Giuseppe Zadra
Nell'electronic banking, dice in quest'articolo il direttore generale dell'Associazione bancaria italiana, il contatto tra le parti è impersonale. Ciò alimenta perplessità e diffidenze in una clientela abituata da sempre a un rapporto faccia a faccia con il personale. Solo misure di sicurezza efficaci e largamente interbancarie potranno convincere il pubblico a familiarizzare con i sistemi telematici.
La credibilità e l'affidabilità di un'impresa bancaria rientrano in un ambito
percettivo basato su caratteristiche che da sempre sono legate in maniera
indissolubile allo svolgersi della sua attività. Tra queste caratteristiche, la
sicurezza qualifica naturalmente un'impresa bancaria e costituisce l'elemento al
quale possiamo riferirci pensando alla fiducia che nutre una persona quando
affida i propri risparmi alla banca.
La percezione di fiducia, che
costituisce un "capitale" del sistema bancario, è stata raggiunta e si è
consolidata in un lungo periodo di tempo attraverso un paziente e tenace lavoro,
svolto con professionalità, alla ricerca dei migliori risultati che si sono
spesso espressi in servizi e prodotti di qualità per la clientela. Questi
risultati sono stati anche frutto di un'attività di gestione dei rischi propri
dell'attività bancaria. In considerazione dei profondi mutamenti avvenuti nei
mercati e delle modalità di produzione e offerta dei servizi finanziari, i
profili di rischio si estendono oggi a una nuova categoria, che chiameremo degli
"altri rischi", distinta dal generico rischio d'impresa.
Detto questo, non si vuole ridurre l'importanza dei tradizionali rischi con
cui una banca si deve confrontare; i rischi di credito, di mercato, di cambio,
di liquidità sono anch'essi profondamente mutati insieme al contesto, ma sono
questi "altri rischi" che hanno assunto una propria identità con la quale è
necessario confrontarci. Tra questi se ne possono trovare di così strettamente
legati al fattore tecnologico che vengono definiti propriamente e-risk. I
nuovi canali distributivi, alternativi al tradizionale sportello, presentano
modalità di contatto con la clientela profondamente impersonali che possono far
venire meno quella conoscenza diretta che spesso è stata ed è alla base di
proficue relazioni d'affari.
Quanto affermato sul rapporto interpersonale
serve immediatamente a chiarire come un giudizio di merito di credito,
con il relativo rischio che una tale valutazione comporta, abbia già mutato in
parte il concetto stesso di gestione del rischio di credito. Inoltre la maggiore
facilità e velocità a operare sui nuovi canali amplia la potenzialità di questi
rischi. In questo contesto ci chiediamo se l'attività di electronic
banking, oltre a modificare i consueti profili di relazione con il cliente,
porti con sé "altri rischi". La risposta non può che essere affermativa.
Sicurezza, certezza delle informazioni, affidabilità, sono tutte qualità che
la clientela esige nei rapporti che si creano attraverso le nuove tecnologie. La
gestione di questi tipi di rischio rappresenta una sfida per il sistema
bancario, su cui è necessario consolidare parte di quel "capitale di
reputazione" di cui si è detto, che è un autentico fattore di vantaggio
competitivo in aree di mercato condivise con operatori non bancari. La
clientela, ad esempio, nella possibile vulnerabilità delle transazioni
effettuate con l'uso delle nuove tecnologie, ha già dimostrato di avere delle
precise esigenze. Prova di questo si trova nella richiesta, in alcuni casi
avanzata, di concludere con sistemi tradizionali (off line) transazioni
nate e condotte in rete.
Nei nuovi mercati un ruolo chiave viene svolto
anche dalla velocità delle transazioni. Il fattore tempo è ormai un elemento
determinante: la lentezza, o l'interruzione del servizio, si configura come una
perdita di opportunità di guadagno e quindi come rischio finanziario collegato
alla qualità del servizio.
Un ulteriore elemento di riflessione si può
trovare nella certezza e nell'attendibilità delle informazioni fornite alla
clientela. In proposito possiamo formulare due ipotesi: la prima legata
all'inadeguata capacità del cliente di interpretare vantaggiosamente
informazioni corrette; la seconda legata al rischio di propagare informazioni
falsate, ambigue o scorrette, diffuse da soggetti terzi ospitati nel portale
Internet della banca o a esso collegati.
Le frodi perpetrate attraverso l'uso abusivo di denominazioni, la pirateria
informatica, il dipendente infedele, il comportamento "non trasparente" di
soggetti che possono essere associati, anche indirettamente, alla banca, perché
connessi alla propria rappresentazione virtuale (sito Internet), sono soltanto
alcuni dei rischi che possono compromettere anni di corretto operato
dell'istituto bancario.
