Interview related to how to improve Swiss Banking eSEcurity

1. Corriere del Ticino
MERCOLEDÌ 3 MARZO 2010 PRIMO PIANO 3
Dopo il caso HSBC e quello tedesco
Dati rubati, le banche corrono ai ripari
Parla il CEO di WiseKey, azienda leader nel settore della sicurezza dati
Venerdì la conferma che il Land tedesco del Nordreno-Vestfalia ha
infine acquistato un dischetto contenente i dati bancari di 1.500 pre-
sunti evasori fiscali tedeschi con conti in Svizzera. Il costo della tran- COLMARE
sazione si aggirerebbe attorno ai 3,7 milioni di franchi. Quasi con- IL RITARDO
temporaneamente, il Baden-Württemberg ha invece deciso di rinun- Secondo
ciare definitivamente a un’operazione analoga. A Berna ieri il Partito Carlos
liberale radicale svizzero ha depositato un’interpellanza urgente per Moreira,
chiedere al Governo di denunciare la Germania presso la Corte in- fondatore
ternazionale dell’Aja per l’acquisto dei dati rubati. Sempre ieri è poi e CEO
saltato il vertice a Berlino tra Hans-Rudolf Merz e Wolfgang Schäuble, di WiseKey,
a causa del ricovero in ospedale di quest’ultimo. L’incontro avrebbe do- l’avvenire
vuto preparare la ripresa delle discussioni sulla nuova Convenzione di della piazza
doppia imposizione, con cui Merz spera di riuscire a frenare il preoc- finanziaria
cupante fenomeno del furto di dati. Berlino esamina attualmente la elvetica passa
domanda di assistenza giudiziaria di Berna, che ha chiesto informa- necessariame
zioni sui dati offerti su presunti evasori con conti in Svizzera. nte per
Ma è così facile rubare dati bancari di clienti di un qualunque istitu- una maggiore
to elvetico? Abbiamo interpellato in proposito Carlos Moreira, fonda- sicurezza
tore e CEO di WiseKey, società per la sicurezza informatica basata a nella
Ginevra, che annovera tra i suoi clienti decine di banche, industrie e protezione
amministrazioni statali. Attiva in Svizzera da oltre un decennio, Wise- dei dati
Key s’appresta quest’anno ad essere quotata in borsa, confermando bancari.
così d’essere una delle aziende leader nel settore. Il caso HSBC
ed il furto di
informazioni
PAGINA DI DAVIDE VIGNATI l’interno dell’istituto bancario in relative
base al grado d’accesso concesso a presunti
ad ogni impiegato. In ultima ana- evasori
lisi, solo i quadri e i membri della tedeschi
’’
L’INTERVISTA direzione dovrebbero poter di- con conti in
sporre di chiavi biometriche in Svizzera
grado di leggere l’insieme dei dos- hanno spinto
sier di tutta la clientela». numerosi
Il furto di dati è un fenomeno con Un tale sistema di sicurezza avrebbe istituti elvetici
cui le banche elvetiche hanno sem- potuto impedire il furto dei dati dalla a rivedere
pre dovuto confrontarsi o si tratta di filiale ginevrina della HSBC? i propri
una problematica più recente – alme- «Sì, perché il caso HSBC non ri- sistemi
no in queste proporzioni – dovuta al- guarda i sistemi di stoccaggio in di controllo.
la crescente pressione dei Governi quanto tali, che sono per lo più
esteri disposti ora ad addirittura ac- affidabili, come Oracle, Microsoft però non offrono le necessarie ga- tutti si domandano se la colpa sia «Ne sono persuaso. È questione Potrebbe essere questo un punto di
quistare informazioni rubate? Access, D-base, etc, ma concer- ranzie in termini di capacità e stata solo del pilota, o di un guasto di tempo, ma prima o poi vi do- partenza?
