La cybersicurezza del settore finanziario: ruolo delle autorità e valore della cooperazione

Paolo Angelini
Paolo Angelini
Paolo Angelini, Vice Direttore Generale della Banca d’Italia: "La cooperazione tra i vari attori coinvolti consente di promuovere la consapevolezza dei rischi connessi con le tecnologie più innovative, individuare tempestivamente le minacce e attivarele azioni di rimedio più efficaci".

La digitalizzazione dei servizi, e delle stesse relazioni sociali, è ormai un elemento strutturale del contesto in cuiviviamo. Nel campo dei servizi finanziari il fenomeno si è sviluppato in anticipo rispetto ad altri mercati. Hacomportato benefici rilevanti, ma anche nuovi rischi operativi, cresciuti rapidamente di recente. Vi hanno contribuito sia l’aumento della fruizione online di certi servizi finanziari indotto dalla pandemia sia la tendenza a usare il cyber-spazio come luogo di aggressione con finalità politiche, economiche o puramente criminali, anche per effetto del recente inasprimento delle tensioni internazionali”, spiega Paolo Angelini Vice Direttore Generale della Banca d’Italia.

Le autorità, le associazioni, gli intermediari presenti a questa giornata di studio sono tutti in prima linea, ciascuno nelproprio ambito di competenza, per definire regole, strategie e strumenti per contrastare questi rischi e contribuire a unosviluppo sicuro dell’ecosistema digitale.

Gli attacchi cyber aumentano e si diversificano le azioni di risposta

 La cybercriminalità si evolve rapidamente. Adotta tecniche e strumenti sempre più sofisticati, prende molteplici forme (dal ransomware alle frodi informatiche), aggredisce soggetti eterogenei (cittadini, imprese, organizzazioni pubbliche e private).

La diffusione del paradigma del Crime-As-a-Service consente anche a soggetti con limitate capacità tecniche, finanziarie oorganizzative di acquistare o appaltare i servizi necessari per condurre efficaci attività illegali nel cyber-spazio. I cyber criminali beneficiano essi stessi del progresso tecnologico: gli sviluppi in materia di intelligenza artificiale e, in prospettiva, di computer quantistici, sono in grado di offrire nuove opportunità di sviluppo economico e sociale, ma anche di scardinare i meccanismi di sicurezza oggi prevalenti.

Secondo un’indagine della Banca d’Italia sulle imprese industriali e dei servizi private non finanziarie con oltre 20addetti (INVIND 2023 sui dati del 2022), quasi il 90 per cento delle imprese è consapevole della possibilità di subire unattacco informatico. Le imprese che sono state vittima di un attacco percepiscono un rischio più elevato, cui si associa un maggiore investimento in prevenzione. Le imprese più piccole, con un numero di addetti compreso tra 20 e 49,risultano meno consapevoli dei rischi cibernetici: quelle che ritengono per nulla probabile che un attacco cibernetico possa interessare un’impresa con le loro stesse caratteristiche sono il 14 per cento del campione, contro il 7 per centro tra le imprese con oltre 50 addetti1. Non sorprende quindi che gli attacchi ai sistemi informatici delle imprese prendano prevalentemente di mira quelle più grandi, che hanno maggiore capacità economica, ma sfruttino anche il minor gradodi preparazione che caratterizza le imprese di dimensioni medie o piccole (PMI).

Dalla relazione annuale dell’Agenzia per la Cybersicurezza Nazionale (ACN) emerge un fortissimo aumento degli incidenti segnalati nel 2023 (303, contro 126 nel 2022), che ha interessato tutti i settori economici2. Il numero di attacchi di tipo ransomware, che costituisce il fenomeno più allarmante, è aumentato del 27 per cento, interessando siale PMI sia le grandi imprese. Per le PMI il fenomeno è verosimilmente sottostimato, tenuto conto che tali imprese sono spesso sprovviste di presidi di cybersicurezza adeguati e tendono a non segnalare gli incidenti. Tendenze analoghesono state registrate anche a livello europeo e internazionale3.

Il settore finanziario è un obiettivo privilegiato dei cybercriminali, per l’alta intensità tecnologica, la forte interdipendenzatra gli operatori della comunità finanziaria, nazionale e globale, e per il valore economico e strategico delle funzioni da esso svolte.

