Per Luigi Cannari, capo del Dipartimento Mercati e sistemi di pagamento della Banca d’Italia, il TIBER-EU e di conseguenza il TIBER-IT sono strumenti ideati per il settore finanziario, ma per definizione sono agnostici e pertanto, con i necessari aggiustamenti, la loro adozione può essere estesa ad altri settori critici, come ad esempio l’energia, le telecomunicazioni e la sanità.
“Gli intermediari finanziari devono presidiare e rafforzare le proprie capacità di difesa e il livello di resilienza operativa digitale, e devono farlo nel continuo” e questo “vale in modo particolare per gli operatori a rilevanza sistemica, cioè i maggiori istituti di credito e imprese assicurative, le infrastrutture di mercato e tutti gli operatori che offrono servizi vitali per il settore”.
Sono queste le parole di Luigi Cannari, capo del Dipartimento Mercati e sistemi di pagamento della Banca d’Italia, in un intervento, nella sede milanese dell’istituto, sul tema della sicurezza informatica e dei test Tiber-It.
“E’ dunque importante verificare l’efficacia delle capacità di difesa attraverso strumenti evoluti che consentano di simulare realisticamente i comportamenti e le tecniche messe in campo da chi mira a colpire il settore finanziario”, ha aggiunto.
“La digitalizzazione, l’interconnessione sociale ed economica – ha ricordato Cannari – sono ormai diventati un dato strutturale della nostra società, e in particolare del sistema finanziario. Ciò presenta vantaggi e opportunità innegabili, ma genera anche nuove insidie. Negli ultimi anni i governi, le autorità di supervisione, gli organismi internazionali hanno posto una crescente attenzione ai rischi di attacchi cyber; questa attenzione è stata accentuata dai rapidi cambiamenti delle abitudini in tempi di pandemia e, da ultimo, dal peggioramento del contesto geopolitico. Oggi i potenziali attori della minaccia sono molteplici: entità para-statuali, organizzazioni criminali, gruppi antagonisti o semplici attivisti, ognuno con proprie peculiarità nella motivazione, nel modus operandi, nelle risorse a disposizione”, ha spiegato ancora.
Settore finanziario italiano, al via l’adozione della Guida Nazionale TIBER-IT sulla cybersicurezza
La minaccia cyber è particolarmente accentuata per il settore finanziario, in ragione delle motivazioni economiche degli attaccanti, della numerosità e diversificazione dei soggetti che vi operano, della stretta interconnessione tra i diversi nodi del sistema: è molto elevata la possibilità che un malfunzionamento o un grave attacco a un singolo operatore possa trasmettersi ad altri e che, per tale via, possa essere compromessa la stabilità e l’efficienza del sistema finanziario, la continuità dei servizi finanziari, bancari e assicurativi, la sicurezza del sistema dei pagamenti e la fiducia di cittadini e imprese.
Gli organismi di regolamentazione e standardizzazione a livello internazionale ed europeo e le autorità del sistema finanziario hanno adottato e stanno perfezionando numerose misure per rafforzare la capacità di prevenzione, difesa e reazione dei singoli operatori e del sistema finanziario nel suo complesso alla minaccia cibernetica.
Il TIBER-IT si rivolge a più tipologie di entità finanziarie italiane: le infrastrutture di mercato, i gestori di sistemi di pagamento e di infrastrutture strumentali tecnologiche o di rete, le sedi di negoziazione, le banche, gli istituti di pagamento e gli istituti di moneta elettronica, gli intermediari finanziari ex art. 106 TUB, le imprese di assicurazione e gli intermediari assicurativi. I test potranno essere condotti dalle entità finanziarie su base volontaria, tenuto conto del livello di maturità cibernetica raggiunto da ciascuna; l’entità finanziaria mantiene la decisione finale di sottoporsi al test ed è responsabile della gestione di tutti i rischi correlati alla sua esecuzione, che avviene a cura di società scelte dall’entità che si sottopone al test. Le tre Autorità indirizzano la programmazione dei test in linea con l’evoluzione degli scenari di rischio e la rilevanza delle entità finanziarie per la continuità di servizio del settore.
“L’adozione di una metodologia avanzata per i test di cybersicurezza è un esempio di come le strategie di intervento delle autorità finanziarie si stiano adeguando ad un contesto in rapida evoluzione: esse devono esser capaci di comprendere più rapidamente le minacce emergenti e promuovere lo sviluppo di buone prassi e di nuove forme di cooperazione e di scambio informativo, idonee a creare una cultura della sicurezza diffusa e condivisa”, ha continuato nel suo discorso il capo del Dipartimento Mercati e sistemi di pagamento della Banca d’Italia.
“L’adozione del TIBER-IT – che come vedremo meglio oggi si ispira a logiche distanti dai tradizionali metodi regolamentari e di supervisione – non è l’unico esempio di questa evoluzione. In Italia da diversi anni abbiamo avviato positive iniziative di cooperazione nel campo della cybersicurezza, come il CERTFin, l’organismo cooperativo tra autorità e operatori finanziari in tema di cyber resilience, attraverso il quale la Banca, insieme ad ABI e in collaborazione con le altre autorità e associazioni del settore finanziario e assicurativo, promuove la condivisione delle informazioni e di buone prassi tra gli aderenti. Tra le varie iniziative, anche il CERTFin si è occupato di metodologie per lo svolgimento di test, per l’analisi delle minacce e la prevenzione dei rischi informatici, stimolando competenze ed esperienze tra gli aderenti che potranno essere ben valorizzate con l’avvio del TIBER-IT”, ha concluso Cannari.
In particolare, la Guida nazionale TIBER-IT:
a) definisce la metodologia e il modello operativo per la conduzione di test di tipo TLPT da parte delle entità finanziarie italiane;
b) individua le fasi in cui si articola il processo di test;
c) definisce i ruoli e le attività dei diversi attori coinvolti (Autorità, soggetto che effettua il test e fornitori esterni).
Per supportare le entità finanziarie nell’utilizzo della nuova metodologia e nelle attività di test, le tre Autorità mettono a disposizione un centro di competenza dedicato: il TIBER Cyber Team Italia (TCT), il cui funzionamento è assicurato da esperti della Banca d’Italia, in collaborazione con quelli della Consob e dell’IVASS.