Copia/incolla disponibile con abbonamento Enterprise

Approfondimenti

​Cybersecurity & risk management for finance and investments

Esperti di finanza, cybersecurity, forze dell’ordine e accademia analizzano rischi digitali, fiducia nei mercati, riciclaggio online e nuove regole europee, proponendo strategie concrete per proteggere risparmi, dati sensibili e infrastrutture critiche nel sistema finanziario.

Roma, 4 dicembre 2025 - La seconda edizione di Towards Financial Culture ha aperto i lavori con un panel dedicato a un tema che oggi tocca da vicino banche, imprese e cittadini: la cybersecurity nel sistema finanziario.

In una sala piena, generali, consulenti, docenti universitari e funzionari pubblici hanno discusso di fiducia, criminalità digitale, norme europee e responsabilità dei vertici, mettendo in luce una verità semplice: nella finanza digitale il vero capitale è la fiducia, e la sicurezza informatica ne è la condizione minima.

Un’agorà per la cultura finanziaria digitale

Il fondatore di TFC, il dottor Damiano Perrons, ha ricordato che Towards Financial Culture nasce come programma di educazione finanziaria, economica e imprenditoriale aperto a tutti ma pensato prima di tutto per i giovani.

Questa seconda edizione segna un passaggio importante: i panel non restano confinati nelle sale del Parlamento, ma iniziano ad approdare nelle università, prima romane e poi, nelle intenzioni, anche in altre regioni. Un modo per portare il confronto direttamente dove la cultura “fermenta”.

Il professor Vincenzo Carbone, direttore scientifico dell’iniziativa, ha paragonato TFC alle antiche agorà greche: uno spazio di incontro tra persone, saperi e linguaggi diversi. Solo che al posto di filosofi e oratori, oggi si siedono allo stesso tavolo giuristi, ingegneri, militari, esperti di finanza e di tecnologia.

La fiducia come infrastruttura invisibile della finanza

Fin dalle prime parole, Perrons ha messo al centro la parola chiave del panel: fiducia.

Il sistema finanziario, ha ricordato, non si regge soltanto su numeri e regolamenti, ma su qualcosa di immateriale e fragile: la convinzione che banche e intermediari proteggano denaro, dati, sistemi e continuità operativa.

Negli ultimi dieci anni, la superficie d’attacco è esplosa: cloud, intelligenza artificiale, open banking, piattaforme evolute di investimento hanno reso i servizi più rapidi ed efficienti, ma anche molto più esposti a minacce sofisticate e globali.

“La cybersicurezza – ha sottolineato – non è più un rischio operativo, è un rischio sistemico, reputazionale, strategico”.

In questo scenario, la fiducia non è un concetto astratto: è la base su cui poggia l’intero edificio finanziario.

Dal “come evitare” al “come reagire”

Per anni – ha osservato Perrons– la domanda dominante è stata: come possiamo evitare un attacco?

Oggi il paradigma sta cambiando: si parte dal presupposto che una minaccia possa già essere entrata nei sistemi e la domanda diventa: siamo in grado di rilevarla, contenerla e gestirla senza interrompere il servizio e senza perdere credibilità?

Pensare alla sicurezza come a un percorso e non come a un obiettivo statico significa accettare che il rischio zero non esiste.

Ciò che fa la differenza è la capacità di risposta: avere processi chiari, ruoli definiti, canali di comunicazione efficaci e una governance che prenda sul serio il rischio digitale quanto quello di mercato, di credito o di liquidità.

In questa logica, Perrons ha insistito su un punto: la cyber sicurezza non è un costo da sopportare malvolentieri, è un investimento strategico che aumenta reputazione, attrae capitali, giovani talenti e investitori di lungo periodo.

Token, app e il prezzo nascosto della comodità

Il generale Umberto Rapetto, figura storica nella lotta al cybercrime, ha portato un esempio concreto, raccontando il suo caso personale di correntista a cui è stato comunicato, via email, che il token fisico per l’home banking sarebbe stato eliminato a favore della sola app su smartphone.

