Sicurezza, non basta la parola
Alfredo Quazzo 11:14 Martedì 15 Ottobre 2024 0
Ho letto con interesse l’articolo “Conti correnti di Intesa spiati, Messina chiama i carabinieri” apparso sullo Spiffero il 12 ottobre 2024. Quello che mi ha sconcertato, è stata la reazione che ha avuto Banca Intesa Sanpaolo sul fatto che un suo dipendente, senza abilità in cyber security, in intelligenza artificiale e in big data, insomma un “no-hacker”, sia riuscito, per ben due anni, in assoluta tranquillità, dalla filiale di Bitonto, a curiosare nel privato mondo economico di circa 3.000 clienti, mettendo in subbuglio le più significative istituzioni dello Stato e dando un colpo basso, non solo alla banca in cui era impiegato, ma a tutto il sistema bancario italiano.
Intanto, Intesa Sanpaolo è formalmente indagata sia nell’indagine del curioso ex dipendente sia per aver violato la legge 231 del 2001. La norma, infatti, pone a carico dell’impresa una responsabilità amministrativa/penale in dipendenza di determinati reati commessi da propri amministratori, dirigenti, dipendenti o terzi mandatari qualora non siano stati osservati gli obblighi di direzione o vigilanza adottando ed attuando “un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi”. Eppure, il 5 settembre 2024 Banca Intesa Sanpaolo aveva comunicato i risultati del sondaggio condotto da Extel tra circa 1.800 investitori istituzionali e analisti finanziari europei in cui risulta che: la Banca, per il quinto anno, si è confermata prima per le relazioni con investitori e analisti e per gli aspetti Esg (strategia, engagement e disclosure); il suo cda, per il terzo anno, è al primo posto, così pure Carlo Messina, per il settimo anno, è il miglior Ceo, Stefano Del Punta, per l’ottavo anno, il miglior Cfo e Marco Delfrate, per il settimo anno, il primo tra gli Investor Relations Professionals.
Un en plein pressoché completo di quanto siamo “bravi e belli” anche se non si capisce a quali tipi di relazioni si faccia riferimento nell’affermazione: “Intesa Sanpaolo si conferma prima in Europa per le relazioni con investitori e analisti”! Anche il discorso di ringraziamento di Messina in cui afferma che “(…) La trasparenza e la comunicazione responsabile, ne siamo convinti, rappresentano parte essenziale nel confronto con tutti i nostri stakeholders. (…)” oggi suona un po’ stonato. Adesso la Banca si affretta a rassicurare che “i sistemi di controllo hanno funzionato perfettamente riuscendo a identificare gli accessi abusivi”.
I sistemi di sicurezza comportano pesanti investimenti e in questi anni, evidentemente, tali sistemi non sono stati una priorità della Banca, la quale ha scelto di spendere centinaia di milioni in sviluppi software onerosi e spesso clamorosamente fallimentari (leggasi Isybank). Inoltre, Intesa Sanpaolo ha avviato investimenti sull’Intelligenza Artificiale realizzando, per l’area “Institutional Affairs and External Communication”, guidata da Stefano Lucchini, “uno strumento di Machine Learning che aiuta a leggere e processare rapidamente migliaia di pubblicazioni sulla Banking Supervision (della Banca Centrale Europea) alimentandosi da fonti selezionate, come Istituzioni, think tank (organismi di analisi delle politiche pubbliche) e società di consulenza”. Tutto questo per fini legati alla propria reputazione anche se la mission della banca dovrebbe essere quella di “curare” gli interessi dei propri correntisti per emergere come “la buona Banca” dalla buona riuscita del servizio reso.
Qualche articolo apparso sui media ha derubricato la questione della “spiata” a un mero problema di sicurezza informatica mentre invece la questione è di natura puramente strategico-organizzativa e arriva dritta al vertice dell’azienda bancaria. Per dimostrare di voler porre rimedio velocemente al misfatto di Bitonto, il dottor Messina ha intenzione di istituire la nuova area Security Officer del Gruppo a suo diretto riporto e di porne a capo il dottor Antonio De Vita, pensionato ed ex Generale di Corpo d’Armata dei Carabinieri, (già inserito dal 1° settembre nel suo staff come senior advisor per la sicurezza) con la responsabilità per la Cyber Security e la Sicurezza fisica. Eppure, quest’area è da anni che è presente in banca anche se non a diretto riporto dell’ad!
Questo cambio organizzativo dimostra, se non una prova, un indizio sulla debolezza del modello organizzativo in essere presso la banca Intesa Sanpaolo: inserire o spostare un elemento all’interno di una struttura aziendale complessa, come quella della banca, non è una condizione sufficiente a risolvere un problema, certo è una soluzione veloce che consente, soprattutto, di comunicare al “mercato” interno ed esterno che “il capo” è sempre “sul pezzo” e che tiene salde le redini del comando.
La teoria dei sistemi, però, ci insegna che “un sistema tende a funzionare al meglio dell’anello più debole della catena” e non al meglio di quello più forte. Una squadra di calcio può ingaggiare il “Maradona” di turno, ma, se non lo si inserisce in una squadra che di per sé è in grado di giocare un buon calcio, i risultati non saranno quelli sperati. Chissà quale sarà il risultato della partita che si andrà a giocare in Intesa Sanpaolo!