«Direi che questo nuovo recente ne invece la messa in sicurezza continuità ai grandi istituti banca- tecnico al velivolo o semplice- vremo arrivare anche noi. In Sviz- «Potrebbe, anche se Melani si ba-
e preoccupante fenomeno del- dell’accesso ai dati. I tecnici in- ri, che dunque preferiscono fare mente delle condizioni atmosfe- zera oggi ogni banca ha un suo sa su una vecchia visione di sicu-
l’acquisto delle informazioni è an- formatici dovrebbero avere ac- in proprio. Differente è invece il riche... e tutti sono alla ricerca del- sistema di sicurezza e convivono rezza, l’attacco informatico ester-
dato a sovrapporsi al processo di cesso solo a certi dossier e unica- caso delle piccole banche priva- la scatola nera per stabilire che l’uno accanto all’altro standard no appunto, che non ha richiesto
informatizzazione e centralizza- mente previa autorizzazione dei te o di quelle cantonali, che pre- cosa nel sistema non abbia fun- tra loro molto diversi. E come ha alle banche una compartecipa-
zione dei dati avviato dalle ban- direttori della sicurezza o dei di- feriscono invece dare in “outsour- zionato correttamente». mostrato il caso HSBC, basta la zione dei controlli dei rispettivi si-
che a partire dagli anni ’90. Pri- rettori operativi, se non addirit- cing” tutta la gestione dell’infor- Ma sul piano internazionale, ritiene falla in un solo istituto per mac- stemi di sicurezza interni. Fin dal-
ma di allora, le banche avevano tura solo dei membri della dire- matica, ivi compresa la sicurez- che gli istituti elvetici abbiano accu- chiare la reputazione dell’intera l’inizio dell’informatizzazione del-
un sistema di gestione dei dati zione. In nessun caso dovrebbe- za, col rischio che siano appun- mulato un ritardo dal punto di vista piazza finanziaria a livello inter- le banche negli anni ’90, gli hacker
che definirei “dissociato” ovvero
, ro poter assemblare e leggere i fi- to degli esterni a gestire questi si- della sicurezza dei dati rispetto a quel- nazionale. Ma non sarà facile, ser- hanno sviluppato una metodolo-
ogni consulente gestiva un pro- le completi della clientela. Inol- stemi di controllo d’accesso ai da- li di altri Paesi? viranno delle riforme politiche, gia scientifica per individuare le
prio numero di clienti ed era di- tre, in caso di sospetto di lettura ti, che non sono dunque diretta- «Rispetto al Nordamerica sicura- perché le nostre banche non so- loro falle di sicurezza. Melani ser-
rettamente responsabile per la si- non autorizzata o di manipola- mente gestiti e controllati dai mente, anche se naturalmente le no pronte a condividere un siste- ve a questo, ma si basa sulla “stra-
curezza dei loro dossier e dei da- zione dei dati, come fu il caso al- quadri dell’istituto bancario. Co- sollecitazioni a cui è sottoposta ma nazionale di certificazione tegia del ridotto” dell’attacco
,
ti contenutivi. Anche se la gestio- la HSBC, dovrebbe essere possi- sì facendo l’intero sistema è me- in questo momento la piazza fi- della loro sicurezza interna». esterno, mentre oggi siamo alle
ne dei dati era più “artigianale” bile bloccare in maniera istanta- no efficiente e rapido». nanziaria elvetica è unica e cre- Cosa hanno da perdere? prese con una minaccia ben più
rispetto alle possibilità offerte og- nea per via informatica o telefoni- La clientela ha dunque delle ragioni do dunque che sia difficile fare «Non piace l’idea di demandare infida, quella dall’interno».
gi dall’informatica, paradossal- ca l’accesso a qualsiasi dato gra- valide per dubitare dell’affidabilità paragoni. Negli Stati Uniti, co- ad un organo di controllo esterno Come bisognerebbe dunque procede-
mente il livello di sicurezza era zie a dei processi d’identificazio- dei sistemi di sicurezza adottati dal- munque, se penso al sistema di la verifica dei propri sistemi di si- re?
