Manager Room | MICHELE COLAJANNI: le novità Fintech 2025

Michele Colajanni è professore di Cybersecurity del Dipartimento di Informatica, Scienza e Ingegneria dell’Università di Bologna. Ha dato via a molteplici attività di ricerca e formazione concernenti la sicurezza informatica, cloud e big data analytics, quali il Centro di Ricerca Interdipartimentale sulla Sicurezza, Master per le Università e per lo Stato Maggiore Difesa, la Cyber Academy orientata agli hacker etici, il corso di Conflict Risk in Cyberspace presso la Jonhs Hopkins University, JHU.SAIS Europe e di Cybersecurity Management presso la Bologna Business School. Oltre a svolgere un’intensa attività formativa e divulgativa in sedi nazionali e internazionali, collabora con organizzazioni pubbliche e private in ambito finanziario, difesa, energia e manifatturiero.

—

Quali sono le principali minacce informatiche che prevede per il settore Fintech nel 2025, e come si differenziano da quelle degli anni precedenti?
Le due novità del 2025 che aumenteranno i rischi per il settore Fintech sono di facile individuazione: l’incauta attivazione europea del bonifico istantaneo che ridurrà le possibilità di verifica e controllo; la forte spinta data dal neo-eletto presidente Trump e dal consigliere Musk alle criptovalute anche di dubbia origine. È un ambito molto volatile e fragile, spesso a rischio di truffe dove bisognerebbe muoversi con estrema cautela, qualità che molti investitori e clienti inesperti non adottano sempre.

In che modo l’intelligenza artificiale sta cambiando il panorama della cybersecurity nel Fintech, sia in termini di opportunità che di rischi?
Tutti i settori che si basano su enormi quantità di dati e servizi digitali sempre più personalizzati sono già ambito applicativo dell’intelligenza artificiale. Il Fintech ha entrambe le caratteristiche così come la cybersecurity. Del resto, se bisogna analizzare migliaia di eventi al secondo e si hanno obiettivi di servizi sempre più adattabili e mirati, non c’è alternativa praticabile. Purtroppo, i criminali si sono mossi parallelamente agli erogatori dei servizi e spesso in anticipo. Creazione di malware su scala industriale, attacchi e truffe mirate, fino ad arrivare ai sofisticati crimini basati su deepfake sono tutti resi possibili dall’intelligenza artificiale e il tipico cliente non è ancora pronto a comprendere che una voce e un volto noto potrebbero essere stati creati dall’intelligenza artificiale. Servirebbe una sana paranoia che non è ancora diffusa né tra i clienti né tra i manager del Fintech che sono state le prime vittime dei nuovi attacchi informatici.

Puoi spiegare il concetto di Zero Trust e come dovrebbe essere implementato nelle aziende Fintech?
Il principio dello Zero Trust (“mai fidarsi, controllare continuamente”) è l’approccio che io  apprezzo ; tuttavia, mi rendo conto che è difficile scaricare a terra tali principi, più a causa delle complessità organizzative che dei costi tecnologici. Oggettivamente, lo Zero Trust ha seri problemi di rodaggio iniziale che potrebbe portare a falsi allarmi, blocchi operativi e scontento diffuso tra i dipendenti e i clienti che poche Fintech accettano di subire. Per questo motivo, lo Zero Trust richiede molta determinazione da parte dell’Alta Direzione, un rodaggio condotto in parallelo su di un sottoinsieme di servizi e una implementazione operativa solo dopo molteplici collaudi. D’altro canto, il mondo FinTech è stato il primo a forzare l’autenticazione multi-fattoriale per l’accesso ai servizi, che rappresenta il primo passo verso lo Zero Trust. Si tratta di proseguire su questa linea, quindi sono fiducioso che ci arriveremo, anche perché i benefici di sicurezza dopo la fase di rodaggio sono tangibili.

