Dati bancari e compliance: DORA, GDPR e protezione file-centric

Punti chiave

• Una violazione dei dati bancari non riguarda solo la banca: riguarda ogni cliente il cui nome, IBAN, storico delle transazioni o dossier di credito finisce in mani sbagliate.
• I dati bancari rubati non spariscono: circolano per mesi o anni nei mercati underground, spesso venduti più volte e usati per attacchi mirati molto dopo l'incidente originale.
• Dentro le banche, la quota di documenti fuori dal controllo IT è strutturalmente più alta di quanto i vertici pensino. Non è colpa dei dipendenti: è un problema di incentivi progettati male.
• DORA e GDPR convergono su un requisito che molte banche faticano ancora a soddisfare: sapere dove si trovano i propri dati, anche quelli fuori dal perimetro IT.
• La protezione file-centric incorpora la sicurezza nel documento dalla creazione, indipendentemente da dove finisce. È una risposta strutturale a un problema strutturale.

Abbiamo chiesto a Giancarlo Butti, esperto di data governance e compliance nel settore bancario, di analizzare la realtà operativa della gestione di dati e documenti nelle banche italiane. Ne è uscito un whitepaper che potete scaricare gratuitamente in fondo a questo articolo.

Prima di entrare nella prospettiva del CISO e del DPO, vale la pena guardare il problema da un altro punto di vista: quello di chi ha un conto in banca.

Se la tua banca subisce una violazione, cosa succede ai tuoi dati?

La risposta onesta è: dipende da quanti documenti erano fuori controllo, da quanto tempo, e da chi li ha presi.

I dati che una banca detiene su ogni cliente non si limitano al saldo del conto. Includono documenti di identità, codice fiscale, storico delle transazioni, buste paga, dichiarazioni dei redditi, contratti di mutuo, perizie immobiliari, polizze assicurative. Tutto ciò che serve per costruire un profilo finanziario completo di una persona.

Quando questi dati escono in una violazione, raramente vengono usati subito. Più spesso entrano in un mercato secondario e vengono venduti più volte nel corso di mesi o anni. Il furto d'identità finanziaria che arriva due anni dopo un incidente di cui non sai nulla è uno scenario documentato, non ipotetico.

Cosa fare se sospetti che i tuoi dati bancari siano stati compromessi: monitora gli estratti conto con frequenza, attiva gli alert di transazione, verifica periodicamente se la tua e-mail compare in database di breach noti (haveibeenpwned.com è un punto di partenza), e non sottovalutare richieste inusuali di conferma dati che arrivano via SMS o email anche da mittenti apparentemente legittimi. Il phishing post-breach è quasi sempre più mirato di quello generico, perché chi attacca sa già chi sei.

La protezione del consumatore inizia molto prima dell'incidente, però. Inizia da quanto bene la banca governa i documenti che lo riguardano.

Se sei responsabile di quella governance, il resto di questo articolo è per te.

Dentro la banca: il problema che il whitepaper solleva

Giancarlo Butti apre il whitepaper con una domanda mirata: perché i dipendenti bancari aggirano sistematicamente le policy di sicurezza, anche quando esistono controlli rigorosi?

La risposta che dà non è quella che ci si aspetta. Vale la pena leggerla per intero. Nel frattempo, ecco tre delle questioni che il whitepaper affronta e che i CISO e i DPO bancari trovano più sfidanti.

Quanti repository fuori dal controllo IT riuscite davvero a mappare?

L'analisi di Butti mappa qualcosa che raramente viene messo per iscritto: la distanza reale tra i dati che la banca crede di controllare e quelli che effettivamente presidia. Email, share di rete, PC personali, cloud individuali, strumenti di AI generativa usati senza policy: ogni punto è un perimetro che si è spostato senza che nessuno lo abbia deciso formalmente.

La domanda che il whitepaper lascia aperta è diretta: quanti di questi repository riuscite a mappare con certezza oggi?

Classificare un documento non basta: cosa manca nei vostri criteri di governance?

C'è una differenza tra assegnare un livello di riservatezza a un documento e garantire che quel livello sia rispettato nel tempo, su ogni dispositivo, presso ogni fornitore che lo riceve. Il whitepaper analizza perché questa differenza è molto più grande di quanto appaia, e perché eIDAS 2 e DORA stanno alzando l'asticella su entrambi i fronti.

I tempi di conservazione che avete in mente sono quelli giusti?

I tempi di conservazione dei documenti bancari possono arrivare a cinquant'anni. Il whitepaper pone una domanda che vale per ogni banca che ha digitalizzato i propri archivi: chi garantisce che quei documenti saranno ancora leggibili, integri e legalmente validi quando serviranno? Se non avete una risposta chiara, le implicazioni operative sono più immediate di quanto sembrino.

