Il 7 luglio la Banca centrale europea ha preso carta e penna per indirizzare una comunicazione formale ai vertici di tutte le banche significative dell’area dell’euro. La firma è di Claudia Buch, presidente del Consiglio di vigilanza. Il tema, importantissimo, è uno solo: le minacce informatiche potenziate dall’intelligenza artificiale. La richiesta altrettanto puntuale: ogni banca dovrà presentare entro il 31 ottobre 2026 un piano d’azione con misure concrete, risorse dedicate, responsabilità assegnate e tempi di attuazione definiti.
Non capita spesso che la vigilanza europea si rivolga simultaneamente a tutti gli amministratori delegati su un unico tema, con una scadenza. Quando accade, significa che il problema ha smesso di essere una faccenda per i reparti tecnici: è arrivato sul tavolo dei consigli di amministrazione, ed è lì che la BCE vuole che si affronti.
Indice degli argomenti
Adesso trovare le falle informatiche costa meno ed è più veloce
Per capire la lettera bisogna partire da un fatto tecnico che si può spiegare senza utilizzare un gergo informatico. Ogni software contiene errori. Alcuni sono innocui, altri possono essere sfruttati per entrare in un sistema: questi secondi si chiamano vulnerabilità. Fino a ieri trovarle richiedeva specialisti rari e settimane di lavoro, e scrivere un codice che trasforma la falla in una porta d’ingresso, quello che i tecnici chiamano “exploit”, richiedeva competenze ancora più rare. I modelli di intelligenza artificiale di ultima generazione hanno cambiato tutto: sanno individuare vulnerabilità e generare exploit funzionanti a una velocità senza precedenti. Non a caso il CERT-EU, la squadra di risposta agli incidenti informatici delle istituzioni europee, ha intitolato una sua recente analisi proprio così: “AI is changing the economics of vulnerability discovery”.
La finestra tra falla e attacco si riduce
La conseguenza pratica è che la finestra temporale che separa la scoperta di una falla dal suo sfruttamento si riduce fino a quasi scomparire. La sicurezza informatica è sempre stata una gara tra chi cerca gli errori per ripararli e chi li cerca per approfittarne, con una asimmetria di fondo: l’attaccante deve trovare una sola porta aperta, il difensore deve chiuderle tutte. Quando quella gara si giocava su tempi di settimane, le banche avevano margine per organizzare le riparazioni. Ora si gioca sul filo delle ore, e il margine si assottiglia per tutti.
La lettera è esplicita su un punto di metodo. Non si tratta di un fenomeno temporaneo né del rischio legato a un singolo strumento, ma è un cambiamento di lungo periodo del panorama delle minacce. E contiene una precisazione che vale più di molte analisi, gli sviluppi non introducono rischi nuovi, bensì amplificano in modo significativo la velocità e la scala con cui i rischi già noti si materializzano. Tradotto, le debolezze che gli istituti si trascinano da anni, sistemi obsoleti, aggiornamenti arretrati, fornitori poco presidiati, diventano improvvisamente più pericolose, perché “fuori” c’è qualcuno, o meglio qualcosa, che scova le debolezze molto più in fretta. Per questo la BCE chiede di chiudere senza indugio i rilievi ancora aperti emersi dalle ispezioni e dallo stress test sulla resilienza cibernetica del 2024, una debolezza nota e irrisolta, in questo contesto, non è più un rischio accettabile in attesa di budget.
Cosa chiede la BCE: prima il perimetro, poi le fondamenta
Il piano che le banche dovranno consegnare si muove su due orizzonti. Nel breve periodo le priorità sono tre.
Accelerare la gestione delle vulnerabilità e delle correzioni “su scala”
La prima è accelerare la gestione delle vulnerabilità e delle correzioni “su scala”, infatti se i produttori di software e le comunità open source scopriranno e correggeranno più falle più in fretta, anche grazie all’AI, le banche dovranno installare aggiornamenti con frequenza e volumi molto superiori a quelli attuali. Il National Cyber Security Centre britannico ha coniato per questo scenario un’immagine efficace: preparing for a “vulnerability patch wave”. Un’onda che richiede personale adeguato, procedure di cambiamento rapide e contratti con i fornitori che prevedano tempi di intervento coerenti con la nuova velocità.
Rafforzare il monitoraggio e la capacità di rilevare le intrusioni
La seconda priorità è rafforzare il monitoraggio e la capacità di rilevare le intrusioni, anche adottando strumenti difensivi basati sull’intelligenza artificiale: la BCE quindi incoraggia l’uso dell’IA, ma a condizione che il suo impiego sia preceduto da una valutazione seria di benefici e rischi e resti sotto supervisione umana.
Responsabilità sui fornitori esterni
La terza riguarda i fornitori esterni: le banche restano pienamente responsabili dei rischi dei servizi informatici esternalizzati, e devono verificare che i propri fornitori siano a loro volta pronti a ritmi di correzione accelerati. Su tutto, una priorità trasversale: proteggere prima di ogni altra cosa gli asset esposti a internet, il perimetro, incluse le componenti open source e il software di terze parti che vi è incorporato.
Reti segmentate, zero trust e risposta agli attacchi
Poi ci sono le fondamenta. Qui la lettera parte dalla consapevolezza che vale la pena prendere sul serio, e cioè che prima o poi qualcuno riuscirà a entrare. Una consapevolezza che rafforza la prudenza, quella di chi deve progettare le difese dando per scontato che il perimetro verrà violato. Si tratta di un approccio per costruire sistemi che reggono anche quando la “prima linea” cede. Da questa premessa discendono le misure strutturali. La segmentazione delle reti, che funziona come i compartimenti stagni di una nave, dove se l’acqua entra in uno scomparto, non affonda tutto lo scafo. I principi cosiddetti zero trust, che si possono riassumere così: nessun utente, dispositivo o applicazione è considerato affidabile per il solo fatto di trovarsi dentro la rete aziendale, e ogni accesso va verificato continuamente.
La manutenzione ordinaria della sicurezza, l’equivalente informatico del lavarsi le mani ogni giorno: sapere esattamente quali sistemi si possiedono, dare a ciascuno solo gli accessi che gli servono, chiedere una seconda verifica oltre alla password, registrare tutto ciò che accade sulla rete. La sostituzione delle tecnologie obsolete o non più supportate dai produttori, che rappresentano la superficie d’attacco più fragile. E infine la capacità di reagire quando avviene un attacco, che significa realizzare piani di risposta e ripristino testati regolarmente, esercitazioni su scenari ad alta velocità e alto volume, dal ransomware allo sfruttamento di falle zero-day, cioè sconosciute allo stesso produttore del software, fino all’interruzione di un grande fornitore cloud. Con un’aggiunta che guarda oltre il singolo istituto, la previsione di una condivisione strutturata di informazioni su minacce e rimedi tra banche, perché la resilienza, in un sistema interconnesso, è un bene collettivo.
La responsabilità è dei vertici, budget, persone, soglie di rischio
C’è poi un messaggio che attraversa tutta la lettera, la responsabilità primaria di rispondere al nuovo scenario spetta agli organi di amministrazione delle banche, non ai loro uffici tecnici. La BCE chiede ai vertici di riesaminare le decisioni strategiche in materia informatica, a partire dagli investimenti e dall’allocazione delle risorse, e di verificare che bilanci, organici, strumenti e capacità di gestire i cambiamenti siano all’altezza di correzioni accelerate, infrastrutture da ammodernare e difese potenziate. Chiede inoltre di rivedere i quadri di tolleranza al rischio, cioè le soglie che un consiglio di amministrazione fissa per stabilire quanto rischio informatico l’istituto è disposto ad accettare: soglie pensate per un mondo in cui le falle si scoprivano lentamente vanno ricalibrate per un mondo in cui si scoprono in fretta, tenendo conto sia dell’uso interno dei modelli di intelligenza artificiale sia dell’esposizione indiretta ad essi. E c’è il capitolo delle persone: formazione e consapevolezza commisurate al rischio non solo per il personale tecnico, bensì per tutti i dipendenti e, dove serve, per clienti, controparti e fornitori. In coda, la lettera suggerisce perfino di chiedersi se il quadro complessivo di propensione al rischio, incluse le politiche con cui la banca concede credito, rifletta ancora adeguatamente il panorama che sta cambiando.
Il quadro regolatorio non cambia, cambia l’urgenza
C’è un ultimo aspetto da precisare, la lettera della BCE non introduce nuove regole. La cornice resta il DORA, il regolamento europeo sulla resilienza operativa digitale del settore finanziario, applicabile dal gennaio 2025, che la BCE definisce pienamente valido anche nel nuovo scenario. Ciò che cambia è la velocità con cui quelle regole vanno prese sul serio. E qui la vigilanza compie un gesto di realismo raro, per liberare le risorse delle funzioni informatiche delle banche, la BCE sposta la raccolta annuale del questionario sui rischi IT da settembre 2026 a febbraio 2027 e si dice pronta a rinviare, caso per caso, ispezioni e approfondimenti non legati alle aree prioritarie. Un’autorità di vigilanza che rinuncia a proprie scadenze per concentrare le energie delle banche sul problema sta esplicitando ancora una volta quanto considera serio quel problema. I piani saranno discussi con i gruppi di vigilanza congiunti e la BCE condurrà un’analisi orizzontale di tutti i documenti ricevuti, per individuare tendenze e lacune comuni e restituirle al sistema.