Qual è il ruolo del cloud computing nella cybersecurity delle aziende Fintech e quali misure preventive sono necessarie per evitare configurazioni errate?
Il cloud computing è un altro ambito in cui credo molto e che predico da sempre. Poter usufruire delle piattaforme e delle librerie software dei tre provider principali (Amazon, Google e Microsoft) consente una produttività nello sviluppo di nuove applicazioni che passano da anni a settimane con la garanzia, se ben progettate e implementate, di avere la scalabilità, la sicurezza e la resilienza che dovrebbero caratterizzare tutti i servizi Fintech di successo. Purtroppo, ogni medaglia ha il suo rovescio: muoversi verso piattaforme cloud implica un lock-in con il fornitore selezionato da cui non si torna indietro; i costi del pay-per-use sono di difficile stima anticipata e le sorprese potrebbero scoprirsi solo a fine mese. Quindi, sì al cloud, ma con piena e matura consapevolezza.

Come stanno cambiando le valutazioni del rischio cyber e gli approcci assicurativi nel settore Fintech in risposta alle nuove minacce?
Il settore assicurativo del rischio cyber ha bisogno di un salto di maturità. Dopo una prima fase da Far West in cui l’obiettivo primario è stato la conquista di percentuali di un nuovo mercato, molti eventi dannosi (in primis, il caso NotPetya che ha causato complessivamente danni stimati in 8-10 miliardi di dollari) ha determinato un cambio di scenario a causa del coinvolgimento di grandi multinazionali dotate di contratti con società assicuratrici di primaria importanza. Un vero scontro fra titani. Inizialmente, le assicurazioni si sono rifiutate di rimborsare danni da centinaia di milioni di dollari, ma le multinazionali non si sono fatte intimorire e hanno portato i casi in vari tribunali statunitensi. Tribunali che hanno deliberato a favore dei clienti danneggiati costringendo le assicurazioni a transazioni private stimate in decine di milioni, sebbene gli importi veri siano stati secretati. Oggi, si è capito che la stragrande maggioranza delle aziende non sono assicurabili in quanto non adottano neanche le misure minime previste dalle best practice della cybersecurity. Pertanto, le aziende assicuratrici serie stanno redigendo contratti più chiari sulle responsabilità del cliente e dell’assicuratore, e soprattutto rifiutando di stipulare polizze ad aziende che non hanno un livello accettabile di sicurezza. Pur esistendo molte aziende “cowboy”, le grandi hanno cambiato stile, e il mio auspicio che il mercato prima o poi si adeguerà ai migliori. Poi, esisterà sempre un broker disposto a stipulare una polizza cyber a poco prezzo con chiunque, ma si scoprirà presto che il “cowboy” troverà mille motivazioni per non rimborsare il sinistro, contando sul fatto che non tutti hanno la forza delle multinazionali per andare in tribunale.

Quali competenze saranno più richieste nel campo della cybersecurity nel settore del Fintech per il 2025 e come possiamo affrontare la carenza di esperti in questo ambito?
Questa è la domanda più difficile, anche se posta a un professore universitario. In questo Paese non formiamo abbastanza specialisti di ingegneria informatica, di cybersecurity, di Big Data e di intelligenza artificiale che sono le competenze che servono a tutte le FinTech, ma non solo a loro. La competizione tra aziende non porta alla tipica legge di mercato in cui la carenza di una risorsa fa aumentare i prezzi. Le cause della rigidità stipendiale in Italia sono antiche e ben note, e le aziende hanno le colpe minori. Pertanto, la percentuale più bassa dei laureati necessari (la più bassa in Europa, ferma da anni al 15%) è aggravata dalla ben nota fuga dei cervelli. È difficile fermare questa tendenza verso Paesi dove lo stipendio per i più competenti è doppio o addirittura triplo come in Svizzera. Se si volesse risolvere il problema per il bene del Paese , bisognerebbe che la politica agisse su due fronti: da un lato, predisporre politiche di incentivazione dei laureati in specifiche materie con un obiettivo di raddoppio al 30%, prima che l’ulteriore effetto delle crisi demografica faccia sentire i suoi effetti; dall’altro lato, proporre politiche di defiscalizzazione serie per le aziende che assumono questo tipo di laureati, consentendo una busta paga molto più interessante ai dipendenti operanti in certi settori. Ha mai notato simili azioni? Se no, eviterei recriminazioni per un destino ineluttabile e crudele, in quanto ogni lamentela prolungata nel tempo diventa stucchevole.