In questa intervista il Dott. Garibaldi Conte, Managing Director di Atsec Information Security e consulente in ambito ICT di pluriennale esperienza, ci regala un’interessante riflessione sul settore del Banking, una industry profondamente influenzata da direttive nazionali ed europee che tutte le figure impegnate in questo settore devono conoscere.
Una panoramica sulle nuove professioni, sulle skills da ricercare e sulla differenza tra profili tecnici e di governance, elemento chiave per comprendere appieno questa industry.
Sia i ruoli tecnici sia quelli di governance, apparentemente diversi ma di fatto complementari, è richiesto di uscire dalle proprie competenze specifiche per sviluppare una visione a tutto tondo, comprensiva sia delle proprie peculiarità che delle conoscenze essenziali per parlare una lingua comune a entrambi i reparti. Una relazione necessaria per garantire il corretto funzionamento del sistema, l’applicazione delle direttive in essere e la messa in campo di una solida struttura di sicurezza informatica.
Dottor Conte, può indicarci le figure professionali che negli ultimi anni sono diventate strategiche all’interno del settore Banking?
“In questa industry le figure chiave sono sia quelle tecniche che quelle normative, con la necessità che entrambe conoscano la controparte e che tra le due si instauri un rapporto di collaborazione attiva.
Una delle figure attualmente più ricercate, in passato era relegata in fondo alla struttura. Si tratta del CISO(Chief Information Security Officer), un profilo diventato centrale perché ha il compito di indirizzare e governare la sicurezza, quindi deve necessariamente conoscere tutte le direttive e le normative europee ed italiane.
Il fattore che ha determinato una revisione di questo ruolo è da ricercare nelle politiche che regolano l’outsourcing dove, se prima le banche tendevano ad esternalizzare la parte tecnologica generando un problema di deresponsabilizzazione. La Comunità Europea e la Banca d’Italia hanno imposto requisiti molto stringenti sul contratto, sugli assets di sicurezza, sulla valutazione dei rischi dei fornitori ICT, oltre a richiedere monitoraggi continui. L’aspetto più rilevante è l’introduzione del concetto di responsabilità non delegabile in quanto , nel caso si verificasse un incidente con un impatto sui clienti, la colpa ricadrebbe sempre sull’Istituto, anche qualora la mancanza dipendesse dell’outsourcer. Non è un caso quindi che sia le normative europee che italiane pongano un forte accento sulla gestione dei rischi siano essi direttamente attribuibili alla banche che alle terze parti da questa utilizzate.
Il CISO quindi, oltre ad avere profonde competenze normative, deve anche essere caratterizzato da capacità tecniche che gli consentano di individuare, valutare e gestire tutti i rischi IT e di sicurezza, nonché eventuali fragilità e vulnerabilità presenti sui processi e sulle infrastrutture IT.
Altre figure interessanti sono quelle che effettuano penetration test e vulnerability assessment, infatti l’audit in ambito sicurezza informatica e cyber security è diventata una funzione tecnologica e, visto che le autorità chiedono obbligatoriamente periodiche verifiche di sicurezza, i profili tecnici specializzati in test di questo tipo sono diventati estremamente strategici.
Nonostante queste premesse, le banche piccole tendono ad affidarsi ancora molto agli outsourcer con la conseguenza che internamente si ritrovano ad avere una carenza di know how tecnico per governare queste tematiche. Diversamente, quasi tutte le grandi banche hanno creato gruppi tecnici di governance anche per quanto riguarda i processi e, considerate le sempre più numerose normative di matrice europea, è necessario che al loro interno siano presenti figure capaci di costruire relazioni strette con le Autorità europee (es. Commissione Europea, ENISA, EBA, …) e la BCE."
Data la sua esperienza come Scout di Reverse ha modo di incontrare diversi candidati attivi in questo settore. Quali dinamiche riscontra nel recruiting di figure IT specializzate nel banking?
“Parlando delle figure junior, posso dire che negli ultimi anni le Università italiane si stanno allineando alla domanda del mercato creando delle lauree magistrali in ambito Cybersecurity (vedi la magistrale in cybersecurity introdotta dalla Sapienza di Roma). Ciò nonostante, seppur specialistiche, tali lauree non sono sempre allineate alle esigenze specifiche del mercato e quindi le aziende devono comunque formare questi profili. Tale aspetto è soprattutto vero in ambito bancario.
La difficoltà maggiore di chi si approccia per la prima volta a questo settore coincide con la mancata conoscenza delle normative bancarie che stanno diventando sempre più numerose e complesse. Negli ultimi anni sto notando una propensione sempre più forte verso l’ottenimento di certificazioni e questo rappresenta un trend sicuramente positivo, ma non compensa la non conoscenza delle normative in ambito.
Un ultimo aspetto che vorrei sottolineare è il rapporto tra le banche e le società di consulenza. Le banche vedono nelle Big Four una delle scuole più interessanti da cui poter selezionare talenti, soprattutto per quanto riguarda l’area governance. Ecco perché le grandi società di consulenza rappresentano un’ottima opportunità per le figure junior che vogliono intraprendere una carriera in questo ambito crescendo molto in fretta. Diverso è invece il percorso per coloro che scelgono di proseguire nell’area tecnica, che invece prediligono società medio piccole molto specializzate o i colossi internazionali del tech."
A suo parere quali sono gli aspetti che permettono ai manager di fare la differenza?
"Come detto, gli ambiti tra cui scegliere sono due: governance o tecnologico. Questa distinzione però non deve veicolare un’immagine di totale separazione tra i due ruoli, perché in realtà sono necessariamente interconnessi. Ai manager infatti è richiesto di avere competenze trasversali che consentano loro di capire e interpretare la lingua della controparte: chi lavora nell’ambito governance deve avere una competenza tecnica di base e chi ha scelto l’ambito tecnologico non può lasciare in secondo piano la conoscenza delle direttive in essere.