Sul fronte dell'outsourcing, il fenomeno del
ricorso a soggetti esterni per eseguire una serie di attività e funzioni assume
una particolare importanza, specie se commisurato alla possibilità di perdere il
controllo sia della componente tecnologica che di quella operativa. Per
quest'ultimo punto una particolare riflessione meriterebbe anche la figura del
promotore finanziario, che molte volte è collegato alla banca attraverso canali
elettronici sui quali è necessario garantire gli adeguati livelli di
riservatezza e autenticazione.
Per le operazioni di riciclaggio, che si
possono svolgere con il coinvolgimento inconsapevole della banca, bisogna tenere
presente quanto già detto circa la spersonalizzazione dei rapporti; si aggiunga
inoltre l'impossibilità materiale di capire la localizzazione geografica da cui
si è dato inizio alla transazione.
Sulla base di queste prime considerazioni
è già possibile trarre alcune conclusioni a proposito dell'esistenza di nuovi
concetti di rischio: questi hanno posto gli istituti bancari nella necessità di
individuare le appropriate soluzioni organizzative e tecnologiche necessarie a
garantire il mantenimento della percezione di fiducia basata anche sulla
certezza delle transazioni effettuate e sulla continuità dei servizi
offerti.
La riduzione del rischio operativo.
Il settore bancario, da
sempre, ha dato prova di attenzione alle relazioni con la clientela.
Dimostrazione di questa attenzione si è avuta con l'adozione del "Codice di
comportamento del settore bancario e finanziario" che costituisce una fonte di
autoregolamentazione deontologica dove i principi di fondo sono richiamabili
nelle operazioni effettuate con le nuove tecnologie1. In questa stessa
direzione - che privilegia il ruolo dell'autonomia privata - si muove anche
quanto definito dalla Direttiva europea sul commercio elettronico emessa l'8
giugno 2000. La Direttiva, più in dettaglio, sollecita gli Stati membri -
tramite la collaborazione di associazioni, organizzazioni imprenditoriali,
associazioni di consumatori e altri enti simili, a promuovere ed elaborare
l'applicazione degli aspetti normativi.
I principali contenuti riportati
sono: le informazioni da fornire in sede precontrattuale, le professioni
regolamentate, la disciplina dei contratti per via elettronica, l'inoltro degli
ordini, i profili di responsabilità dei soggetti che consentono l'accesso alle
reti o alla trasmissione dei dati.
Nel rispetto del principio che privilegia
il ruolo dell'autonomia privata, in ambito aziendale ogni banca definisce i
metodi di valutazione del rischio sulle operazioni finanziarie e le modalità di
gestione della sicurezza. In particolare, per le metodologie impiegate in queste
aree, il sistema bancario si è posto, da sempre, sulla più avanzata frontiera,
in alcuni casi divenendo arena di sperimentazione di nuove tecnologie: basti
pensare all'uso dei sistemi inferenziali (intelligenza artificiale) per la
valutazione del rischio di credito ovvero al più attuale impiego della firma
digitale nelle operazioni di banca elettronica (trading on line, disposizioni di
pagamento, rendicontazione, ecc).
Nel corso di queste esperienze le banche, in quanto sistema, hanno spesso
individuato l'opportunità di impostare la loro azione in forma cooperativa
attivando numerose iniziative condotte in Abi. Ad esempio, sul tema
dell'antiriciclaggio, l'Abi segue l'evoluzione della disciplina favorendo la
cooperazione basata anche su strumenti informatici comuni, in grado di fornire
segnalazioni di operazioni sospette.
Sul campo tecnologico, dal 1990 è stato
costituito un Osservatorio sulla sicurezza informatica delle aziende di credito.
Le aree prese in considerazione dalla rilevazione coprono tutti gli aspetti
della sicurezza informatica in banca, fornendo un chiaro quadro dei pregevoli
risultati conseguiti anche sulla base di ingenti investimenti in risorse umane e
finanziarie2. L'iniziativa
denominata "Progetto microcircuito" costituisce un ulteriore fronte di impegno
cooperativo, con l'obiettivo di gestire l'evoluzione delle carte di pagamento
con banda magnetica, verso l'utilizzazione delle più sicure smart card3.
