La Banca centrale europea (BCE) ha concluso oggi la prova di stress sulla resilienza cibernetica, volta a valutare la capacità di risposta e ripristino da parte delle banche in caso di incidenti informatici gravi ma plausibili.
La BCE ha messo alla prova 109 banche, 28 delle quali in modo più approfondito.
L’esercizio, avviato nel gennaio 2024, prevedeva in particolare uno scenario di prova fittizio, ove tutte le misure preventive fallivano e un attacco cibernetico si ripercuoteva gravemente sulle basi di dati dei sistemi fondamentali di ciascuna banca.
La prova di stress si è quindi concentrata sulla risposta e sul ripristino da parte delle banche in caso di attacco cibernetico.
Più nel dettaglio, per mettere alla prova la loro risposta allo scenario, le banche hanno dovuto dimostrare la capacità di:
- attivare i propri piani di risposta alle crisi, incluse le procedure interne di gestione delle crisi e i piani di continuità operativa
- comunicare con tutte le parti interessate esterne (clienti, prestatori di servizi e forze dell’ordine)
- effettuare un’analisi allo scopo di individuare quali sarebbero i servizi interessati e come
- attuare misure di mitigazione, incluse soluzioni che aiuterebbero la banca a operare durante il periodo necessario per il pieno ripristino dei sistemi informatici.
Per mettere alla prova la capacità di ripristino in seguito agli incidenti informatici testati, le banche hanno invece dovuto dimostrare di poter:
- attivare i propri piani di ripristino, recuperando i dati dai back-up e allineandosi con i fornitori terzi di servizi essenziali, nelle modalità di risposta all’incidente
- dimostrare di avere provveduto al ripristino e al buon funzionamento delle aree colpite
- riesaminare i piani di risposta e ripristino alla luce dello stress test svolto.
Dall’analisi della BCE è emerso sostanzialmente che le banche dispongono di sistemi di risposta e ripristino, ma restano aree di miglioramento: i risultati confluiranno nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP) del 2024, contribuendo a sensibilizzare le banche riguardo ai punti di forza e debolezza dei rispettivi sistemi di resilienza cibernetica.
