L’impatto della tecnologia sulle nostre vite sta diventando sempre più evidente, ma ciò che colpisce maggiormente è l’estrema rapidità con cui una nuova tecnologia riesce ad imporsi e a rivoluzionare dalle fondamenta un determinato ambito.
Un dato che viene spesso citato per descrivere questo fenomeno è quello relativo a quanto tempo una determinata tecnologia ha impiegato per superare la barriera di 50 milioni di utenti nel mondo. In questa speciale classifica vediamo come il telefono abbia impiegato circa 75 anni, la radio 38 anni, il televisore 13 anni. I numeri cambiano radicalmente quando iniziamo ad avvicinarsi al mondo “digital”: alla diffusione del web sono bastati 7 anni per tagliare il traguardo dei 50 milioni di utenti, ai lettori MP3 solo 4 anni, mentre per la popolare applicazione “Pokémon Gò” sono bastate meno di 3 settimane dal lancio.
Anche il settore industriale è fortemente impattato da questa rivoluzione digitale, che in molti definiscono una vera e propria “digital disruption” (si veda l’iniziativa del MISE “Impresa 4.0”). Un caso eclatante in tal senso è stato il poco tempo con cui un marchio globale come Blockbuster (andato in crisi a fine anni duemila e definitivamente fallito nel 2013) fu soppiantato dal nuovo modello di business totalmente digitale di Netflix, che nel 2008 passò dal noleggio/vendita di contenuti multimediali fruibili attraverso dispositivi fisici (CD, DVD, etc.) allo streaming online.
Questi grandi cambiamenti stanno avendo pieni effetti in tutti i campi della gestione aziendale, non ultimo quello della Tesoreria. Se fino a pochi anni fa i Tesorieri (in particolare se caratterizzati da un’operatività internazionale) erano costretti a gestire i flussi di cassa in un contesto basato su processi ad alto contenuto di “manualità”, a usare strumenti di incasso e pagamento non standardizzati e a scontrarsi con un’elevatissima complessità operativa, ora gli strumenti di Supply Chain, Cash Management e Trade Finance a loro disposizione sono diventati molto più sofisticati. Il passaggio alla divisa unica europea, gli standard di pagamento e incasso basati sul comune linguaggio informatico XML, la dematerializzazione, l’omogeneizzazione dei cicli di pagamento a livello europeo, infatti, sono stati dei passaggi fondamentali verso questi grandi cambiamenti, trasformando le Tesorerie in vere e proprie Payment Factory. Nonostante il livello di standardizzazione e automazione dei processi interni stia diventando sempre più elevato, la trasformazione delle Tesorerie è tutt’altro che terminata, bensì è diventata un “terreno fertile” per la piena applicazione delle nuove tecnologie digitali.
Le nuove opportunità della rivoluzione digitale
Sono tante le novità digitali all’orizzonte del “manager finanziario d’impresa 2.0” , queste sono alcune tra le più rilevanti.
SEPA INSTANT PAYMENT
Questo nuovo strumento di pagamento, disponibile solo in euro e all’interno dell’area SEPA, consente di effettuare un trasferimento di fondi irrevocabile da un conto corrente bancario ad un altro in appena 10 secondi, senza tener conto di giorni o orari specifici per il conferimento (è disponibile 24 ore al giorno, 7 giorni su 7, festivi inclusi).
Sebbene si tratti di un prodotto ancora da mettere a punto (motivo per cui è stato impostato un limite massimo di 15.000,00 euro a trasferimento) e opzionale per le banche, è facile intuirne la portata rivoluzionaria: sarà possibile effettuare pagamenti “a vista” con un semplice click con evidenti impatti positivi nei pagamenti alla consegna, nelle compravendite, nei “closing”, etc.
BLOCKCHAIN
Si tratta della tecnologia alla base del successo delle cryptocurrencies (Bitcoin, Ripple, Ethereum, per citarne alcune), grazie alla quale è stato possibile creare delle monete virtuali su scala globale. Gli ambiti di applicazione della Blockchain, però, sono molteplici grazie alla sua peculiarità di poter gestire database decentrati e cifrati in modo sicuro, garantendo la massima tracciabilità e trasparenza di processi anche piuttosto complessi.
Recentemente, BNP Paribas ha iniziato una sperimentazione della Blockchain nel campo del “clearing and settlment” di pagamenti effettuati all’interno del Gruppo.