Inoltre anche l’ottenimento di certificazioni specifiche, ad esempio CISSP, CISM o PMP, può fare la differenza."
Quali sono i principali cambiamenti che hanno interessato questo settore negli ultimi anni?
“Il mondo del banking, a differenza di altri settori, è altamente normato e viene colpito da direttive promosse sia dalla Banca d’Italia che dalla Comunità Europea e dalla BCE. Ecco perché per raccontare l’evoluzione di questo settore è necessario elencare le principali direttive che negli anni lo hanno plasmato e che continueranno a farlo nel prossimo futuro.
Una delle più impattanti in ambito cyber security è la Circolare 285 (capitoli 4 e 5) che, dopo essere stata emessa nel 2013, ha subito numerosi aggiornamenti che stabiliscono requisiti sempre più stringenti per i sistemi informativi bancari ponendo il focus sia sull’importanza della gestione dei rischi ICT e di Sicurezza che della continuità operativa.
Negli anni a seguire, c’è stato un continuo evolversi di disposizioni che hanno introdotto requisiti sempre più stringenti, perciò nell’ambito banking possiamo affermare che la cybersecurity sia quasi totalmente un obbligo normativo. Le banche offrono dei servizi di pagamento e rappresentano un asset essenziale per ogni Paese, quindi un fitto tessuto di regole e direttive specifiche è assolutamente necessario.
Al di là del GDPR, che è trasversale su diversi settori, sulle banche ha avuto un grande impatto la PSD2, la nuova direttiva sui pagamenti digitali, che ha introdotto l’obbligo dell’autenticazione forte e altri requisiti sempre in ambito sicurezza.
A livello europeo, il braccio armato tecnico è rappresentato dall’EBA (European Banking Authority) che, oltre ad occuparsi dei regolamenti europei emessi poi dal Parlamento, cura le linee guida che le autorità nazionali decidono come recepire, Banca d’Italia ad esempio le accoglie in maniera integrale.
Proseguendo in questo senso, un altro protocollo che è essenziale segnalare è la direttiva NIS (Network and Information Systems Directive) che ha portato alla concretizzazione del Perimetro di Sicurezza Nazionale Cibernetico. Con questa disposizione i principali player bancari sono stati costretti ad adeguarsi ad obblighi stringenti in termini di sicurezza, comunicazione di eventuali incidenti o riguardo alla necessità di fare test sugli apparati prima di acquisirli e installarli.
Nel 2022 è stata approvata una nuova versione della NIS, chiamata NIS2, che ha ulteriormente allargato il perimetro delle aziende coinvolte, ha rafforzato e ampliato i requisiti da applicare e ha introdotto delle sanzioni, anche rilevanti, per le aziende che non si adeguano.
Non ultimo, il regolamento DORA, il Digital Operational Resilience Act che è diventato vincolante da gennaio 2025. Il Regolamento si applica alle oltre 22.000 società europee che operano in ambito Finance (es. banche, assicurazioni, intermediari finanziari,…) e i requisiti coprono tutti i principali ambiti della cybersecurity, con un'enfasi particolare sulla gestione dei rischi ICT e di Sicurezza sia quelli diretti che quelli legati alle terze parti.
E concludo segnalando il Cyber Security Act (CSA) e il Cyber Resilience ACT che agiscono nell’ambito della certificazione della sicurezza dei prodotti, servizi e processi ICT sia definendo degli schemi di certificazione europei che regole di sicurezza comuni a livello comunitario”.
In base alla riflessione che ha appena condiviso, ha riscontrato differenze tra gli Stati membri?
"Visto che le normative europee sono diventate molto stringenti e obbligatorie in tutti gli Stati Membri, anche per i requisiti tecnici, la situazione è pressoché identica in tutta Europa.
La tematica è molto rilevante e pertanto, sia la Commissione Europea che la BCE, e di riflesso tutte le Autorità e Banche Centrali degli Stati membri, stanno spingendo molto sull’awareness per creare consapevolezza sull’importanza di questi aspetti, promuovendo corsi di sensibilizzazione sulla sicurezza, sia per dipendenti e collaboratori ma anche per i singoli correntisti."
In questo scenario così complesso e in movimento che ci ha raccontato, cosa dobbiamo aspettarci dal futuro che sta arrivando?
"In generale il settore del Banking è un mondo in evoluzione. In particolare credo che sia necessario tenere l’occhio puntato sulle iniziative promosse dall’Agenzia della Cybersicurezza Nazionale (ACN) istituita in Italia nel 2021 che avranno un impatto significativo su tutto il mercato italiano della cybersecurity e quindi di riflesso anche sulle banche.
Ora che la cyber sicurezza è diventata un’emergenza europea e nazionale è ovvio che questo mercato si amplierà molto di più. Analogamente, in ambito Banking, con l’introduzione di servizi digitali sempre più numerosi, innovativi e complessi, tale tematica ha assunto una rilevanza molto elevata. In pratica è un mercato di nicchia che è improvvisamente impazzito, non solo in Italia ma in tutto il mondo occidentale: al momento, la domanda di profili esperti in ambito cybersecurity sta superando di gran lunga l’offerta di mercato. Se da un lato le banche hanno dovuto acquisire sempre più tecnici per istituire il tessuto di governance, dall’altro le società fornitrici di servizi tecnici si sono ritrovate a corto di persone e il livello di turnover si è inevitabilmente impennato."
In un settore che cambia velocemente anche i parametri per il recruiting e l'Head Hunting stanno vivendo la rivoluzione.
Porta innovazione nelle tue strategie:
