Sicurezza Bancaria: Accessi illegali ed Evoluzione dei Controlli Interni

Sicurezza Bancaria: Accessi illegali ed Evoluzione dei Controlli Interni

1 novembre 2024

di Giovanni COSTA

Sicurezza in Banca. Curiosità da vizio a virtù

Fa discutere il caso del funzionario di Intesa Sanpaolo che per due anni ha controllato circa 3.500 clienti e ha effettuato circa 6.600 accessi ai movimenti dei loro conti e delle loro carte di credito.

La banca e le autorità stanno svolgendo i loro accertamenti per capire se fosse spinto solo da una morbosa curiosità o fosse invece pedina di un’attività di dossieraggio.

In attesa degli esiti mi sembra interessante riflettere su due punti.

Il primo riguarda una domanda che molti si pongono. Com’è potuto accadere che la banca abbia impiegato così tanto tempo per rilevare questo comportamento anomalo?

Esistono norme piuttosto severe per la tutela dei dati personali e le banche hanno sviluppato dei rigorosi presidi per il controllo («audit») e l’assicurazione di conformità («compliance»). È probabile che la cultura dell’audit risenta dei postumi di una tradizione bancaria affermatasi in un’epoca predigitale. Gli audit in certi casi sono ancora:

  1. di tipo «ispettivo» fanno cioè controlli periodici a campione;
  2. di tipo «reattivo», hanno bisogno di una denuncia o di una segnalazione per intervenire;
  3. di tipo «retrospettivo», operano ex post.

Mentre la tecnologia consentirebbe un monitoraggio in tempo reale e di tipo preventivo grazie ad algoritmi in grado di apprendere e di riconoscere comportamenti anomali. Di fatto questi strumenti sono già usati per le operazioni dei clienti.

Molti dei quali hanno esperienza diretta di come le banche siano sempre più spesso in grado di bloccare operazioni di home banking potenzialmente pericolose. Probabilmente in questo caso tali strumenti non erano applicati ai comportamenti del personale interno. Se così fosse stato, non dovrebbe essere difficile rimediare rapidamente utilizzando le enormi risorse dell’intelligenza artificiale che in situazioni del genere è più efficace e più efficiente dell’intelligenza umana della quale deve restare uno strumento. Ciò è tanto più opportuno a seguito di una Direttiva comunitaria (open banking) che estende alle banche e alle fintech la possibilità di accedere ai dati di un cliente di una banca concorrente, dopo aver acquisito in forma incontrovertibile il consenso dell’interessato.

Resta pur sempre il rischio di comportamenti devianti. E allora se permanesse una difficoltà a controllare il comportamento del proprio personale, riuscirebbe una banca a controllare il personale delle terze parti? Qui si apre il grande tema della cybersicurezza che impegnerà per molti anni tutte le organizzazioni che operano in rete e non solo le banche.

Il secondo punto di riflessione riguarda la notevole produttività espressa dal funzionario in questa attività illegale. Tenere sotto controllo 3.500 clienti con 6.600 accessi è un impegno non indifferente per un bancario che, possiamo presumere, avesse anche altro da fare.

Il suo ritmo di lavoro potrebbe essere preso come uno standard da applicare a tutti? Questo ricorda il ruolo dell’allenatore, una figura utilizzata negli stabilimenti Olivetti negli anni Sessanta. L’allenatore era un operaio esperto che serviva a dimostrare che un certo ritmo di lavoro era sostenibile. Non era la direzione aziendale attraverso l’ufficio Tempi & Metodi a imporre agli operai il ritmo di lavoro ma uno di loro che senza strumenti gerarchici ne provava la fattibilità. A volte l’allenatore si trovava nella scomoda posizione di dover scegliere se stare con la direzione intensificando l’impegno o stare con i suoi compagni rallentandolo. Forse è per questo che tale metodo (inviso ai sindacati) fu messo da parte.

E anche per questo che è sconsigliabile che al bancario «curioso» venga chiesto di fare l’allenatore. Mentre il caso potrebbe rappresentare peri responsabili delle risorse umane un’occasione per riflettere sulla possibilità di trasformare un tratto personale (la curiosità o altro) da «vizio» applicato ad attività illegali in una virtù al servizio, per esempio, del marketing.

Intervento di Giovanni COSTA, Professore Emerito di Strategia d’impresa e Organizzazione aziendale all’Università di Padova. Ha svolto attività di consulenza direzionale e ricoperto ruoli di governance in gruppi industriali e bancari. (www.giovannicosta.it)

Pubblichiamo questo articolo per gentile concessione dell’Autore. Fonte, Corriere del Veneto dorso regionale del Corriere della Sera del 20-10-2024)

Related Items

3 lines model- risk managementIl nuovo Modello delle Tre Linee: al centro la creazione di valore e l'interazione
Continua a leggere
NIS 2: senza fretta ma senza sosta. Una breve guida pratica.NIS2: senza fretta ma senza sosta. Una breve guida pratica.
Continua a leggere
Intervista a… Laura Santeusanio di Formalize: il Principale fornitore di Software per la Compliance in EuropaIntervista a… Laura Santeusanio di Formalize: il Principale fornitore di Software per la Compliance in Europa
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *