L’Organizzazione Internazionale delle Autorità di Vigilanza sui Mercati (IOSCO) e il Comitato sui Pagamenti e Infrastrutture di Mercato (CPMI) hanno pubblicato un documento consultivo dal titolo “Guidance on Cyber Resilience for financial market infrastructures”. Le due istituzioni sono concordi nel ritenere che i rischi informatici a cui le infrastrutture del mercato finanziario sono soggette, nonché la capacità di affrontare in maniera efficace gli scenari peggiori a seguito di attacchi informatici, siano oggi materie prioritarie per i partecipanti al mercato e per le autorità di vigilanza.
In ragione di ciò, il documento appena pubblicato ha lo scopo di incentivare le infrastrutture del mercato finanziario a promuovere maggiore resilienza informatica. In particolare la guida si pone l’obbiettivo di aumentare la coerenza internazionale in tale ambito, dando al contempo un forte impulso a prevenire gli attacchi, rispondere efficacemente nel caso questi abbiano avuto successo, e permettere un tempestivo risanamento delle infrastrutture qualora queste siano state colpite.
Il documento delinea le misure e i presidi che le infrastrutture di mercato devono adottare per aumentare la propria capacità di resilienza agli attacchi informatici, allo scopo di arginare i rischi che tali minacce possono provocare sia alle singole infrastrutture, sia alla stabilità del sistema finanziario. In aggiunta vengono indicati alcuni orientamenti, concordati a livello internazionale, riguardanti la supervisione delle infrastrutture di mercato in materia di rischio informatico.
I punti chiave della guida, in sintesi, sono i seguenti:
– la particolare attenzione del consiglio di amministrazione e degli alti dirigenti è cruciale per la formulazione di una strategia efficace di resilienza agli attacchi informatici;
– la capacità di ristabilire le operazioni finanziarie in maniera veloce e sicura, a seguito di un attacco informatico, è di primaria importanza;
– le infrastrutture di mercato devono avere la capacità di raccogliere informazioni di buona qualità riguardanti le minacce informatiche, nonché effettuare analisi rigorose;
– la capacità di resilienza informatica richiede la predisposizione di processi che permettano continui miglioramenti;
– una infrastruttura del mercato finanziario non è in grado, da sola, di conseguire sufficiente resilienza informatica; si tratta invece di uno sforzo collettivo che deve riguardare tutto l’ecosistema finanziario.
