Banca d’Italia ha pubblicato l’introduzione di Chiara Scotti, Vicedirettrice Generale di Banca d’Italia, al convegno tenutosi presso il Centro Congressi Ciampi di Roma, il 27 febbraio, sulla tematica dei test di tipo TLPT nell’ambito del Regolamento DORA.
Della tematica in questione se ne discuterà ampiamente altresì nel corso del prossimo webinar DB “DORA: autovalutazione del rischio ICT -La compilazione dei modelli Banca d’Italia“
La vicedirettrice ha affermato preliminarmente che la resilienza digitale del settore finanziario è una priorità crescente, a fronte dell’aumento degli attacchi informatici, sia in numero che in gravità.
Tra il 2023 e il 2024, sono stati registrati infatti circa 11.000 incidenti cyber a livello globale, di cui oltre la metà in Europa: il settore finanziario è particolarmente esposto, con un 8% degli attacchi totali, a causa della profittabilità delle operazioni di cybercrime e della quantità di dati sensibili custoditi dagli operatori.
In risposta a questa minaccia, il Regolamento DORA ha introdotto nuovi standard di cybersicurezza per gli intermediari finanziari, imponendo test avanzati di sicurezza, tra cui i Threat-Led Penetration Testing (TLPT), i quali, basati su simulazioni di attacco guidate dall’analisi delle minacce reali, sono ora obbligatori per le istituzioni finanziarie critiche.
Un quadro di riferimento per i TLPT è il modello TIBER-EU, sviluppato dall’Eurosistema e adottato da 16 paesi europei: in Italia, Banca d’Italia ha implementato questa metodologia attraverso TIBER-IT, in collaborazione con Consob e IVASS.
Dal 2022, dodici istituzioni finanziarie italiane hanno partecipato a test volontari, rivelando vulnerabilità prevalentemente su tre livelli:
- tecnici, con criticità nella gestione degli accessi e nella difesa contro attacchi interni.
- procedurali, evidenziando la necessità di un migliore bilanciamento tra funzioni critiche e risorse allocate.
- organizzativi, con la necessità di un Control Team adeguatamente strutturato.
Un aspetto cruciale della resilienza cyber è il rischio legato alle terze parti: oltre 10.000 fornitori ICT operano nel settore finanziario europeo, spesso al di fuori del perimetro regolatorio: DORA introduce un nuovo quadro di sorveglianza per i fornitori critici di servizi ICT, con l’obiettivo di rafforzare il controllo sulle vulnerabilità di supply chain e minimizzare il rischio di attacchi tramite fornitori esterni.
La Vicedirettrice sottolinea il caso peculiare costituito dai fornitori esterni coinvolti nello svolgimento dei TLPT, per due tipologie specifiche di servizi di cybersicurezza: le c.d. threat intelligence e red teaming.
Per minimizzare i rischi insiti in attività di test sui sistemi in produzione, la Vicedirettrice ricorda che è necessario assicurare la qualità e l’affidabilità di questi fornitori; a tal proposito, la metodologia TIBER-EU e il Regolamento DORA prevedono requisiti per l’acquisizione dei servizi ICT da parte degli operatori, come:
- la valutazione delle esperienze pregresse, delle competenze tecniche, di eventuali certificazioni
- la sottoscrizione di assicurazioni professionali
- l’aderenza a codici etici.
Ai fornitori si chiede anche di adottare misure di sicurezza rigorose, perché essi stessi sono potenziali bersagli di attaccanti interessati ad accedere a informazioni sensibili.
In prospettiva, Banca d’Italia sottolinea tre priorità:
- ridurre i costi dei TLPT
- garantire una maggiore disponibilità di esperti cyber
- favorire una cooperazione transnazionale per evitare oneri eccessivi per gli operatori paneuropei.
La promozione di test volontari TIBER-IT è vista come una strategia chiave per rafforzare la resilienza del sistema finanziario italiano e garantire una risposta efficace alle minacce cyber emergenti.
