Negli ultimi giorni i sistemi informatici della banca americana Jp Morgan sono finiti sotto attacco hacker. Un attacco violento, che è riuscito a bucare 60 server, violando le informazioni di oltre 80 milioni di americani. L’istituto bancario ha cercato subito di ridimensionare il fatto, spifferando ai media che la natura delle informazioni sottratte è stata limitata, e comunque legata alle attività di marketing della banca e non alle sue operazioni finanziarie. Ma in questi casi i dubbi permangono e aleggiano pesanti. Di certo c’è solo un dato: i conti correnti di circa due terzi delle famiglie americane sono finiti nelle mani di criminali informatici. I soldi sono rimasti lì, ed è importante. Ma il danaro non sempre è tutto. Anche perché qualche ora dopo il Wall Street Journal ha fatto sapere che lo stesso gruppo di hacker (ancora ignoto) nelle stesse ore ha cercato di violare i sistemi di altri dodici istituti finanziari tra cui Fidelity Investments, Citigroup, ETrade Financial, Hsbc Holdings, Regions Financial e Automatic Data Processing.

Un attacco massivo, dunque, probabilmente sferrato per testare quanto questi istituti siano digitalmente penetrabili. Non è da escludere, allora, che possa trattarsi di un APT (advanced persistent threat), cioè l’inizio di un attacco prolungato e focalizzato su un obiettivo specifico, in questo caso la finanza americana.

Del resto dall’ultimo Global Risks Report del World Economic Forum sono emersi dati emblematici: il cyber attack è ai primi posti fra le 50 principali minacce globali dei prossimi 10 anni classificate per impatto e probabilità. E il sistema bancario è fra gli obiettivi primari dei criminali informatici.
E allora chi salverà le banche dagli hacker? E soprattutto, chi salverà i correntisti?
Partiamo da questi ultimi. Finché un attacco informatico si ferma al solo furto dei dati (come sarebbe avvenuto nel caso di Jp Morgan), l’utente finale, cioè il correntista, può anche ritenersi salvo, con tutti i limiti del caso ovviamente. Perché i tuoi dati in mano a una banda di criminali informatici non sono certamente al sicuro. Il discorso cambia quando invece gli hacker prelevano dai conti correnti del danaro, episodi che la storia classifica come possibili. Basti pensare all’operazione Eurograbber, che un paio d’anni fa scucì dai conti correnti di 30 banche europee 36 milioni di euro. In queste circostanze lo scenario è complesso, perché non sempre è possibile rientrare in possesso del capitale perso. Una semplice richiesta di rimborso all’istituto di credito può non bastare. Anzi, la maggior parte delle volte le banche respingono le richieste di rimborso ritenendo che la persona truffata non abbia custodito i codici in modo appropriato, o che comunque non abbia rispettato le indicazioni di sicurezza fornitegli. Per questo motivo diversi legali consigliano di intraprendere la strada della denuncia. In sostanza il correntista deve rivolgersi all’Abf (l’arbitrato bancario finanziario) che a sua volta valuterà le strutture di sicurezza messe in atto dalla banca e deciderà se il rimborso è legittimo. In caso di attacco hacker massivo, invece, la strada per recuperare il danaro dovrebbe essere più semplice.
Tuttavia, secondo Bill Michael – responsabile dei servizi finanziari di Kpmg – i correntisti in tutta questa storia sono quelli che possono dormire sonni più tranquilli. Perché il vero obiettivo delle cyber organizzazioni criminali sono le banche, non i loro clienti.  Michael, in un recente  rapporto sul settore bancario afferma che il rischio maggiore non è quello di una crisi di liquidità, ma di un cyber attack che paralizzi le attività delle banche. «I cyber attack – sostiene Michael – potrebbero essere il prossimo shock sistemico. Ci sono sempre maggiori dubbi sulla capacità delle banche di combattere future minacce alla sicurezza. Dopo anni di miglioramento, le banche britanniche hanno subìto, lo scorso anno, un aumento del 12% delle frodi online». Ed è questa la vera sfida del sistema bancario. Chi salverà le banche dai criminali informatici?