Come si inserisce la protezione file-centric

Le domande che il whitepaper solleva convergono su un punto: la protezione non può dipendere dal canale scelto dall'utente, né dalla correttezza del fornitore che riceve il documento. Come descriviamo in dettaglio nell'articolo su cos'è il DLP 2.0 e perché il DLP tradizionale non basta più, il modello file-centric incorpora la sicurezza nel documento dalla creazione: cifratura persistente, audit trail continuo, revoca post-condivisione in tempo reale.

FileGrant è la piattaforma CyberGrant per la protezione e la condivisione sicura dei documenti aziendali: cifra ogni file alla creazione, controlla chi può aprirlo, modificarlo o inoltrarlo, e mantiene questo controllo anche dopo che il documento ha lasciato la rete aziendale. Può essere adottato come piattaforma documentale autonoma o integrato nei sistemi di gestione documentale già in uso, rafforzandone la cybersecurity senza stravolgere i flussi di lavoro esistenti. In entrambi i casi soddisfa i requisiti di tracciabilità di DORA e GDPR, include protezione anti-Shadow AI, crittografia quantum-safe (FIPS 203) per i documenti a conservazione pluridecennale e supporta le normative NIS2 sulla condivisione file sicura. Deployment on-premise, gestione delle chiavi a conoscenza zero.

Il whitepaper di Giancarlo Butti entra nel dettaglio di tutti questi temi: la causa strutturale dei workaround, la mappa completa dei repository non presidiati, il framework di classificazione che va oltre la riservatezza, i tempi di conservazione come attributo dinamico, i limiti della dematerializzazione e la sovrapposizione normativa tra DORA, GDPR, eIDAS 2 e Circolare 285 di Banca d'Italia. È scritto per CISO e DPO che lavorano nello stesso istituto e parlano spesso lingue diverse.

Domande frequenti

Cosa rischia un cliente quando la sua banca subisce una violazione dei dati?

I dati bancari compromessi raramente vengono usati nell'immediato. Più spesso entrano in mercati underground e vengono rivenduti nel corso di mesi o anni, rendendo difficile collegare un attacco all'incidente originale. I rischi concreti includono furto d'identità finanziaria, phishing mirato (chi attacca conosce già i tuoi dati), apertura fraudolenta di linee di credito e accesso non autorizzato a servizi digitali. Monitorare gli estratti conto, attivare alert di transazione e verificare periodicamente l'esposizione della propria email in database di breach noti sono misure minime di autodifesa.

Perché i dipendenti bancari aggirano le policy di sicurezza documentale?

Non è un problema di formazione o negligenza. I sistemi di valutazione delle prestazioni premiano il raggiungimento degli obiettivi operativi, non il rispetto delle policy di sicurezza. Chi usa il canale più comodo risponde razionalmente agli incentivi che riceve. La risposta corretta non è rafforzare i controlli, ma progettare strumenti in cui il percorso più breve sia anche quello sicuro.

Cos'è la Shadow AI e perché riguarda la sicurezza dei dati bancari?

Con Shadow AI si indicano gli strumenti di AI generativa usati dai dipendenti fuori dalle policy aziendali approvate. Quando un dipendente carica un documento riservato su uno di questi strumenti, quel contenuto entra in sistemi di terze parti fuori dal controllo IT, con conseguenze sia sul piano della sicurezza che del GDPR. Per approfondire: Shadow AI in azienda e data exfiltration invisibile.

Quali normative regolano oggi la gestione dei documenti digitali nelle banche italiane?

DORA (Regolamento UE 2022/2554), applicabile dal 17 gennaio 2025, per resilienza operativa e supply chain ICT; Circolare 285 di Banca d'Italia per data governance e continuità operativa; GDPR (Regolamento UE 2016/679) per il trattamento dei dati personali; eIDAS 2 (Regolamento UE 1183/2024) e il Regolamento di esecuzione UE 2025/2532 per firme elettroniche e archiviazione qualificata.

Come si integra FileGrant con i sistemi documentali già in uso in banca?

FileGrant si affianca a SharePoint e ai sistemi documentali esistenti senza sostituirli. Aggiunge cifratura persistente file-centric, RBAC granulare, audit trail verificabile per DORA, protezione anti-Shadow AI, revoca post-condivisione in tempo reale e crittografia quantum-safe (FIPS 203) per i documenti con conservazione pluridecennale. Deployment on-premise, gestione delle chiavi a conoscenza zero, esperienza utente invariata.

Approfondimenti correlati

• Cos'è il DLP 2.0 e perché il DLP tradizionale non basta più
• NIS2 e condivisione file sicura: guida pratica
• Shadow AI in azienda: come fermare la data exfiltration invisibile