Non solo Francoforte: un coro internazionale
La lettera non è un’iniziativa isolata. Lo stesso 25 luglio il Comitato europeo per il rischio sistemico (ESRB) ha pubblicato un warning formale “on systemic cyber risks stemming from frontier artificial intelligence models”. E negli ultimi mesi si sono susseguiti, con toni convergenti, gli avvisi delle agenzie di sicurezza britanniche, la dichiarazione congiunta di Banca d’Inghilterra, autorità dei mercati e Tesoro britannico di maggio, le raccomandazioni di Singapore, Canada e Australia, una dichiarazione delle agenzie dei Five Eyes e le avvertenze settoriali della comunità finanziaria internazionale. La BCE stessa richiama il proprio impegno nei fori del G7, del Comitato di Basilea e del Financial Stability Board. La dimensione sistemica è il cuore della questione: se molte banche condividono gli stessi fornitori cloud, le stesse componenti open source, gli stessi software di mercato, una falla non è mai il problema di una banca sola, bensì una crepa che attraversa l’intero sistema. È la stessa logica che, fuori dal settore finanziario, ha ispirato la direttiva NIS2 sulle infrastrutture critiche: le autorità nazionali di risposta agli incidenti potranno fornire alle banche informazioni e indicazioni operative.
L’Italia era avvisata, Panetta lo aveva già detto
Per il lettore italiano c’è un precedente puntuale. Nelle Considerazioni finali di fine maggio il Governatore della Banca d’Italia Fabio Panetta aveva dedicato alcune riflessioni al nesso tra intelligenza artificiale e rischio cibernetico, segnalando l’emergere di modelli avanzati capaci di individuare vulnerabilità nei sistemi informatici con rapidità e profondità senza precedenti. I numeri citati allora fotografavano un sistema già sotto pressione. Nel triennio 2023-25 gli incidenti informatici che hanno coinvolto intermediari italiani sono aumentati dell’80 per cento rispetto al triennio precedente, e quelli di natura cibernetica sono raddoppiati. La Banca d’Italia ha inoltre avviato contatti con le principali aziende globali del settore per preparare un utilizzo difensivo dei nuovi modelli. Ed è qui il punto concettuale che unisce Roma e Francoforte. L’intelligenza artificiale agisce su entrambi i lati del rischio, rende più efficaci gli attacchi e può rafforzare le difese, e la differenza la fa chi si organizza prima.
Dopo l’AI, il quantum: la prossima lettera è già annunciata
C’è infine una coda che vale come avviso ai naviganti. La lettera segnala che un’altra tecnologia emergente, il calcolo quantistico, avrà un impatto significativo sulla sicurezza informatica, perché i futuri computer quantistici saranno in grado di violare i metodi di cifratura oggi in uso. L’adozione della crittografia post-quantistica, gli algoritmi progettati per resistervi, richiederà tempi lunghi, bensì deve cominciare adesso e richiede investimenti costanti. La BCE annuncia una lettera dedicata. Chi ha vissuto la transizione al DORA sa cosa significa: conviene non aspettarla.
La lettera di Francoforte parla alle banche, bensì la sua logica vale ben oltre il settore finanziario. Qualunque organizzazione che gestisca infrastrutture critiche o grandi quantità di dati, pubblica amministrazione inclusa, affronta la stessa aritmetica. Le falle si trovano più in fretta di quanto si riparino, a meno che la riparazione non acceleri quanto l’attacco. Il documento della BCE è, di fatto, un modello replicabile: inventario degli asset esposti, correzioni a ritmo industriale, difese che assumono la violazione del perimetro, fornitori sotto controllo, esercitazioni realistiche, informazioni condivise. Nulla di ciò che la lettera chiede è però specifico delle banche. Le vulnerabilità del software non distinguono tra un istituto di credito, una rete elettrica e un ospedale, e i fornitori cloud, le componenti open source, i sistemi obsoleti sono gli stessi in tutti i settori che la direttiva NIS2 già classifica come critici. Se la premessa della BCE è corretta, se cioè l’intelligenza artificiale ha davvero compresso i tempi tra la scoperta di una falla e il suo sfruttamento, allora i regolatori dell’energia, dei trasporti e della sanità hanno davanti lo stesso problema delle autorità bancarie e, nella lettera di Francoforte, un approccio già pronto.















Partecipa alla community