Una scelta presentata come più moderna e comoda, ma che per Rapetto riduce la sicurezza del cliente.

Il token, ha ricordato, di solito resta in un cassetto di casa o in ufficio, lontano dalla circolazione quotidiana. Il telefono, invece, è sempre con noi, si può perdere, rubare, clonare; al suo interno non ci sono solo le credenziali bancarie, ma pezzi interi della nostra vita digitale.

Le truffe via SMS, i casi di SIM swap, le app infette che passano perfino dagli store ufficiali mostrano quanto sia fragile l’idea che la semplice “novità” garantisca maggiore sicurezza.

Rapetto ha sintetizzato il paradosso con una metafora volutamente provocatoria: eliminare il token perché “vecchio” è come decidere di abolire la ruota solo perché esiste da millenni.

Infrastrutture vecchie e sovrastrutture creative

Niccolò Serafini, consulente di sicurezza informatica nel settore privato e rappresentante digital & tech di Bruno Pavlov & Partners, ha spostato l’attenzione sotto la superficie.

Il problema, ha spiegato, non è solo quello che vede l’utente finale, ma la struttura tecnica che regge l’intero palazzo: sistemi informativi spesso datati, costruiti su tecnologie di molti anni fa.

Per proteggere queste architetture si è scelto, negli anni, di aggiungere strato su strato: firewall, proxy, reverse proxy, segmentazioni, controlli specializzati.

Una difesa “a cipolla” che, invece di semplificare, rende la governance più complessa, rallenta l’analisi dei log, complica la risposta agli incidenti.

Quando qualcosa va storto, ha osservato Serafini, bisogna attraversare una foresta di procedure, eccezioni e regole create nel tempo.

Questo aumenta il rischio di errori, di ritardi, di incomprensioni tra IT, business e vertici aziendali. E l’errore umano, ha ricordato, resta il fattore scatenante di una larghissima parte degli incidenti, sia nel pubblico sia nel privato.

Mafie, riciclaggio e denaro che non si vede

Il generale Luigi Del Vecchio, Guardia di Finanza in congedo, ha offerto una prospettiva investigativa sul riciclaggio nell’era digitale.

Partendo dalle riflessioni del Procuratore nazionale antimafia Melillo, ha ricordato che “le tecnologie digitali sono ormai il cardine organizzativo delle reti criminali” e rappresentano un moltiplicatore della loro capacità operativa.

Le mafie tradizionali non hanno abbandonato il controllo del territorio, le estorsioni, il traffico di stupefacenti o l’usura, ma hanno affiancato a questi schemi un uso sempre più disinvolto di strumenti online, piattaforme non regolamentate, società offshore e casinò, fisici e digitali.

Il riciclaggio informatico consente di spostare grandi quantità di denaro con una esposizione fisica minima e con rischi percepiti più bassi rispetto alle attività tradizionali.

Seguire la “pista dei soldi”, come insegnava Giovanni Falcone, significa oggi inseguire flussi che esistono soltanto come dati: tra conti digitali, criptovalute, giurisdizioni opache e sistemi di pagamento alternativi.

Il dato come valuta globale

L’avvocato Francesco Perrone ha portato la sua esperienza in contesti fintech e ad tech internazionali, descrivendo un mercato in cui, spesso, non è più solo il denaro ad essere scambiato, ma i dati.

Nei contratti tra piattaforme, inserzionisti e publisher, la valuta reale è l’accesso a informazioni e profilazioni sugli utenti: chi vede cosa, quando, da dove, con quali comportamenti.

Su questo terreno si confrontano tre visioni inconciliabili.

L’Europa considera il dato un diritto della persona, da proteggere come estensione della dignità individuale.

Gli Stati Uniti lo trattano come un asset competitivo, su cui costruire business e modelli di targeting sempre più raffinati.

La Cina lo considera soprattutto una risorsa strategica per lo Stato, integrata in sistemi di controllo sociale.

Dentro questi tre blocchi, i flussi di dati passano da un continente all’altro, spesso finendo in “scatole nere” tecnologiche su cui è difficile esercitare un controllo pieno.