superiore. Ma con la progressiva ne “forti” chiamati in gergo “Pri-
, le banche elvetiche? decriptazione sviluppato ad curezza, tanto più se quest’orga- «Bisognerebbe cominciare con
informatizzazione del sistema, i vate Key Infrastruc- «Sì e no. La Svizzera esempio da Citigroup, direi che no è compartecipato dalla con- l’istituire a livello federale una
dati sono stati via via stoccati in ture” una sorta di ul-
, resta uno dei Paesi sono più all’avanguardia rispet- correnza, col rischio poi magari commissione di esperti, che pos-
poche banche dati centralizzate, tima barriera contro più sicuri al mondo to ai grandi istituti elvetici. D’al- che il “ranking” degli istituti più sa analizzare i sistemi di sicurez-
rendendo così più facile copiare ogni furto o utilizzo in materia di sicu- tronde non è una sorpresa, in am- e meno sicuri sia reso pubblico. za interni di tutte le banche, e a
e rubare in pochi istanti migliaia improprio di dati. rezza dei dati, ma re- bito informatico gli americani so- Né l’Associazione svizzera dei partire da questa analisi formu-
e migliaia di nomi di clienti e re- Cosa che però le sta il fatto che non vi no sempre stati in anticipo sul- banchieri, né la Banca naziona- lare delle norme di sicurezza
lativi dati bancari. E questo non banche non sempre sono degli standard l’Europa. Ma al di là dello svilup- le, né tanto meno i più importan- standard a cui tutte le banche do-
riguarda solo le banche, lo stes- fanno». uniformi e che il po dei sistemi informatici di stoc- ti attori della nostra piazza finan- vrebbero uniformarsi per potere
so processo è avvenuto nell’in- Ma se questi sistema grado di sicurezza caggio ed accesso ai dati, gli Sta- ziaria sembrano per il momento esercitare la loro attività in Svizze-
dustria o nelle amministrazioni di sicurezza sono già può variare molto ti Uniti hanno anche già svilup- interessati a collaborare per ten- ra. È importante che il risultato
statali. Per un decennio si è cre- disponibili, perché tut- da istituto a istituto. pato da tempo degli standard di tare una riforma in questo sen- di questa operazione sia visibile,
duto che la centralizzazione dei te le banche non ne Aggiungerei però sicurezza codificati e uniforma- so. La sicurezza e la fiducia sono ovvero che le banche che otten-
dati fosse la maniera più raziona- fanno sistematicamen- che quanto sta avve- ti, al fine di creare una sorta di due cose distinte. Gli istituti ban- gono il certificato di garanzia di
le di gestirli, ma parallelamente te uso? nendo, dal caso Lie- “certificato” nazionale per spin- cari americani e anche quelli di sicurezza possano esibirlo per la
non si è investito abbastanza nei «Le ragioni sono chtenstein a quello gere i principali istituti a metter- Singapore lo hanno compreso e propria clientela. Questo incen-
sistemi di sicurezza». molteplici. Ma direi che per della HSBC, fino alle liste rubate si al passo coi sistemi di sicurez- collaborano già da tempo tra lo- tiverebbe le banche a fare i ne-
Ma è possibile con un sistema di sicu- quanto riguarda la realtà elveti- e in vendita in Germania, ha ri- za più avanzati. Questo anche con ro per garantire standard comu- cessari investimenti per metter-
rezza informatico dare una garanzia ca, siamo in presenza di due proposto in modo forte il proble- lo scopo di mettersi al riparo da ni di sicurezza in funzione della si al pari coi nuovi standard. A un
assoluta contro il furto o la manipola- estremi: da un lato le grandi ban- ma della sicurezza informatica e ogni possibile causa giudiziaria competitività con le piazze finan- organo indipendente dovrà poi
zione di dati, indipendentemente dal che preferiscono fare tutto per quasi tutte le banche elvetiche per negligenza in caso di furto o ziarie estere. Se la Svizzera non essere demandata l’autorità di ve-
cosiddetto «fattore umano»? Quale conto proprio, senza ricorrere a stanno ora procedendo ad un rie- manipolazione dei dati». colmerà questo ritardo, conti- rificare con regolarità il rispetto
soluzione proponete alla vostra clien- società specialistiche esterne, che same dei propri sistemi». Come funziona questo «certificato di nuerà a perdere terreno nei con- degli standard per poter conti-
tela? hanno però il pregio di poter svi- Le banche elvetiche stanno dunque sicurezza» adottato negli Stati Uniti? fronti della concorrenza mondia- nuare a fregiarsi del certificato.