Tra il 2016 e il 2017 è stato realizzato un proof of concept denominato “Cash Without Border” che ha visto la collaborazione (tra gli altri) del Gruppo Panini. Nel test i clienti hanno effettuato dei pagamenti intracompany all’interno del Gruppo BNP Paribas mediante una piattaforma basata su tecnologia Blockchain presente in più paesi (Germania, Inghilterra, Olanda) e operante con più divise (non solo l’euro, ma anche la sterlina). Tutti i pagamenti passati dalla piattaforma hanno riscontrato un regolamento fondi dal conto corrente di addebito a quello di accredito real time, al pari della disponibilità dei fondi e della relativa rendicontazione su entrambe le posizioni (conto corrente di addebito e accredito).
Dato il successo del proof of concept, il progetto “Cash Without Border” ha avuto un forte impulso e a breve partirà un pilota che coinvolgerà alcuni clienti del Gruppo BNP Paribas, estendendo il perimetro a 6 paesi e 3 divise.
SWIFT GPI
La forte pressione nell’ambito della digitalizzazione dei processi, ha spinto la rete SWIFT ad attrezzarsi in tal senso. Ogni Tesoriere si è scontrato con pagamenti cross-border che sono arrivati a destinazione in ritardo, decurtati di commissioni poco trasparenti o addirittura in divise diverse rispetto alla disposizione originaria, questo perché i vari passaggi effettuati tra le banche corrispondenti non sono mai stati fino ad oggi oggetto di tracciabilità end-to-end. Con questo nuovo servizio, invece, le banche, ma soprattutto le aziende, potranno utilizzare un codice univoco come chiave per poter accedere alla piena tracciabilità di ciascun pagamento: sarà quindi possibile vedere quali banche hanno trattato il pagamento (intermediarie comprese), quali hanno decurtato delle commissioni e per quale importo. Questo accesso sarà consentito non solo all’ordinante, ma anche al beneficiario, che avrà quindi immediata contezza del fatto che il bonifico originario è stato immesso nella rete SWIFT e a che punto del processo si trova.
PSD2
L’avvento della normativa europea Payment Service – Directive (EU) 2015/2366 (nota a tutti con l’acronimo PSD2) ha decretato l’inizio della “fase 2” del mercato unico dei pagamenti europei. Se la prima direttiva comunitaria ha creato le basi per un contesto competitivo più trasparente e omogeneo per gli operatori tradizionali, la seconda ha sancito l’apertura del mercato anche verso nuovi operatori (le cosiddette Fintech). Questa novità porterà con sé per i consumatori molteplici benefici: nuovi servizi digitali a valore aggiunto, una migliore “customer experience”, sistemi di sicurezza più sofisticati, etc.
Non solo opportunità da cogliere, ma anche rischi da gestire
Digitalizzare una tesoreria, dotarla di strumenti tecnologici avanzati porta sicuramente enormi benefici: processi industrializzati, rapidità di esecuzione delle operazioni dispositive, pieno controllo e gestione di entità complesse dislocate anche all’estero, tracciabilità end-to-end delle transazioni con terze parti sono solo alcuni di questi. Un mondo così rapido e così efficiente, però, porta con sé degli inevitabili rischi: non possiamo più reagire nel caso di failure di processo, ma dobbiamo prevenire ogni possibile falla.
L’evoluzione tecnologica di questi ultimi anni, infatti, ha anche evidenziato le forti vulnerabilità che anche i sistemi più insospettabili possono avere in caso di attacco informatico. Secondo il rapporto Clusit 2018, i numeri del “cybercrime” stanno diventando sempre più preoccupanti: negli ultimi sette anni gli attacchi informatici sono cresciuti del 240%, con un aumento del 7% nel corso degli ultimi 12 mesi. Il 2017 è stato un anno tra i più colpiti dal fenomeno, che ha visto oltre un miliardo di persone in tutto il mondo vittime dirette o indirette di attacchi (di cui circa 1.120 definibili gravi), che hanno generato danni complessivi per 500 miliardi di dollari. Il dato forse più preoccupante è il cambiamento degli obietti degli hacker che stanno estendendo la propria interferenza nella geopolitica, nella finanza e nella vita dei privati cittadini, puntando al furto di informazioni e dati sensibili prima ancora del vero e proprio furto di denaro. Anche le tecniche criminali stanno cambiando, visto il numero di attacchi con caratteristiche “estorsive” (i “ramsonware”) in forte aumento. Il rapporto Clusit 2018, inoltre, mette in mostra come il sistema Italia non stia facendo abbastanza per difendersi dal cybercrime: se nel 2017 i danni provocati da questo fenomeno sono stati pari a quasi 10 miliardi di euro, gli investimenti effettuati nello stesso periodo nel campo della sicurezza informatica sono stati di dieci volte più bassi, fermandosi al miliardo di euro.