Misurare la ricchezza generata da queste informazioni, tassarla in modo equo e garantirne una gestione trasparente è una delle grandi sfide aperte per i regolatori.

Norme europee tra diffidenza e opportunità

Sul ruolo del diritto europeo si è sviluppato un confronto vivace.

William Nonis, esperto di digitalizzazione presso la Presidenza del Consiglio dei Ministri, ha sottolineato come l’Unione spesso arrivi in ritardo rispetto a innovazioni che corrono molto più veloci, citando l’intelligenza artificiale e gli agenti automatici in grado di operare 24 ore su 24, talvolta sfruttando infrastrutture situate in Paesi extra-UE e fuori dalla portata immediata delle autorità nazionali.

Al tempo stesso, Nonis ha ricordato un limite strutturale: ogni regolamento deve essere recepito e applicato da 27 Stati con culture, sistemi giuridici e interessi differenti.

Questo rende complesso costruire un quadro davvero uniforme, ad esempio sui temi dell’AI o della protezione dei dati.

Il generale Alberone ha però offerto una lettura diversa, difendendo la qualità del diritto unionale.

GDPR, NIS2, DORA e le altre norme più recenti non sarebbero solo “foglie di carta” piene di obblighi, ma testi che incorporano valori fondamentali: diritti, libertà, sicurezza.

Il GDPR, ha ricordato, non “protegge i dati” in astratto, ma le persone fisiche attraverso la tutela delle loro informazioni, riconosciute come proiezione della personalità.

Questo comporta un cambio di paradigma: le norme non danno solo comandi, ma fissano principi e obiettivi, chiedendo alle organizzazioni di valutare rischi e responsabilità in modo maturo, quasi come farebbe una norma tecnica.

DORA e il nuovo ruolo dei consigli di amministrazione

Il DORA, il Digital Operational Resilience Act, è l’esempio più chiaro di questo cambio di prospettiva.

Per Alberone, il cuore del regolamento è il “quadro per la gestione dei rischi ICT”: una struttura solida e documentata che deve guidare le scelte di banche, assicurazioni e altri operatori finanziari.

La vera novità è la collocazione della responsabilità: l’articolo 5 del DORA stabilisce che l’organo di gestione – il Consiglio di amministrazione – assume la responsabilità finale dei rischi informatici.

Non è più un tema delegabile in modo generico all’IT o al CISO: è una componente essenziale del governo d’impresa, allo stesso livello della solidità patrimoniale o della trasparenza contabile.

Il regolamento chiede quindi ai Cda di:

  • approvare e rivedere periodicamente la strategia di resilienza digitale;
  • definire ruoli e responsabilità in materia di sicurezza;
  • garantire risorse adeguate per processi, tecnologia e formazione;
  • istituire canali informativi efficaci con il responsabile della sicurezza;
  • supervisionare i piani di continuità operativa e gli stress test.

Un passaggio cruciale riguarda la formazione: i membri dei Consigli devono acquisire conoscenze e competenze adeguate per comprendere, valutare e affrontare i rischi ICT.

Riprendendo una massima militare, Alberone ha sintetizzato così la filosofia di fondo: “Si combatte per come ci si è addestrati”.

Resilienza, antifragilità e guerre ibride

L’ingegner Giacomo Pellizzi ha collocato queste riflessioni in un quadro più ampio, richiamando anche il pensiero di Yuval Noah Harari e di Nassim Nicholas Taleb.

Oggi oltre il 90% del denaro non esiste in forma fisica: vive come informazione nei sistemi di pagamento, nelle borse, nelle piattaforme di trading, nei database bancari.

La stabilità finanziaria dipende dunque in modo diretto dalla sicurezza e dalla resilienza di queste infrastrutture digitali.

Resilienza che non significa soltanto resistere a un urto, ma, in un’ottica “antifragile”, imparare dagli incidenti per migliorare: come un muscolo che, se allenato correttamente, diventa più forte dopo ogni sforzo.

