La Bank of International Settlements pensa che la Big Tech sia diventata troppo grande per fallire.

In un documento pubblicato martedì, la banca centrale del banchiere centrale sostiene che una crescente dipendenza tra le istituzioni finanziarie dal software di cloud computing fornito da una manciata di aziende potrebbe avere “implicazioni sistemiche per il sistema finanziario”.

Il mercato del software di cloud computing cammina e fa ciarlatano come un oligopolio, con Amazon Web Services, Microsoft Azure, Google Cloud e Alibaba Cloud che rappresentano circa il 70% dei ricavi globali.

Circa otto istituti finanziari su dieci in tutto il mondo ora utilizzano una qualche forma di cloud pubblico, sia per aumentare la capacità di elaborazione, rilevare meglio le frodi o aumentare la sicurezza.

I risultati sono tutt’altro che garantiti, tuttavia. Un hacker che ha ottenuto l’accesso a un database della polizia di Shanghai con dati personali su 1 miliardo di persone ha affermato, secondo il rapporto del FT di martedì, che le informazioni erano state recuperate da un servizio di cloud privato fornito da Alibaba.

Ribadendo avvisi precedenti dalla Banca d’Inghilterra e altri, BIS afferma che la crescente dipendenza della finanza dal cloud computing “sta formando singoli punti di guasto e quindi creando nuove forme di rischio di concentrazione a livello di servizi tecnologici”.

Il documento BRI attinge da un documento separato studio dell’Autorità europea degli strumenti finanziari e dei mercati pubblicato a maggio, in cui gli autori Carolina Asensio, Antoine Bouveret e Alexander Harris spiegano:

Dato il numero limitato di [cloud service providers] in grado di soddisfare gli elevati standard di requisiti di resilienza richiesti dagli istituti finanziari, è plausibile che un numero sufficientemente elevato di essi diventi dipendente da un numero ridotto di CSP. Ciò implica che gli incidenti operativi possono diventare più correlati tra quegli istituti finanziari che esternalizzano funzioni critiche o importanti a un CSP comune. Anche se il cloud computing può produrre una maggiore sicurezza dei dati e resilienza operativa a livello aziendale, potrebbe anche aumentare il rischio di incidenti simultanei tra diverse aziende e portare a potenziali esiti negativi per la stabilità finanziaria (Danielsson e Macrae, 2019; FSB, 2019). Il rischio di concentrazione in questo contesto è quindi una forma di rischio sistemico

Cosa accadrebbe, ad esempio, se un CSP di primo piano fallisse improvvisamente?

Anche gli attacchi informatici rappresentano una minaccia evidente. L’hacking SolarWinds del 2020 sul servizio cloud di Microsoft è un esempio calzante. Il semplice inserimento di “alcune righe di codice dall’aspetto benigno” nel sistema operativo di Microsoft ha consentito agli hacker di “operare senza restrizioni” su reti compromesse, ha ammesso la società al momento.

Lo ha detto la Federal Reserve Bank di New York l’anno scorso che un attacco informatico che comprometta la capacità di una banca di inviare pagamenti si diffonderebbe rapidamente attraverso il sistema più ampio (sottolineiamo il nostro):

“Se un certo numero di banche di piccole o medie dimensioni sono collegate attraverso una vulnerabilità condivisa, come un importante fornitore di servizi, ciò potrebbe comportare la trasmissione di uno shock in tutta la rete. Allo stesso modo, anche le banche con una quantità di attività relativamente piccola ma flussi di pagamento elevati possono compromettere il sistema”

Per proteggersi da tali intrusioni, l’Autorità europea degli strumenti finanziari e dei mercati raccomanda agli istituti finanziari di utilizzare più CSP per ogni servizio che forniscono. Le soluzioni multi-cloud “possono ridurre significativamente il rischio sistemico”, afferma. Ma . . .

. . . . ciò accadrà, tuttavia, solo se i diversi CSP o gruppi di risorse hanno basse vulnerabilità comuni (cioè possono essere ragionevolmente trattati come indipendenti) e se i servizi in questione sono rapidamente portabili tra di loro. In realtà, il primo di questi presupposti (indipendenza dalle interruzioni del CSP) potrebbe non essere valido in determinate circostanze, soprattutto all’interno di un singolo provider cloud, mentre il secondo presupposto (portabilità del backup) potrebbe non essere valido soprattutto per strategie di backup che utilizzano differenti fornitori.

I decisori politici intenti a esternalizzare dati altamente sensibili a qualsiasi CSP offre la maggior parte dovrebbe prendere nota.