Sicurezza IT e compliance nel settore finance: perché gli istituti finanziari devono modernizzare l'infrastruttura

La FINMA richiama l'attenzione sui principali rischi dell'intelligenza artificiale, quali i rischi operativi, in particolare i rischi di modello, quelli legati ai dati, gli attacchi informatici e i rischi legali e reputazionali. La vigilanza svizzera ha intensificato significativamente l'attenzione sulla resilienza operativa digitale degli istituti finanziari.

I cyber-rischi, ad esempio, non possono più essere presentati come un mero problema tecnologico di competenza dei reparti IT: si tratta di una potenziale falla per tutta l’organizzazione, con conseguenze anche gravi a livello di business.

Ecco perché la Circolare FINMA 23/1 "Rischi operativi e resilienza – banche", entrata in vigore nel 2024, definisce requisiti aggiornati per la gestione dei cyber-rischi, con particolare riferimento alla governance nella gestione delle minacce informatiche.

Il numero delle segnalazioni pervenute alla FINMA in merito ai cyber-attacchi andati a buon fine o parzialmente andati a buon fine è aumentato del 30% rispetto all'anno precedente. Le modalità di attacco si evolvono costantemente: gli assoggettati di tutte le categorie di vigilanza hanno notificato un numero crescente di cyber-incidenti, anche AI-powered, in relazione con il cosiddetto Business E-Mail Compromise e sotto varie forme di cyber-truffe, come quella della CEO personification.

Questo scenario rende ancora più strategica la scelta di partner locali, con data center in Svizzera, che garantiscano sovranità dei dati e conformità normativa by design.La residenza dei dati riguarda la loro posizione fisica: indica dove sono effettivamente localizzati i server o i data center che li ospitano. È, quindi, un concetto geografico e infrastrutturale: sapere in quale Paese o Regione si trovano i propri dati è fondamentale, perché da ciò può dipendere l’applicazione di determinate leggi.

Ad esempio, un’azienda svizzera che archivia dati in un Cloud pubblico con data center in Germania o negli Stati Uniti deve sapere che quei dati saranno soggetti anche alla sovranità di residenza di quei Paesi.

Molti istituti finanziari ticinesi, specialmente di dimensioni medio-piccole, operano ancora con infrastrutture on-premises che presentano vulnerabilità multiple, tra cui processi inadeguati per l'individuazione e la tempestiva rimozione delle vulnerabilità dei software all'interno dell'infrastruttura tecnologica come pure lacune nella gestione della configurazione.

E non è solo un tema di security ma anche di efficienza: i costi nascosti di queste infrastrutture includono hardware da manutenere, spazi dedicati negli uffici, manutenzione costante, personale tecnico specializzato sempre più difficile da reperire sul mercato locale, e incapacità di scalare rapidamente le risorse in base alle esigenze operative.

Per tutti gli operatori finanziari soggetti alla vigilanza FINMA, come banche, gestori patrimoniali e asset manager, la migrazione verso soluzioni Private Cloud rappresenta la risposta più efficace alle sfide di sicurezza, compliance e efficienza. Il Private Cloud offre vantaggi distintivi rispetto al Public Cloud:

• Localizzazione garantita dei dati in Svizzera, aspetto cruciale per rispettare i requisiti di sovranità digitale imposti dalla normativa. I dati rimangono in data center certificati situati sul territorio svizzero, rispondendo ai requisiti di vigilanza prudenziale.
• Personalizzazione e controllo totale, poiché ogni istituto può configurare l'ambiente secondo le proprie esigenze specifiche, mantenendo il controllo su sicurezza, performance e governance, senza i vincoli delle soluzioni standardizzate del Public Cloud.
• Consolidamento e ottimizzazione delle risorse, dato che la virtualizzazione permette di eliminare gli sprechi tipici degli ambienti sovradimensionati, assegnando risorse dinamicamente in base alle necessità effettive e riducendo drasticamente i costi operativi.

L'approccio descritto non è mera teoria ma una pratica consolidata, almeno per noi di Tinext Cloud. Ad esempio, per Azimut Switzerland abbiamo supportato in due anni una trasformazione radicale della propria infrastruttura IT: da ambiente on-premises a ecosistema Private Cloud moderno, con ecosistema di sicurezza integrato Fortinet, SOC operativo 24/7 e gestione centralizzata degli accessi per fornitori esterni.

Abbiamo anche implementato il modello CIO-as-a-Service: supporto consulenziale continuo, pianificazione strategica ICT, governance tecnologica, preparazione di documentazione per audit FINMA e compliance, interfaccia con le autorità di vigilanza, il tutto senza i costi di una figura dirigenziale interna a tempo pieno.

I risultati sono tangibili: riduzione dei costi operativi, eliminazione completa dei server fisici dagli uffici, resilienza aumentata con continuità di servizio garantita, compliance piena alle normative e governance IT centralizzata presso un unico partner tecnologico locale. Leggi il caso studio completo qui.