente sotto l’aspetto della rilevanza per la cyber-sicurezza. Ne conseguono lacune nelle interfacce centrali, che vengono deliberatamente sfruttate dagli autori degli attacchi.
Quali aspetti a Suo avviso vanno ulteriormente ottimizzati?
È necessario migliorare nell’individuazione e nella reazione. È fondamentale saper identificare rapidamente eventi critici sotto il profilo della sicurezza, classificarli per ordine di priorità e arginarli. Di fatto, molti istituti dispongono di strumenti per il monitoraggio, ma spesso non prevedono casi d’applicazione specifici per il singolo istituto, una chiara distribuzione delle competenze operative in situazioni critiche, né test periodici dei processi di reazione. In assenza di un’integrazione coerente di governance, rilevazione e reazione, l’efficacia delle singole soluzioni resta limitata.
Un altro aspetto cruciale è la capacità di ripristino in seguito a cyber-attacchi. Quali sono le principali difficoltà in tal senso?
Nonostante gli scenari relativi alla cyber-sicurezza debbano rientrare da anni nel Business Continuity Management (BCM), la relativa attuazione e lo svolgimento di esercitazioni comuni con i fornitori di servizi sono spesso lasciati in secondo piano. I backup sono davvero utili solo se funzionano in condizioni reali. Si dovrebbe sfruttare quanto emerge dai test e dai casi concreti per i processi volti a rafforzare la resilienza. Solo coordinando protezione, rilevazione, reazione e ripristino si costruisce una solida resilienza operativa.
Quanto è importante una visione integrata ai fini della resilienza degli istituti?
Per poter controllare in maniera efficace i cyber-rischi è necessario adottare una visione integrata, in cui gli aspetti della cyber-sicurezza rientrino chiaramente nella responsabilità gerarchica e nella gestione complessiva del rischio. L’identificazione, la valutazione e la documentazione dei rischi devono essere uniformi, i controlli di sicurezza rilevanti vanno gestiti formalmente nel sistema di controllo interno e sottoposti a test di efficacia. Assume particolare importanza la gestione delle funzioni esternalizzate. È necessario istituzionalizzare le responsabilità, i percorsi di escalation e il controllo del livello di sicurezza dei fornitori di servizi, perché sempre più spesso i problemi riguardanti pochi fornitori critici possono coinvolgere contemporaneamente più istituti. Anche nel 2025, la FINMA ha registrato un forte aumento delle segnalazioni di cyber-attacchi attraverso catene di fornitura e soggetti terzi, nonché un incremento dei furti di dati da parte di persone interne. Ciò mette in luce l’importanza di un quadro efficace per le minacce interne e l’individuazione delle anomalie.
Cosa comporta tutto ciò per la stabilità della piazza finanziaria?
La resilienza ai cyber-attacchi è diventata un fattore chiave per la stabilità della piazza finanziaria svizzera. Non si tratta più di capire se e quando un istituto diventerà il bersaglio di un cyber-attacco, ma soprattutto di quanto è resiliente nell’affrontare un attacco. Il livello di qualità non dipende dalla tecnologia, ma piuttosto dalla sinergia di governance, cultura del rischio, protezione tecnica, capacità di reazione e competenza in materia di ripristino. Gli istituti sono dotati delle basi necessarie, ma è fondamentale che le sappiano sfruttare con efficacia nei casi concreti.
Che ruolo rivestirà la FINMA in futuro?
La FINMA continua a classificare i cyber-rischi tra i rischi più importanti. Pone l’enfasi su una vigilanza basata sui dati e potenzia la propria valutazione del sistema di cyber-sicurezza degli assoggettati con strumenti adeguati, ad esempio esercitazioni di cyber-sicurezza basate su scenari. In questo modo, la FINMA s’impegna per tutelare i clienti dei mercati finanziari e la funzionalità dei mercati finanziari.