In un contesto di guerre ibride, campagne di disinformazione e attacchi mirati alle infrastrutture critiche, un singolo punto debole – un fornitore sottovalutato, un nodo non monitorato, un sistema non aggiornato – può generare effetti a catena.

Da qui l’importanza di un’analisi del rischio rigorosa e continuativa, con scenari, prove, esercitazioni e piani di ripristino realistici.

Oltre i silos: giuristi, ingegneri e linguaggi da costruire

Nella parte finale del panel, il professor Maier e l’ingegner Lucci hanno scelto la forma del dialogo per mostrare quanto la sicurezza, oggi, richieda competenze intrecciate.

La prospettiva dell’amministratore delegato, concentrato su business e continuità, e quella del responsabile della security, focalizzato su rischi e vulnerabilità, devono imparare a parlarsi, superando i silos tradizionali.

Carbone ha rilanciato la sfida alle università: servono percorsi formativi che avvicinino diritto, tecnologia, finanza e gestione del rischio.

Figure come i compliance officer o i risk manager del futuro dovranno saper leggere una norma europea, ma anche capire cosa significhi implementarla in un’architettura IT complessa.

Senza questa sintesi, giuristi e ingegneri rischiano di procedere “in parallelo”, senza mai incontrarsi davvero; e il divario tra ciò che il diritto chiede e ciò che la tecnologia fa continuerà ad allargarsi.

Una sfida generazionale per studenti e istituzioni

Il professor Carbone ha riportato al centro i giovani, destinatari privilegiati di Towards Financial Culture.

Il prossimo appuntamento, già annunciato per marzo in un ateneo romano, va proprio in questa direzione: portare il dibattito sulla sicurezza finanziaria nel luogo in cui si formano i futuri professionisti e decisori.

La sicurezza, ha ricordato riprendendo un concetto più volte emerso, non è un risultato da spuntare ma un percorso da costruire, giorno dopo giorno.

Un percorso che richiede norme intelligenti, tecnologie robuste, ma soprattutto persone formate e consapevoli, capaci di cooperare oltre i confini tra pubblico e privato, tra discipline e tra Paesi.

Nel mondo della finanza digitale, il dato è la nuova materia prima, la fiducia è la vera valuta e la cybersecurity ne è la riserva di valore che va continuamente alimentata.

 

 

Link al video

Innovazione e Digital Economia

Take the Date è un prodotto di Nomos

Take the Date è il portale che promuove gli eventi istituzionali e pubblici di rilievo che si tengono ogni giorno in Italia. Nato da un progetto di Nomos Centro Studi Parlamentari azienda leader nel settore delle relazioni istituzionali.

Nomos

Iscriviti a Take The Date

Free

Per Sempre

Gratis

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale 
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi (si applicano costi e condizioni)

Professional

€ 200/anno+IVA

€150/anno+IVA fino al 31/3/26

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale 
  • Iscrizione a 2 newsletter tematiche 
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi con uno sconto del 10%
  • Accesso all’archivio storico degli eventi
  • Accesso all’agenda istituzionale 

Enterprise

€ 300/anno+IVA

€250/anno+IVA fino al 31/3/26

  • Consultazione di tutti gli eventi
  • Iscrizione alla newsletter generica, che verrà inviata con cadenza settimanale  
  • Iscrizione a tutte le newsletter tematiche
  • Inserimento gratuito dei tuoi eventi
  • Promozione dei tuoi eventi con uno sconto del 20%
  • Accesso all’archivio storico degli eventi
  • Accesso all’agenda istituzionale
  • Area riservata con calendario interno, archivio e alert personalizzati
  • Copia/Incolla abilitato
  •  

Eventi correlati

Eventi correlati

Nato da un’iniziativa di Nomos Centro Studi Parlamentari - società di consulenza specializzata in public affairs, advocacy, lobbying e monitoraggio istituzionale e comunicazione - Take The Date è il primo portale che promuove tutti gli eventi di rilievo istituzionale e pubblico, che si tengono ogni giorno in Italia.

SOCIAL