Per quanto
riguarda l'area applicativa, sul campo dell'electronic banking, sono in
corso di definizione iniziative, basate su standard di sistema, per la gestione
di pagamenti sicuri su Internet mediante strumenti convenzionali (carte di
pagamento, addebito in conto...) oppure tramite operazioni eseguite da telefoni
mobili. Nell'ambito dello stesso progetto è anche contemplata la definizione di
un'infrastruttura di servizio4 per lo sviluppo
di market place B2B.
Come ultimo elemento di questa breve rassegna dedicata alle principali iniziative interbancarie volte alla gestione del rischio operativo nelle transazioni finanziarie, è opportuno evidenziare la creazione della Pki (Public key infrastructure), una infrastruttura a chiave pubblica per l'uso della firma digitale con valore convenzionale e legale5. La firma digitale applicata a un documento elettronico, equiparabile per validità legale alla sottoscrizione di un documento cartaceo, costituisce un fondamentale elemento di sviluppo delle relazioni basate su rapporti telematici che, nello spazio virtuale, possono riconquistare l'inestimabile valore che il diritto ha sempre dato a ogni forma di comunità. Certo è necessario valutare fino a che punto la firma digitale, come ogni altra soluzione tecnologicamente avanzata, appartenga all'uomo d'oggi: è sempre difficile, infatti, adeguarsi ai nuovi modi di utilizzazione di strumenti basati - come fino a ora è stato per la "firma" - su regole acquisite nel corso di generazioni. Tuttavia è necessario guardare al futuro, per evitare di restare ancorati a un passato meno agibile.
Note
1 Il Codice di comportamento prevede un esplicito riferimento alla sicurezza dei sistemi digitali, impegnando le banche che lo hanno sottoscritto ad «adottare efficaci criteri di sicurezza nel caso in cui gli ordini di incasso o pagamento vengano impartiti attraverso l'utilizzo diretto di collegamenti informatici e telematici tra cliente a aderente».
2 L'Osservatorio dell'Abi ha sintetizzato i risultati della propria attività nella pubblicazione di una serie di indagini statistiche (1991, 1993, 1997) che hanno mostrato la progressiva attenzione alla sicurezza informatica da parte del sistema bancario nel suo complesso. Questa attenzione è stata, come è ovvio, direttamente proporzionale alla sempre più pervasiva adozione di strumentazioni e servizi digitali. Anche la più recente e complessiva Rilevazione dello stato dell'automazione del sistema creditizio. Situazione al 31 dicembre 1999 e previsioni per il biennio 2000-2001 mette in luce la diffusa predisposizione, da parte degli istituti bancari, di piani di analisi dei rischi informatici, così come l'individuazione di figure professionali responsabili della sicurezza logica dei sistemi adottati. Per quanto riguarda l'Internet banking, dall'indagine emerge tra l'altro che la verifica della sicurezza del sito tramite test d'intrusione viene eseguita (direttamente o attraverso aziende esterne) dalla metà delle banche: questa stessa percentuale è destinata a superare l'80% entro il 2001. Per quanto riguarda i meccanismi di sicurezza, possono essere inoltre segnalati i dati relativi alla cifratura dei dati (già applicata dal 91% delle banche), all'uso della firma elettronica (che dal 21% passerà presumibilmente al 37%) e della firma digitale (da uno zero percentuale del '99, stimabilmente raggiungerà il 55% nel 2001).
3 Il passaggio dalle carte a banda magnetica alle smart card, promosso dal Progetto microcircuito (struttura costituita in sede Abi nel 1998 tra i rappresentanti dei principali operatori presenti nel segmento delle carte di pagamento), produrrà numerosi vantaggi per l'utente dei servizi bancari. L'adozione delle smart card consentirà al cliente di usare una sola carta per diverse e molteplici funzioni; di potenziare il livello di sicurezza delle carte, ostacolandone le possibilità di falsificazione e duplicazione; di migliorare la qualità dei servizi a disposizione.
4 B2B sta per "business to business", locuzione inglese che indica lo scambio economico on line tra aziende, a differenza di quello tra azienda e consumatore finale (B2C).
5 Approvando la "Convenzione per la costituzione di un'infrastruttura di sicurezza a chiave pubblica per l'utilizzo di documenti informatici nello svolgimento dell'attività bancaria e finanziaria", il sistema bancario si è dotato di un progetto comune per la gestione del documento elettronico e della firma digitale, rispondendo così alle esigenze determinate dalle nuove normative approvate in merito. Grazie a tale forma di cooperazione, sarà più facile procedere all'introduzione e alla rapida diffusione della firma digitale, che, attribuendo validità legale ai documenti elettronici, offre forme di certificazione e di sicurezza ai più alti livelli.