Le segnalazioni inviate alla Banca d’Italia dalle banche e dai prestatori di servizi di pagamento confermano la forteaccelerazione del numero di incidenti cyber l’anno scorso: 30 segnalazioni di attacchi, contro 13 nel 2022 (fig. 1.a). Le segnalazioni più frequenti hanno riguardato la disponibilità di servizi offerti alla clientela (cosiddetti attacchi Denial Of Service; fig. 1.b), talvolta attuati da soggetti che appaiono riconducibili a governi di paesi extraeuropei.

Alla crescita della criminalità cibernetica si contrappone quella dell’azione di contrasto, che tipicamente si svolge sudue piani. Da un lato, sono fondamentali le misure difensive che ciascuna delle vittime potenziali pone in essere, adeguando strategie, assetti di governo societario e investimenti in tecnologia, risorse, processi e formazione. Dall’altro, è in atto uno sforzo cooperativo che vede coinvolte Forze dell’ordine, autorità di controllo e potenziali vittime della minaccia – imprese, ma anche soggetti pubblici di vario tipo (l’incontro odierno è parte di questo sforzo). Le Autorità finanziarie cooperano anche a livello internazionale, promuovendo l’adozione di regole, politiche, strumenti di controllo e iniziative condivisi.

La Banca d’Italia è attiva in questo percorso sia per il suo ruolo istituzionale di tutela della stabilità del sistema finanziario, sia in quanto gestore di una infrastruttura critica per il Paese e per l’Eurosistema. La nostra pianificazionestrategica comprende piani d’azione che coprono entrambi i fronti.

Prepararsi alle novità regolamentari

 La principale novità in arrivo in ambito legislativo è rappresentata dal DORA (Digital operations Resilience Act), che entrerà in vigore a gennaio 2025 e disciplinerà a tutto tondo la resilienza operativa digitale nel settore finanziario.

Pur introducendo vari elementi di novità, per numerosi aspetti DORA si muove in continuità col passato. Ad esempio, alcune disposizioni previste nel regolamento erano già applicate al settore finanziario sotto forma di linee guida4. Inoltre il rischio IT è già da tempo parte integrante dello SREP (Supervisory review and evaluation process), che prevede approfondimenti e verifiche ispettive mirate e include la fissazione dei requisiti di capitale degli intermediari.

Anche le previsioni sulle cosiddette “terze parti” (soggetti che forniscono tecnologie e servizi digitali al settorefinanziario) introdotte da DORA non sono completamente nuove. Alcuni poteri delle autorità di vigilanza e disupervisione nei confronti questi soggetti erano presenti nell’ordinamento nazionale già da diversi anni5. Il Regolamento estende e rafforza tali poteri con l’introduzione di un nuovo regime di sorveglianza sui fornitori critici a livello europeo, che saranno individuati in base a criteri quali-quantitativi.

DORA introduce previsioni specifiche in materia di TLPT, i Threat Led Penetration Test, esercizi che dovranno essere condotti da tutte le principali banche, infrastrutture di mercato e assicurazioni europee, e che consentono all’intermediario di verificare il proprio grado di resistenza e resilienza a fronte di uno specifico scenario di minaccia cyber. Anche questo strumento era già noto in molte giurisdizioni, compresa l’Europa, ma il regolamento ne struttura l’utilizzo in modo più organico, prevedendo un processo articolato su cicli pluriennali, con la partecipazione delle autorità e di specialisti anche esterni.

Infine, DORA promuove la partecipazione di entità finanziarie e autorità di vigilanza a meccanismi di condivisione delleinformazioni, valorizzando la cooperazione e lo sviluppo di iniziative pubblico-private come il nostro CERT di settore, ilCERTFin.

È in fase di conclusione la stesura della regolamentazione di secondo livello collegata alla normativa primaria. LaBanca d’Italia ha partecipato con le altre Autorità competenti, italiane ed europee, alla messa a punto dei testi e si staora concentrando sugli impatti in termini di processi, metodologie e risorse necessarie per l’attuazione.

Un aspetto che stiamo presidiando è la coerenza di questo corpus normativo con le regole in tema di sicurezza delle reti e dei sistemi informativi, oggetto anch’esse di una significativa revisione con la prossima attuazione della DirettivaNIS2. Lavoriamo con le istituzioni interessate, tra cui il MEF, l’ACN e la Presidenza del Consiglio dei Ministri, per evitare incertezze applicative e duplicazioni di oneri per gli operatori.

