Il mondo delle banche e in generale dei servizi finanziari sta vivendo una fase di forte evoluzione, grazie all'adozione delle tecnologie digitali. Queste hanno permesso a nuove e vecchie realtà di sviluppare servizi innovativi per la clientela e anche di migliorare i propri processi di backoffice. Tutto bene, ma la European Banking Authority ha presentato un report che intende mettere sull'avviso banche e fintech: le tecnologie digitali introducono nuovi fattori di rischio che vanno attentamente valutati.

L'impressione è che la EBA voglia mettere in forte evidenza la necessità di andare oltre il concetto del "rischio tecnologico", ossia capire che le tecnologie non comportano solo pericoli tecnici in sé ma possono impattare negativamente sul generico profilo di rischio di chi opera nel banking. Questo impatto è più percepibile sul rischio operativo ma riguarda anche il rischio legale e quello reputazionale.

La EBA sottolinea in particolare il cosiddetto "third-party risk", ossia il rischio dell'affidarsi a provider terzi - di servizi o prodotti - sui quali non si ha alcun controllo. Il tema della sicurezza nella gestione dei dati da parte di queste realtà esterne è trasversale a tutte le segnalazioni della EBA. E riguarda un gran numero di figure, dai fornitori di piattaforme cloud a chi produce gli smartphone tramite cui eseguire operazioni di mobile banking.
La EBA ha deciso di concentrarsi su varie tecnologie ed approcci già più o meno diffusi nel mondo finanziario. I casi d'uso più interessanti riguardano gli algoritmi di machine learning, blockchain e il cloud.

Il machine learning è un campo ovviamente molto ampio. La EBA ha considerato in particolare l'utilizzo di funzioni di AI per il credit scoring, quindi per la valutazione automatica dell'affidabilità di clienti vecchi e nuovi, e per la proposta automatizzata di nuovi investimenti, di solito tramite siti informativi e con i cosiddetti roboadvisor. I rischi potenziali del machine learning qui sono soprattutto legali e reputazionali: è possibile che gli algoritmi facciano discriminazioni (impreviste e non volute) fra clienti diversi, come anche che suggeriscano investimenti inadatti ad investitori non professionali.

L'adozione delle tecnologie blockchain nel banking è ormai inarrestabile e la EBA non ne mette in dubbio la praticità e i possibili vantaggi. Sottolinea però che nel profilo d'uso oggi più diffuso dei ledger distribuiti e degli smart contract, ossia la trade finance, ci sono ancora molti rischi legali e di compliance legati alla difficoltà di definire i modelli di governance delle infrastrutture distribuite blockchain.

È ancora più complesso il caso dell'utilizzo di blockchain nei processi di Customer Due Diligence. L'uso di ledger distribuiti dovrebbe facilitare lo scambio delle informazioni sui clienti tra entità finanziarie diverse, informazioni che possono essere solo anagrafiche ma anche collegate a una valutazione di affidabilità o al profilo di rischio. Secondo la EBA questo processo presenta diversi rischi potenziali: possibilità di frodi, conflitti giurisdizionali, violazione della privacy.
Colpisce di più l'attenzione che la EBA pone al tema del cloud, dato che anche nel banking il passaggio al cloud viene visto come un elemento chiave della trasformazione digitale. La EBA sottolinea però che qualsiasi istituzione, anche quando si affida più o meno decisamente al cloud, "sarà sempre responsabile delle sue attività, indipendentemente dall'uso dell'outsourcing" e quindi "il rischio operativo potrebbe essere elevato se l'istituzione si affida solo al Cloud Service Provider per l'implementazione di tutti gli opportuni controlli di sicurezza".

Questo significa che scegliendo più o meno decisamente la strada del cloud bisogna considerare un aumento del rischio legato a vari aspetti. In particolare governance, compliance, adeguatezza delle risorse a disposizione, business continuity, information security, auditing, costi operativi, trasparenza nella catena di outsourcing.

Un punto su cui la EBA si sofferma maggiormente è il pericolo del lock-in. Quando i propri processi chiave di banking e/o pagamento sono attestati su un particolare cloud provider, passare a un altro può essere molto difficile. Può esserlo per motivi tecnologici o semplicemente di opportunità, ad esempio perché si vuole evitare che i propri servizi ai clienti si blocchino per un qualsiasi problema legato alla migrazione. La EBA per questo raccomanda di definire preventivamente "exit strategy" ben precise, come per qualsiasi forma di outsourcing.