Banca d’Italia ha pubblicato il 22 ottobre 2024 un documento di analisi sulla resilienza digitale nel settore finanziario italiano, basato sulle segnalazioni dei gravi incidenti operativi o di sicurezza che banche, istituti di pagamento e istituti di moneta elettronica, hanno trasmesso all’Autorità, tra il 2020 ed il 2023.
Il documento presenta statistiche ed evidenze derivate dal quadro di riferimento italiano per la segnalazione di incidenti operativi o di sicurezza istituito dalla Banca d’Italia per le banche e le altre istituzioni finanziarie, a partire dal 2015.
Il numero di incidenti operativi o di sicurezza gravi segnalati è in aumento nel corso degli anni nel mercato finanziario italiano, in conseguenza sia della crescente digitalizzazione dei servizi finanziari, sia della riduzione del fenomeno della sotto-segnalazione, che rappresenta ancora un ostacolo importante per efficaci valutazioni microprudenziali e macroprudenziali.
Lo studio evidenzia un generale incremento delle segnalazioni durante il periodo interessato, che riguardano soprattutto gli incidenti operativi e che molto spesso coinvolgono terze parti fornitori di servizi.
Significativa nel 2023 è stata anche la crescita degli incidenti cyber.
Banca d’Italia sottolinea l’importanza di una corretta applicazione da parte degli intermediari dello schema di segnalazione degli incidenti, al fine di limitare il più possibile rischi di under reporting, e della nuova regolamentazione in materia di resilienza operativa nel settore finanziario.
Si ricorda che Banca d’Italia gestisce un sistema di segnalazione degli incidenti che richiede alle banche, agli istituti di pagamento e agli istituti di moneta elettronica di segnalare i principali incidenti operativi o di sicurezza.
Un incidente operativo o di sicurezza si definisce come un evento singolo o una serie di eventi collegati, non pianificati dal soggetto finanziario, che hanno o probabilmente avranno un impatto negativo sull’integrità, la disponibilità, la riservatezza e/o l’autenticità dei servizi.
Quando si verifica un evento, le entità finanziarie italiane classificano gli incidenti operativi e di sicurezza come “gravi” se soddisfano i criteri e le soglie definiti da Banca d’Italia e li segnalano tempestivamente a Banca d’Italia.
Il perimetro di segnalazione italiano include gli incidenti legati sia ad attività dolose (di seguito denominati incidenti informatici), sia a eventi operativi (ad esempio, malfunzionamenti), integrandosi con i due framework EBA e BCE/SSM definiti a livello europeo.
In particolare, il quadro EBA, istituito a seguito dell’entrata in vigore della PSD2, si applica a tutte le entità finanziarie, ma è limitato agli incidenti (dolosi e non) che hanno un impatto sui servizi di pagamento; il quadro della BCE/SSM, istituito nel 2017, si applica solo alle istituzioni significative e si riferisce solo agli incidenti informatici.
L’obiettivo di questo rapporto è quindi quello di fornire una panoramica del rischio informatico dal punto di vista della vigilanza:
- il capitolo 2 presenta i dati statistici e le principali tendenze degli incidenti segnalati.
- il capitolo 3 descrive le principali cause degli incidenti osservati nel settore bancario italiano e i loro impatti sono illustrati nel capitolo 4.
- il capitolo 5 discute le evidenze presentate e fornisce alcune osservazioni conclusive.