Gli impatti del Cybercrime sulle Tesorerie
L’attenzione sull’argomento, però, è aumentata a tutti i livelli e non è un caso che recentemente sia stato emanato il nuovo regolamento europeo per la protezione dei dati personali (la “General Data Protection Regulation”, conosciuta anche con l’acronimo GDPR ): i nuovi impatti di compliance comporteranno necessariamente un approccio multidisciplinare in tema di sicurezza delle informazioni, uno dei princìpi a cui il trattamento dei dati personali deve attenersi secondo la nuova normativa.
In un contesto del genere le Tesorerie non possono ritenersi escluse dal fenomeno. I dati che trattano, infatti, sono estremamente sensibili (IBAN, partite IVA, fatture, etc.), gestiscono costantemente rapporti con soggetti terzi tra i quali potrebbero nascondersi possibili incursori (clienti, fornitori, consulenti, etc.) e soprattutto ha in carico la gestione della liquidità dell’azienda, movimentando somme di denaro che possono essere anche molto considerevoli.
Molti ricorderanno il caso che ha coinvolto Confindustria nel settembre dello scorso anno, un caso di social engineering da manuale: un truffatore ha inviato una mail spacciandosi per il direttore generale di Viale dell’Astronomia a uno dei rappresentati della sede belga dell’organizzazione, intimando di spostare in tutta fretta diverse centinaia di migliaia di euro. Il risultato è stato che il bonifico è partito, ma verso una destinazione ignota.
Questo caso, però, non deve far pensare che questa possa essere l’unica vulnerabilità delle Tesorerie: dal rapporto Deloitte “Les Echos Business” leggiamo che durante i test di intrusione effettuati da loro esperti, è possibile accedere ai sistemi di tesoreria nell’80% dei casi. A meno che non sia tutto crittografato, è quindi possibile modificare gli importi e i dettagli degli account dei fornitori.
Come difendersi dal cybercrime: ciascuno deve fare la sua parte
Abbiamo visto come le aziende in generale e le Tesorerie in particolare possano essere vulnerabili agli attacchi informatici e che impatti questi possano avere, ma non abbiamo ancora visto come possiamo difenderci da questi attacchi. La prima cosa che può venire in mente è che per difendersi dal social engineering, o da altri fenomeni come malware, ramsonware, phishing, malvertising, spyware, pharming, vishing, etc. bisogna necessariamente essere esperti di informatica. In realtà, non è necessariamente così. Il ruolo della sicurezza informatica è cruciale in questo ambito, ma ciascuno di noi è chiamato a collaborare fattivamente, con gli strumenti che ha a disposizione.
Il primo passo da fare in questa direzione è di adottare le stesse cautele che normalmente applichiamo nella vita di tutti i giorni anche in quella “digitale”. Se da una parte siamo molto attenti a non divulgare informazioni personali a sconosciuti, non siamo sempre altrettanto attenti quando postiamo notizie su di noi sui social network. Se è vero che custodiamo gelosamente strumenti strettamente personali come carte di credito o le chiavi di casa, non è altrettanto vero che applichiamo la medesima attenzione alle password e agli account per l’accesso a strumenti di lavoro. Per poter fare la propria parte in difesa del bene forse più prezioso delle aziende, le informazioni, non è assolutamente richiesto di essere dei tecnici del settore, ma ci sono tanti altri strumenti a disposizione di tutti.
Abbiamo raggruppato in questo articolo 10 regole d’oro che tutti i Tesorieri e i loro collaboratori devono seguire nella loro attività quotidiana; un elenco in continua evoluzione e non esaustivo, ma che può essere un buon viatico per incrementare il livello complessivo di sicurezza interna.
