L’European Banking Authority EBA (Autorità Bancaria Europea ABE) ha pubblicato sul finire del 2019 il consueto Rapporto annuale sulla valutazione del rischio del sistema bancario europeo.
In particolare, il documento ha segnalato che – a giudizio dell’Autorità – gli attacchi informatici e le violazioni dei dati costituiranno nel prossimo futuro le principali preoccupazioni per le gli istituti di credito (previsione alla quale possiamo aggiungere i medesimi timori anche per organizzazioni finanziarie e compagnie di assicurazione).
Come riportato nell’indagine “Financial Institutions Security Risks”, condotta da Kaspersky Lab e dallo specialista di marketing B2B International, le banche di tutto il mondo aumenteranno ancora gli investimenti in soluzioni di cybersecurity, indotte a tale comportamento anche a causa dell’aumento del rischio di attacchi alle loro infrastrutture IT interne e alle problematiche dovute ad alcuni degli scenari operativi che stanno continuando ad espandersi, come il maggior uso dell’home banking e del mobile banking.
Nello studio si stima che le banche saranno costrette a spendere il triplo in sicurezza informatica rispetto ad altre istituzioni non finanziarie di uguali dimensioni, a causa dell’ampiezza del perimetro che deve essere difeso: oltre alle ricordate strutture interne, infatti, vanno salvaguardati non solo portali web e app rivolte ai clienti, ma anche bancomat e POS.
A ciò si aggiunga un panorama di possibili vulnerabilità in continua evoluzione, che fornisce agli hacker strumenti sempre diversi per tentare di infrangere le misure di sicurezza adottate.
Proprio in merito alla sicurezza informatica, Consob e Banca d’Italia hanno concordato una strategia comune con misure specifiche per il settore finanziario italiano, con particolare riferimento ai sistemi di pagamento, alle controparti centrali, ai depositari centrali e alle sedi di negoziazione dei titoli.
Lo scorso 16 gennaio è stato rilasciato dalle Authority un comunicato dal titolo “Cyber Security: strategia congiunta Consob e Banca d’Italia per la sicurezza cibernetica del settore finanziario”.
Vi si prospettano le potenziali ricadute positive che nella materia si verificheranno grazie al lavoro congiunto dei due organismi, che agiranno con l’obiettivo di contrastare efficacemente le minacce connesse allo sviluppo dei sistemi informatici nel loro complesso, con attenzione alle nuove tecnologie, all’economia digitale, all’innalzamento della sicurezza degli operatori finanziari e dei servizi digitali rivolti a cittadini, imprese e Pubblica Amministrazione.
Le Authority si impegnano a sviluppare sinergie operative, in particolare nelle seguenti aree:
- della regolamentazione e supervisione
- della cooperazione pubblico-privato
- della formazione e sviluppo di consapevolezza sui rischi cibernetici.
Ci si propone di avvalersi dello strumento di valutazione del rischio cyber denominato Cyber Resilience Oversight Expectations for Financial Market Infrastructures CROE (Supervisione e aspettative della resilienza informatica per le strutture del mercato finanziario), già utilizzato nell’ambito dell’Eurosistema (è il sistema di banche centrali dell’area dell’euro responsabile dell’attuazione della politica monetaria unica e comprende la Banca centrale europea e le banche centrali nazionali dei Paesi dell’Unione europea che hanno adottato l’euro).
Scarica qui il documento “Cyber resilience oversight expectations for financial market infrastructures“
Infine, la Banca d’Italia e la Consob svilupperanno anche il nostro TIBER-IT, modello per lo svolgimento di test derivato dal framework europeo di Threat Intelligence-Based Ethical Red Teaming TIBER-EU, Framework comune trasnazionale per l’esecuzione di test che prevede l’uso di una varietà di tecniche per simulare un attacco alle funzioni critiche di un’entità e ai sistemi sottostanti – persone, processi e tecnologie – al fine di valutarne la resilienza, valutandone l’ambito, le modalità e la tempistica di applicazione alle diverse entità finanziarie, secondo un principio di gradualità che tenga conto del livello di preparazione degli operatori.
Scarica qui il documento TIBER-EU FRAMEWORK