Secondo quanto riportato da Bloomberg nella giornata di ieri, JPMorgan Chase e Bank of New York Mellon avrebbero deciso di limitare la condivisione di dati elettronici con l’Office of the Comptroller of the Currency (OCC), a seguito di una grave violazione informatica che ha colpito il sistema di posta elettronica dell’autorità di vigilanza bancaria statunitense.
La violazione, individuata solo a metà febbraio, ma che in realtà si sarebbe protratta per oltre un anno, avrebbe interessato più di cento account email dell’OCC. Fonti interne citate da Bloomberg sostengono che si tratti di un incidente classificato come “grave” sia dall’OCC che dal Dipartimento del Tesoro degli Stati Uniti, vista la natura sensibile delle informazioni potenzialmente esposte.
Le email compromesse potrebbero contenere dati riservati forniti dalle banche, inclusi dettagli critici sulla loro solidità finanziaria, valutazioni di sicurezza informatica, analisi delle vulnerabilità e perfino informazioni contenute in National Security Letters, documenti solitamente legati a indagini su temi delicati come terrorismo o spionaggio. La decisione di JPMorgan e BNY Mellon di ridurre il flusso di dati verso l’autorità regolatoria deriverebbe da preoccupazioni legate alla sicurezza informatica e al timore che le proprie infrastrutture digitali possano essere messe a rischio a causa di questa breccia. Entrambe le banche non hanno rilasciato dichiarazioni ufficiali a riguardo.
Da parte sua, l’OCC ha comunicato a Bloomberg di essere al lavoro con società di sicurezza informatica esterne per indagare sull’attacco, esaminare le proprie politiche interne e informare costantemente le istituzioni vigilate. Ha inoltre rassicurato che gli ispettori presenti fisicamente presso le banche mantengono pieno accesso alle informazioni necessarie, così come si legge su pymnts.com.
Citigroup, che è sottoposta a un regime normativo ancora più rigido da parte dell’OCC, non avrebbe adottato le stesse restrizioni nella condivisione delle informazioni. A ogni modo, non risulterebbe ancora noto se altre grandi banche statunitensi come Bank of America, Wells Fargo o Goldman Sachs abbiano deciso di seguire l’esempio di JPMorgan e BNY.
Tuttavia, alcune fonti hanno riferito che diverse banche non erano consapevoli dell’entità reale dell’attacco fino alla recente divulgazione della notizia, sollevando dubbi sull’efficacia della comunicazione iniziale dell’OCC e sulle sue capacità di reazione a livello di sicurezza. L’autorità di vigilanza è, tuttora, impegnata a valutare con precisione la quantità e la natura dei dati violati e a stabilire se sia necessario informare formalmente tutte le banche interessate.
L’episodio ha attirato l’attenzione del Congresso degli Stati Uniti, in particolare della Commissione per i Servizi Finanziari della Camera e della Commissione per le Banche e gli Affari Urbani del Senato, che hanno avviato richieste di chiarimenti formali all’OCC.
Secondo David P. Weber, ex consulente legale dell’autorità, la decisione delle banche di ridurre la cooperazione rappresenta una sfida senza precedenti all’autorità dell’OCC, e potrebbe essere letta come un segnale di perdita di fiducia nel suo ruolo di garante. Esperti del settore citati nel report avvertono che le informazioni sottratte potrebbero essere utilizzate per attacchi informatici mirati o tentativi di estorsione contro le banche colpite. L’episodio mette in evidenza la fragilità del sistema di sicurezza in ambito finanziario e ha ulteriormente incrinato il rapporto di fiducia tra le istituzioni bancarie e gli enti regolatori.
L’OCC ha condiviso con le banche alcuni dati riguardanti gli account del proprio personale compromessi, ma non ha ancora fornito dettagli precisi sulla tipologia delle informazioni trafugate, in particolare per quanto riguarda gli aspetti legati alla cybersecurity.
