Il passaggio ai 500 milioni segna molto più di una voce di spesa tecnica: mostra un settore che tratta la sicurezza digitale come una componente strutturale della continuità bancaria. Il perimetro include protezione degli accessi, presidi antifrode, resilienza operativa, monitoraggio e formazione. Il punto decisivo sta nella combinazione tra investimenti tecnologici e comportamento umano.
La lettura dei numeri mostra anche un cambio di priorità. La banca deve proteggere i propri sistemi, mantenere disponibili i servizi anche in caso di incidente ICT e ridurre le frodi in cui il cliente viene manipolato fino a completare l’autenticazione. È qui che il budget assume valore industriale: finanzia nuovi strumenti e ridisegna processi e tempi di risposta.
Nota di lettura: i dati riportati riguardano il settore bancario nel suo insieme senza descrivere la posizione di un singolo istituto. Le percentuali vanno quindi interpretate come indicatori di sistema.
Il budget 2026: perché i 500 milioni sono una soglia tecnica
La soglia di circa 500 milioni di euro nel 2026 è espressa in termini di TCO, cioè Total Cost of Ownership. Questo dettaglio cambia la lettura economica del dato: il costo complessivo include acquisto di tecnologie, attività di esercizio, manutenzione, integrazione nei sistemi bancari e presidio organizzativo. In una banca, un controllo antifrode vale solo se dialoga con canali digitali, filiali, help desk, sistemi di pagamento e gestione delle identità.
Il dato dei quasi 2,5 miliardi spesi tra 2020 e 2025 permette una seconda lettura. Su sei esercizi il settore ha mantenuto un ordine di grandezza annuo superiore ai 400 milioni; il 2026 si colloca sopra questa media semplice e conferma che la sicurezza sta entrando stabilmente nel ciclo di pianificazione IT. La crescita della quota media fino all’8% del budget informatico rende ancora più evidente il passaggio da presidio specialistico a leva di continuità operativa.
Le priorità: resilienza, antifrode e identità digitale
Le tre aree che assorbono l’attenzione del prossimo biennio formano un’unica catena operativa. La resilienza operativa digitale serve a mantenere funzionanti servizi essenziali anche quando un incidente ICT colpisce processi o fornitori. Le soluzioni antifrode lavorano sul riconoscimento di anomalie, pattern di comportamento e tentativi di manipolazione. La gestione delle identità digitali diventa il raccordo tra accesso legittimo e controllo del rischio.
La priorità dichiarata su resilienza, antifrode e Identity & Access Management va letta nel quadro europeo introdotto da DORA. Dal 17 gennaio 2025 il settore finanziario opera con requisiti specifici su gestione dei rischi ICT e governo dei fornitori tecnologici. Dentro questo perimetro rientra anche la segnalazione degli incidenti gravi. Per le banche significa trasformare la sicurezza in un processo verificabile, documentato e misurabile nei controlli interni.
La vulnerabilità più costosa: il cliente che autorizza la frode
Il dato più delicato riguarda le frodi retail effettive: l’81% nasce dalla manipolazione del cliente. Ancora più rilevante è il 96% delle transazioni fraudolente completate con Strong Customer Authentication regolarmente eseguita. La SCA conferma che l’utente ha autenticato l’operazione; la frode manipolativa interviene prima, costruendo un contesto falso che porta quella stessa persona a compiere il gesto richiesto dal criminale.
Questa dinamica spiega perché la spesa antifrode va letta oltre il puro rafforzamento perimetrale. Serve un livello capace di combinare segnali comportamentali, verifica del beneficiario, alert contestuali e tempi di sospensione. L’obiettivo operativo diventa intercettare l’operazione quando appare formalmente legittima ma nasce da una pressione esterna anomala.
Dalle telefonate ai social: la frode cambia canale
La pressione criminale si sposta dove il cliente è più raggiungibile. L’abuso di telefonate e SMS scende al 46%, contro l’87,5% rilevato nel 2023. Il calo mantiene aperto il rischio su questi canali e segnala un adattamento: social network e app di messaggistica istantanea diventano spazi più utili per costruire fiducia e urgenza artificiale.
Il falso investimento emerge come leva particolarmente efficace, con il 36% degli eventi. La ragione è concreta: una promessa finanziaria rende più credibile il trasferimento di denaro, sposta la conversazione fuori dai canali bancari ufficiali e può durare abbastanza da superare i controlli basati su singoli episodi. Per una banca, riconoscere questo schema richiede un presidio capace di leggere il comportamento nel tempo oltre il click finale.
