La Guida, si legge in una nota emessa da Consob, costituisce il recepimento nel nostro Paese del Threat Intelligence‑Based Ethical Red teaming framework (cd. TIBER-EU), emanato dalla BCE, modello di riferimento per la conduzione di test avanzati di cybersicurezza armonizzati a livello europeo.
La Banca d’Italia, la Commissione Nazionale per le società e la Borsa (Consob) e l’Istituto per la Vigilanza sulle Assicurazioni (IVASS) hanno adottato congiuntamente la Guida Nazionale TIBER-IT, come metodologia di riferimento per la conduzione, su base volontaria, da parte delle singole entità finanziarie di test avanzati di cybersicurezza.
La Guida, si legge in un comunicato stampa congiunto, costituisce il recepimento nel nostro Paese del Threat Intelligence‑Based Ethical Red teaming framework (cd. TIBER-EU), emanato dalla BCE, modello di riferimento per la conduzione di test avanzati di cybersicurezza armonizzati a livello europeo.
Le entità finanziarie eseguono tali test, guidati dall’analisi delle minacce cyber, in modo commisurato rispetto ai propri modelli di business e operativi e dei relativi scenari di rischio. Lo scopo è quello di rafforzare la capacità di difesa proattiva delle singole entità finanziarie, consentendo di migliorare la resilienza cibernetica del sistema finanziario nel suo complesso e, per tale via, la sua stabilità complessiva.
La Guida è rivolta prioritariamente ai maggiori operatori e alle infrastrutture vitali del sistema finanziario, per assicurare la continuità delle attività economiche e dei servizi alla collettività e la loro sicurezza e affidabilità, di pari passo con lo sviluppo digitale dell’economia e della società.
Adozione della Guida nazionale del TIBER-IT
La minaccia cyber è particolarmente accentuata per il settore finanziario, in ragione delle motivazioni economiche degli attaccanti, della numerosità e diversificazione dei soggetti che vi operano, della stretta interconnessione tra i diversi nodi del sistema: è molto elevata la possibilità che un malfunzionamento o un grave attacco a un singolo operatore possa trasmettersi ad altri e che, per tale via, possa essere compromessa la stabilità e l’efficienza del sistema finanziario, la continuità dei servizi finanziari, bancari e assicurativi, la sicurezza del sistema dei pagamenti e la fiducia di cittadini e imprese.
Gli organismi di regolamentazione e standardizzazione a livello internazionale ed europeo e le autorità del sistema finanziario hanno adottato e stanno perfezionando numerose misure per rafforzare la capacità di prevenzione, difesa e reazione dei singoli operatori e del sistema finanziario nel suo complesso alla minaccia cibernetica.
Il TIBER-IT si rivolge a più tipologie di entità finanziarie italiane: le infrastrutture di mercato, i gestori di sistemi di pagamento e di infrastrutture strumentali tecnologiche o di rete, le sedi di negoziazione, le banche, gli istituti di pagamento e gli istituti di moneta elettronica, gli intermediari finanziari ex art. 106 TUB, le imprese di assicurazione e gli intermediari assicurativi. I test potranno essere condotti dalle entità finanziarie su base volontaria, tenuto conto del livello di maturità cibernetica raggiunto da ciascuna; l’entità finanziaria mantiene la decisione finale di sottoporsi al test ed è responsabile della gestione di tutti i rischi correlati alla sua esecuzione, che avviene a cura di società scelte dall’entità che si sottopone al test. Le tre Autorità indirizzano la programmazione dei test in linea con l’evoluzione degli scenari di rischio e la rilevanza delle entità finanziarie per la continuità di servizio del settore.
In particolare, la Guida nazionale TIBER-IT: a) definisce la metodologia e il modello operativo per la conduzione di test di tipo TLPT da parte delle entità finanziarie italiane; b) individua le fasi in cui si articola il processo di test; c) definisce i ruoli e le attività dei diversi attori coinvolti (Autorità, soggetto che effettua il test e fornitori esterni). Per supportare le entità finanziarie nell’utilizzo della nuova metodologia e nelle attività di test, le tre Autorità mettono a disposizione un centro di competenza dedicato: il TIBER Cyber Team Italia (TCT), il cui funzionamento è assicurato da esperti della Banca d’Italia, in collaborazione con quelli della Consob e dell’IVASS.