«La sicurezza assoluta ovviamen- luppare e offrire sistemi di sicu- correndo ai ripari? «Si chiama “Indentrus.com” ed è le nel campo della protezione La Svizzera ha interesse a svilup-
te non esiste, ma si possono mi- rezza sempre all’avanguardia. Co- «Direi di sì. Si sta procedendo al- un partenariato pubblico-priva- tecnologica della sfera privata. pare un simile sistema di sicurez-
nimizzare i rischi. Coi nuovi siste- sì facendo, i grandi istituti accu- l’introduzione sistematica del- to che permette di gestire effica- Questi continui furti di dati ri- za condivisa e certificata, soprat-
mi di sicurezza informatici a di- mulano sempre un certo ritardo, l’identificazione biometrica per cemente i rischi associati all’au- schiano infatti di arrecare alla tutto sapendo di essere ormai un
sposizione si può fare in modo perché non impiegano abbastan- tutti i collaboratori. Si sta dunque tentificazione dell’identità ban- piazza elvetica altrettanti danni obiettivo prioritario di questi ri-
che i dati bancari non siano mai za mezzi per la ricerca e lo svilup- applicando la cosiddetta nozione caria negli Stati Uniti. Si tratta cioè che le continue pressioni sul se- petuti furti di dati. La nostra piaz-
depositati in alcun luogo, bensì po in proprio. Il fatto è che in Sviz- di controllo dell’“accesso” per mi- di un’associazione pubblica che greto bancario». za finanziaria dovrebbe dunque
smembrati e poi sparsi in più ban- zera non esistono grandi società nimizzare il più possibile i rischi. fissa e certifica a livello naziona- Ma con il sistema «Melani», la Svizze- investire subito in queste nuove
che dati. Lo stesso nome del clien- per la gestione della sicurezza in- Naturalmente non tutti si stanno le gli standard e i principi di sicu- ra ha già comunque creato un ente tecnologie di sicurezza, affinché
te non dovrebbe mai apparire in-
tegralmente da nessuna parte. I
file di ogni cliente dovrebbero in-
fatti poter essere letti solo decrip-
tando i diversi pezzi e rimetten-
‘
formatica, per lo più esistono so-
lo piccole e medie start-up che
muovendo alla stessa maniera.
Stando a quanto ci dicono i nostri
clienti e alle sollecitazioni che stia-
mo ricevendo, c’è ancora una cer-
ta confusione su quale direzione
rezza che le banche devono met-
tere in atto. È una sorta di ISO
9000 per la sicurezza bancaria,
che regola anche nei dettagli i si-
stemi di accesso ai dati da parte
‘
federale per la protezione delle ban-
che da attacchi informatici esterni.
questo aspetto possa divenire un
nuovo “atout” che gli istituti el-
vetici poranno far valere nei con-
fronti della concorrenza interna-
zionale. Tanto più oggi, che l’in-
doli insieme. Solo attraverso del- Nelle banche elveti- prendere e gli investimenti da fa- di tutti collaboratori. Il rispetto di Vi sono troppe dispa- debolimento del segreto banca-
le chiavi biometriche, attivabili che non è ancora dif- re. Direi che il caso HSBC, per la tali standard va poi riconferma- rità di standard di si- rio richiede alla piazza elvetica di
cioè con le impronte digitali, do- fuso il sistema delle quantità enorme dei dati rubati, to periodicamente». curezza da una banca reinventarsi e profilarsi meglio
vrebbe poi essere possibile de- chiavi biometriche e ha creato un certo panico tra mol- Ritiene che un simile sistema di cer- all’altra. Serve una per le capacità e la professiona-
criptare e leggere questi file. E an- del controllo individua- ti istituti bancari. Se mi consente tificazione pubblico-privato possa mi- certificazione nazio- lità di gestione dei patrimoni, co-
che queste chiavi dovrebbero es- una metafora, è come se si fosse gliorare la sicurezza dei dati bancari me pure per la stabilità e la sicu-
sere programmate e distribuite al- le d’accesso ai dati appena schiantato un aereo, e ora anche in Svizzera? nale come negli USA rezza del nostro sistema».