Nel mondo iperconnesso della finanza digitale, la sicurezza informatica non riguarda solo server blindati e protocolli di difesa evoluti. Sempre più spesso, le vulnerabilità arrivano da terze parti: società esterne, partner tecnologici e fornitori di servizi che, se non adeguatamente protetti, diventano porte d’ingresso per attacchi sofisticati.
Esiste pertanto un legame tra supply chain e sicurezza assai profondo, ma tuttora sottovalutato.
Terze parti: l’anello debole della sicurezza finanziaria
Il report pubblicato da Black Kite nel 2025 getta luce su questa zona d’ombra: lo studio analizza le minacce informatiche nel settore finanziario con un focus specifico sul rischio legato ai fornitori.
Su un campione di 140 vendor terzi, i ricercatori hanno valutato la presenza di vulnerabilità critiche utilizzando il CVSS (Common Vulnerability Scoring System), un indice di severità che misura da 0 a 10 il livello di rischio.
I risultati sono allarmanti: 31 fornitori presentano vulnerabilità con punteggio pari o superiore a 8, e 15 raggiungono livelli estremi, sopra 9. In aggiunta, 90 fornitori sono stati segnalati con categorie di minaccia ad alto rischio, e 35 sono marcati con tag KEV (Known Exploited Vulnerabilities).
La falsa sensazione di sicurezza
Nel biennio 2023-2025, il numero di attacchi ransomware diretti a banche e istituti finanziari è sceso da 191 a 55. Un trend apparentemente rassicurante, dovuto all’efficacia delle contromisure interne e al contrasto nei confronti di gruppi criminali. Tuttavia, la diminuzione degli attacchi diretti ha spostato l’attenzione (e le tattiche degli aggressori) verso gli attori più vulnerabili: i fornitori.
Black Kite rivela che il 65% delle aziende esterne non ha livelli di patch aggiornati, esponendo i propri clienti finanziari a rischi “ereditati” e vulnerabilità zero-day non corrette. Sistemi obsoleti, gestione lacunosa degli aggiornamenti e fughe di credenziali sono solo alcuni degli scenari riscontrati.
Una minaccia invisibile ma sistemica
Queste debolezze non riguardano solo singole violazioni, ma possono generare effetti a cascata.
Banche ed enti regolatori investono milioni in compliance e protezione, ma spesso i fornitori non sono soggetti alle stesse pressioni normative.
Un breach in un vendor può compromettere dati, operatività e reputazione di intere reti finanziarie.
Il report di Black Kite da voce ad un campanello d’allarme che suona nella testa dei security manager già da tempo. Serve una cultura della sicurezza che vada oltre i confini organizzativi, coinvolgendo tutta la filiera e le istituzioni devono valutare e monitorare in modo continuo i rischi esterni, imponendo standard minimi anche ai fornitori.
Un esempio pratico di come questo riguardi la Logistica e la Supply Chain è dato dalla lunghissima catena di subappalti che costituiscono la colonna vertebrale di trasporti e spedizioni: il grosso delle truffe non avviene attaccando i sistemi delle grandi aziende, bensì quelli – dalle transazioni digitali ai dati di consegna – gestiti dalle piccole società, come quelle che, ad esempio, si occupano dell’ultimo miglio o della gestione delle interfacce web dei marketplace per conto terzi.
