Il 12 maggio 2026, durante la sua conferenza stampa annuale, la BaFin si è unita ai regolatori finanziari internazionali che hanno iniziato ad allertare formalmente sui rischi che i modelli avanzati di intelligenza artificiale rappresentano per il settore finanziario. La frase del suo presidente, Mark Branson, dice molto con poco. “I nuovi modelli di IA possono identificare numerose vulnerabilità, tanto in sistemi nuovi quanto in quelli esistenti, con una velocità notevole. E saranno in grado di sfruttarle sempre più rapidamente.”
Quello che quel paragrafo dice in modo sobrio, in linguaggio regolatorio, è che l’orologio è cambiato. Dove prima il tempo di risposta a una vulnerabilità si misurava in mesi, ora si misura in ore. Questo obbliga a ripensare dove mettere l’attenzione quando parliamo di cybersecurity bancaria.
Cosa ha detto la Germania e perché conta per il resto d’Europa?
L’autorità tedesca ha annunciato due cose in simultanea. Una era prevedibile e nota; i rischi cibernetici sono “crescenti e consistenti”. L’altra è più interessante. Creerà una nuova divisione dedicata a ispezioni tecniche più brevi e più frequenti su istituzioni finanziarie specifiche. Le ha chiamate “IT spotlight”.
Il ragionamento è logico. Se gli attaccanti possono trovare e sfruttare falle in ore, gli audit annuali o trimestrali arrivano in ritardo. Branson lo ha detto con franchezza. “In passato, i cicli di patch si misuravano in mesi. In futuro dovranno essere completati in pochi giorni, se non in ore.” Un’ispezione che impiega sei mesi a chiudere il proprio report non ispeziona più il presente. Ispeziona un passato che il mercato si è lasciato alle spalle.
La stessa logica si sta muovendo verso il resto d’Europa. L’industria si attende che la FCA e la PRA del Regno Unito pubblichino nei prossimi mesi un quadro coordinato sul rischio cyber indotto dall’IA in finanza, modellato in buona misura sulla BaFin. Italia e Spagna, già soggette a DORA e alla Direttiva NIS2, riceveranno pressioni simili da Banca d’Italia e Banco de España. L’America Latina, con BCRA in Argentina e CNBV in Messico come riferimenti, non opera su un altro pianeta. Le case madri europee e i processi di audit incrociato spingeranno la stessa esigenza.
Cosa risolvono le ispezioni “IT spotlight” e cosa lasciano fuori
Un’ispezione “IT spotlight” è una revisione tecnica ridotta nel perimetro, progettata per chiudersi in settimane e non in mesi. Non sostituisce gli audit tradizionali; li completa con uno strato più reattivo. L’idea è rispondere meglio a quello che sta succedendo adesso.
È un passo nella direzione giusta. È anche un passo parziale.
L’ambito dell’ispezione resta in ciò che si può misurare dall’esterno della persona. Una revisione tecnica controlla configurazioni, patch, segmentazione di rete, gestione delle identità, controlli crittografici. Può confermare che tutto il perimetro tecnico sia aggiornato. Non può confermare che il collaboratore che riceverà un’email di phishing martedì alle undici e dieci sappia riconoscerla, dubitarne, segnalarla, non cliccare.
La metafora dello “spotlight” è eloquente senza volerlo. Il riflettore illumina una parte del palco con grande intensità. Quello che resta fuori dal fascio, resta al buio.
Dove guardano i regolatori e dove colpiscono gli attaccanti
Il Verizon Data Breach Investigations Report del 2025 conferma un dato che si ripete, anno dopo anno, con variazioni minime. Circa il 60% delle violazioni confermate coinvolge un elemento umano: errore, ingegneria sociale, abuso interno. Il numero non cambia molto perché il vettore non è cambiato. Quello che cambia è la sofisticazione con cui si esegue ogni tentativo.
È quello che aggiunge l’IA generativa. Fino a due anni fa, un’email di phishing diretta a un collaboratore specifico richiedeva tempo di ricerca, ortografia curata e conoscenza del contesto aziendale. Oggi un modello linguistico genera quell’email in secondi, con il tono adatto a quel settore, con il ruolo corretto del destinatario, citando una riunione reale visibile su LinkedIn, con il formato esatto di comunicazione interna che quell’azienda usa.