L’importanza della cooperazione

Contromisure individuali, regolamentazione, supervisione, pur potenziate, non bastano a proteggere il settore daminacce sempre più sofisticate e insidiose. La cooperazione tra i vari attori coinvolti consente di promuovere la consapevolezza dei rischi connessi con le tecnologie più innovative, individuare tempestivamente le minacce e attivarele azioni di rimedio più efficaci.

In questo ambito la cooperazione tra gli intermediari finanziari, lungi dal rappresentare una minaccia per laconcorrenzialità del mercato, costituisce un indispensabile strumento di contenimento del rischio.

La Banca d’Italia ha da sempre promosso queste forme di cooperazione in tutti i campi in cui le decisioni dei singoli intermediari non sono in grado di conseguire risultati ottimali.

Tramite il proprio CERT Istituzionale (CERTBI), la Banca intrattiene rapporti di collaborazione con i diversi attori istituzionaliche operano nell’architettura nazionale di cybersicurezza, in primo luogo l’ACN, ma anche la Polizia di Stato, l’Arma dei Carabinieri, la Guardia di Finanza. Ugualmente attraverso il CERT del settore finanziario, il CERTFin, avviato nel 2017 insieme all’ABI, facciamo fronte comune nella prevenzione e nel contrasto dei nuovi rischi6. L’esperienza di questisette anni di funzionamento è ampiamente positiva, come testimoniato dalla crescita del numero di partecipanti (passati da circa 20 agli odierni 70), dal significativo aumento degli scambi informativi e dal potenziamento della rete di collaborazione con organismi simili a livello internazionale.

Anche la cooperazione con soggetti esterni al mondo della finanza è assai importante. Il cyber-spazio non ha confini, ele tecniche di attacco dei cybercriminali non differenziano la vittima in funzione del settore di appartenenza. Nel nostro Paese, da qualche anno, un approccio di sistema è reso possibile dall’adozione di una Strategia di cybersicurezza nazionale e dal ruolo trasversale assegnato alla ACN. Anche il legislatore europeo ha tracciato, con la direttiva NIS, un percorso di collaborazione tra le istituzioni dei settori essenziali della società e dell’economia.

A fronte di questi progressi, non vanno nascoste alcune difficoltà. La rilevanza del rischio cyber per un numero molto grande ed eterogeneo di soggetti crea difficoltà di coordinamento e ne eleva i costi. La pluralità delle iniziative che si sonovenute sviluppando in materia evidenzia un quadro di riferimento complesso e a tratti frammentato, con conseguenti accresciute esigenze di raccordo informativo e operativo tra tutte le istituzioni coinvolte.

Questo è uno dei temi che saranno oggetto del confronto di oggi, dal quale contiamo di poter trarre utili spunti di miglioramento.

A tal proposito, ho il piacere di anticipare che oggi, dopo la prima tavola rotonda, verrà sottoscritto il Protocollo di intesa per la collaborazione per la prevenzione dei crimini informatici nel settore finanziario tra il CERTFin e la Direzione centrale per la polizia scientifica e la sicurezza cibernetica del Ministero dell’Interno, a testimonianza del comune impegno per rendere più sicuro l’ecosistema dei servizi finanziari digitali per il Paese e per i cittadini.

1            Cfr. L. Bencivelli e M. Mongardini, La sicurezza cibernetica delle imprese italiane: percezione dei rischi e pratiche di mitigazione, Banca d’Italia, Questioni di economia e finanza, 852, giugno 2024.

2            Cfr. Agenzia per la cybersicurezza nazionale (ACN), “Relazione annuale al Parlamento, 2023”.

3            Cfr. Agenzia dell’Unione europea per la cybersicurezza (ENISA), “ENISA Threat Landscape 2023”; Fondo Monetario Internazionale, “Global Financial Stability Report, April 2024”.

4            Cfr. ad esempio Autorità Bancaria Europea (EBA), “Guidelines on ICT and Security Risk Management”.

5            Dal 2015 le autorità di vigilanza e supervisione hanno specifici poteri sui soggetti non vigilati ai quali le diverse tipologie di entità finanziarie hanno esternalizzato funzioni aziendali. La Banca d’Italia può richiedere informazioni (in alcuni casi sulla base di contratti stipulati tra il soggetto vigilato e il fornitore) nonché effettuare ispezioni, convocare amministratori e altro personale e infine applicare sanzioni in caso di inottemperanza alle richieste.

0 replies on “La cybersicurezza del settore finanziario: ruolo delle autorità e valore della cooperazione”