La crescente minaccia cibernetica trova nel settore finanziario un obiettivo privilegiato in considerazione dell'intensa digitalizzazione dei modelli di business, dei servizi forniti e delle estese e crescenti interconnessioni che lo caratterizzano. Tra gli strumenti che gli operatori possono adottare per innalzare le proprie capacità di difesa rileva anche l'esecuzione di test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT). La realizzazione di questa tipologia di test consente infatti di rafforzare la resilienza cibernetica delle singole entità finanziarie e, per tale via, del sistema finanziario nel suo complesso.
La Banca d'Italia, la Consob e l'IVASS hanno adottato la Guida nazionale TIBER‑IT in modo congiunto. La Guida costituisce il recepimento in ambito nazionale del framework TIBER-EU, modello di riferimento per la conduzione di test avanzati di cybersicurezza armonizzati a livello europeo.
Il TIBER-IT è stato adottato in una prospettiva di stabilità finanziaria, nell'ambito delle competenze affidate alle tre Autorità dall'ordinamento in materia di stabilità, efficienza e competitività del sistema finanziario, nonché di quelle concernenti la sorveglianza sul regolare funzionamento, affidabilità ed efficienza del sistema dei pagamenti.
Le entità finanziarie decidono di sottoporsi ad un test TIBER-IT su base volontaria. Le Autorità assicurano il loro supporto alle entità che si sottopongono al test, comunicano la conformità ai requisiti della Guida nazionale TIBER-IT e delle altre previsioni rilevanti e curano, quando necessario, le attività per il mutuo riconoscimento a livello transfrontaliero del test.
In particolare, la Guida nazionale TIBER-IT:
- a) definisce la metodologia e il modello operativo per la conduzione di test di tipo TLPT da parte delle entità finanziarie italiane, in accordo con il framework TIBER-EU;
- b) individua le fasi in cui si articola il processo di test;
- c) definisce i ruoli, le responsabilità e le attività dei diversi attori coinvolti presso il soggetto che effettua il test, i fornitori esterni e le Autorità.
Per supportare le entità finanziarie nell'utilizzo della nuova metodologia e nelle attività di test, le tre Autorità mettono a disposizione un centro di competenza dedicato: il TIBER Cyber Team Italia (TCT), il cui funzionamento è assicurato da esperti della Banca d'Italia, in collaborazione con quelli della Consob e dell'IVASS.
Contatti
Per informazioni sui test TIBER-IT è possibile contattare il TCT tramite l'e-mail sopra indicata. Tale indirizzo e‑mail supporta anche comunicazioni sicure tramite l'utilizzo della crittografia. Il certificato contenente la chiave di cifratura pubblica della casella è disponibile nella documentazione richiamata sotto.