- Adottare processi interni strutturati: è opportuno limitare sempre di più la gestione end-to-end di processi aziendali in capo ad una singola persona. Separazione delle competenze e controlli “four-eyes” possono evitare che venga data eccessiva autonomia in processi particolarmente delicati.
- Aumentare la consapevolezza sul mondo della sicurezza informatica: trattandosi di un tema in costante evoluzione, è fondamentale tenersi aggiornati sulle nuove tecniche di attacco e di difesa, seguire tempestivamente i corsi di formazione e fare infosharing ogniqualvolta se ne ha la possibilità.
- Attivare procedure di call-back: nel momento in cui si ha a che fare con richieste insolite o poco chiare o siamo messi di fronte a scadenze brucianti insolite a ridosso di periodi di fermo dell’attività (weekend, festività, etc.), è necessario attivare immediatamente procedure di verifica di tali richieste, anche mediante delle chiamate di conferma verso il mittente.
- Dotarsi di anagrafiche protette: “blindare” le anagrafiche, consentendo di modificare/inserire un nuovo fornitore solo a valle di processi robusti, è un ottimo strumento di sicurezza se combinato ad un sistema di pagamento basato su “white list”. Nel caso in cui un hacker rubi le credenziali di accesso di un utente ad un gestionale di tesoreria o ad un remote banking, non potrebbe inserire o modificare disposizioni di pagamento immettendo IBAN di accredito non censiti nell’anagrafica e quindi sconosciuti.
- Utilizzare responsabilmente i social network: capita di frequente di veder circolare sui social network molte informazioni personali che sono condivise con poca attenzione. Queste informazioni a volte impattano anche sulla sfera lavorativa e questo può consentire a potenziali hacker di raccogliere informazioni sensibili che poi potrebbero essere usate per pianificare degli attacchi.
- Effettuare back-up e usare server aziendali: come abbiamo detto, gli hacker sono sempre più interessati alle informazioni gestite dalle Tesorerie ed è dall’utilizzo di queste che traggono il loro profitto. Una buona abitudine per proteggere i dati più sensibili è effettuare back-up periodici, utilizzando server aziendali (più difficili da raggiungere in caso di intrusione e spesso criptati).
- Tenere sempre aggiornati i profili autorizzativi rispetto al ruolo: oltre agli attacchi esterni, non vanno sottovalutate le frodi interne. Se i profili di sicurezza in ambito aziendale non sono accuratamente gestiti e monitorati (capita spesso che in caso di cambio di ruolo all’interno della stessa azienda, le vecchie abilitazioni rimangono in essere anche successivamente all’inizio della nuova attività), c’è il rischio di perdere il controllo sull’operatività degli utenti.
- Aggiornare costantemente le postazioni di lavoro: non bisogna mai sottovalutare l’importanza dei messaggi relativi alla sicurezza che riceviamo sulle nostre postazioni di lavoro. L’aggiornamento dei software è cruciale per tutelarsi da possibili intrusioni esterne, soprattutto quando parliamo di antivirus o sistemi per il criptaggio dei dati.
- Diffidare da richieste invio duplicati di documenti e codici sicurezza: sul primo punto, si tratta di richieste potenzialmente del tutto legittime, ma i rischi di divulgare documenti sensibili (come fatture, dati bancari, anagrafiche, etc.) non devono mai essere sottovalutati. Se la richiesta è quindi immotivata o insolite è sempre opportuno contro verificarla. Sul secondo punto, invece, va sottolineato come ormai sia del tutto inusuale che soggetti apparentemente autorizzati richiedano codici di sicurezza o password telefonicamente o via e-mail. Bisogna quindi diffidare da ogni richiesta del genere e verificare accuratamente l’identità dell’interlocutore.
- Custodire opportunamente password e strumenti sicurezza (token): sia nell’ambito personale che professionale utilizziamo tantissimi account e strumenti di sicurezza per accedere o utilizzare portali digitali. È fondamentale avere cura di custodirli in modo sicuro, verificando che siano inaccessibili a terzi.
Nella lotta al cybercrime e sulla sicurezza informatica in generale, quindi, ciascuno di noi è chiamato a fare la propria parte, soprattutto se lavoriamo in organizzazioni aziendali complesse: una catena è forte quanto il suo anello più debole.
Gianluca Pepe
Referente Sviluppo Prodotti e Canali Corporate – Divisione Corporate Banking BNL Gruppo BNP Paribas