Tentativi oltre 600 milioni e recuperi in crescita
Il controvalore dei tentativi di frode supera 600 milioni di euro. La quota delle frodi effettive sale al 17%, segnale che la prevenzione deve misurarsi con attacchi più insistenti e con una maggiore capacità dei criminali di aggirare la prudenza dell’utente. Nello stesso quadro, gli importi recuperati attraverso la cooperazione tra prestatori di servizi di pagamento passano da 23 a 35 milioni, con un incremento del 50%.
Il recupero lascia aperto il danno reputazionale e operativo di una frode riuscita. Indica comunque dove si trova una parte della risposta: scambio informativo più rapido e tracciamento tempestivo dei flussi con procedure condivise tra operatori. Nei pagamenti digitali, il tempo è una variabile economica. Ogni ora persa può rendere più difficile bloccare o riottenere le somme trasferite.
Formazione interna e consapevolezza dei clienti
La difesa bancaria coinvolge ormai tutte le filiali: la totalità del personale di rete è inserita in attività formative. Il presidio si estende anche al Top Management, coinvolto nel 93% dei casi e all’Help Desk, presente nel 92%. Questa distribuzione è coerente con la natura delle frodi: un attacco può arrivare al cliente, rimbalzare su una filiale, generare una chiamata al supporto e produrre una decisione interna in tempi stretti.
Sulla clientela retail, il tema più trattato è il social engineering, affrontato dal 97% delle banche. Seguono uso sicuro degli strumenti di pagamento al 88%, gestione sicura dell’identità all’81% e rischi legati agli investimenti online al 72%. Il dato indica una scelta precisa: la comunicazione al cliente viene costruita attorno ai punti in cui la frode riesce a trasformare una relazione di fiducia in un ordine di pagamento.
Le campagne: frequenza, canali e messaggi utili
Le iniziative di sensibilizzazione sono promosse con frequenza almeno semestrale nel 78% dei casi. Il canale più diffuso resta l’informativa periodica o mirata, utilizzata dall’88% delle banche. E-mail, SMS, app mobile e portali di internet banking raggiungono ciascuno l’84%; i social network arrivano al 72% e le filiali al 56%.
La scelta multicanale ha una logica molto concreta. Un cliente può essere agganciato su una chat, ricevere una telefonata di conferma fittizia e completare l’operazione su app bancaria. La prevenzione efficace deve quindi apparire nei luoghi in cui il cliente decide, oltre che nelle pagine informative consultate a freddo.
Fornitori e supply chain: il rischio indiretto pesa di più
Il rischio indiretto cresce. I data breach aumentano del 27% e il 35% degli istituti rispondenti risulta colpito attraverso fornitori o catene di fornitura. Questo dato sposta l’attenzione dal solo perimetro interno alla qualità dei contratti ICT, alla tracciabilità delle funzioni essenziali e alla capacità di verificare in modo continuo i presidi dei partner tecnologici.
Nel quadro DORA, la gestione dei fornitori ICT a supporto di funzioni essenziali o importanti diventa un tema di vigilanza. La conseguenza pratica è netta: la banca deve conoscere meglio ciò che esternalizza, documentare i rapporti critici e preparare risposte operative anche quando l’incidente nasce fuori dalla propria infrastruttura diretta.
Ransomware e DDoS: lettura corretta dei dati di campione
Nel campione del rapporto 2026, il ransomware risulta assente tra gli episodi rilevati e gli attacchi DDoS gravi si fermano a 2 casi. Il dato va interpretato con rigore: segnala un minore peso relativo in quella rilevazione, mentre la gestione del rischio ICT continua a richiedere preparazione su indisponibilità dei servizi, continuità operativa e ripristino.
La differenza tra minaccia osservata e minaccia potenziale è essenziale per chi pianifica budget. Se un attacco DDoS grave ha bassa frequenza nel campione, può comunque avere impatti elevati sulla disponibilità dei servizi. Per questo la resilienza resta prioritaria anche quando il numero di eventi appare contenuto.
Effetti pratici su correntisti e imprese
Per i correntisti, l’effetto più visibile sarà una comunicazione di sicurezza più presente nei momenti operativi: avvisi su bonifici, richiami contro telefonate sospette, messaggi sull’identità digitale e controlli aggiuntivi quando l’operazione mostra segnali anomali. Questo può rendere alcune procedure meno immediate; il beneficio atteso è ridurre la finestra in cui una frode manipolativa resta invisibile.
Per le imprese, il punto sensibile è la catena autorizzativa. Le truffe della fattura, del supporto informatico e del falso ordine del vertice aziendale funzionano quando una richiesta anomala sembra compatibile con il lavoro quotidiano. La risposta più solida unisce doppia verifica interna, formazione dei dipendenti e regole chiare sui cambi di IBAN o sui pagamenti urgenti verso nuovi beneficiari.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Junior Cristarella
Source link