Il collaboratore riceve un’email che sembra pensata per lui. Se non ha mai esercitato la decisione sotto pressione in uno scenario realistico, i firewall che ha alle spalle non lo salveranno dal clic. La porta si apre dall’interno, senza bisogno di forzare nulla.
Tempo fa abbiamo scritto su questo blog perché l’IA non può sostituire la guida umana nei programmi di cybersecurity awareness, e anche come integrare il comportamento umano nelle strategie di rilevamento. Quello che si segnalava allora si accelera con ogni nuovo modello. I SIEM non vedono cosa succede nella testa del collaboratore nei secondi precedenti al clic.
Cosa possono fare oggi gli istituti finanziari di Italia, Spagna e America Latina?
La risposta sta nel costruire un programma che alleni le persone con la stessa frequenza e lo stesso livello di specificità con cui gli attaccanti le colpiscono. Raddoppiare il budget tecnico non basta.
Per la realtà regolatoria di ogni mercato, i passi pratici variano. Il principio è lo stesso.
In Italia, dove Banca d’Italia e IVASS (Istituto per la Vigilanza sulle Assicurazioni) vigilano sul rispetto della normativa DORA e delle linee guida della Banca Centrale Europea sul rischio operativo, il fattore umano è già nominato nelle indicazioni. È citato come un dato aggiuntivo, non come l’asse portante. Costruire un programma di awareness misurabile, segmentato per ruoli critici e integrato nello schema di risk management è ciò che chiude il cerchio tra audit e operatività reale.
In Spagna, dove Banco de España e CNMV replicano il quadro DORA con ispezioni proprie, i rilievi ricorrenti puntano a tre carenze ripetute. Le simulazioni interne esistono ma sono annuali, i report esistono ma restano a livello aggregato, e i segmenti a maggior rischio si identificano tardi. Uno strato di simulazione realistica, distribuito nel tempo, traduce questi rilievi in metriche che il supervisore può leggere.
In America Latina, dove BCRA in Argentina e CNBV in Messico mantengono requisiti specifici per gli istituti finanziari, la logica è la stessa con meno infrastruttura pregressa. Lo spazio per costruire dall’inizio un programma moderno di difesa contro il rischio umano è più aperto che in Europa.
In SMARTFENSE accompagniamo istituti finanziari di Italia, Spagna e America Latina con simulazioni contestualizzate per settore, moduli formativi in lingua locale e report che collegano i risultati di campagna a profili di rischio individuali. La piattaforma è stata progettata perché un team di sicurezza possa mantenere la cadenza che un regolatore attento inizia già a richiedere.
La nuova sfida: misurare la resilienza umana al ritmo dell’IA.
Branson ha concluso con una frase che verrà citata spesso. In passato i cicli di patch si misuravano in mesi; in futuro, in poche ore. L’attenzione mediatica è concentrata sulla velocità di risposta tecnica, e a ragione.
C’è una conseguenza che compare poco. Se il ciclo della patch è passato da mesi a ore, il ciclo di misurazione del fattore umano deve muoversi nella stessa direzione. Una simulazione di phishing annuale funziona come evento isolato. Arriva in ritardo sul rischio che vorrebbe controllare.
Quello che cambia, allora, va oltre i regolatori. Cambia l’orologio su cui le aree di sicurezza misurano la propria gente. La regolazione è il segnale esterno. La domanda interna è un’altra. Con quale frequenza puoi dire al tuo CEO di quanto è salita o scesa la resilienza di ogni team davanti all’ultima generazione di attacchi, invece di mostrargli un dato semestrale?
Quella domanda gira da un po’. La differenza è che ora la risposta conta di più, e la tecnologia per rispondere è disponibile. La difesa attiva contro il rischio umano funziona come superficie operativa concreta. È dove un programma ben progettato può produrre miglioramenti visibili tra un’ispezione e la successiva.
Lascia un commento