La crescente minaccia cibernetica trova nel settore finanziario un obiettivo privilegiato in considerazione dell'intensa digitalizzazione dei modelli di business, dei servizi forniti e delle estese e crescenti interconnessioni che lo caratterizzano. Tra gli strumenti che le Autorità e gli operatori adottano per innalzare le capacità di difesa, delle singole entità finanziarie e del sistema finanziario nel suo complesso rileva anche l'esecuzione di test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT).
La Banca d'Italia, la Consob e l'IVASS hanno promosso lo svolgimento di questi test, su base volontaria, già dal 2022 e hanno adottato congiuntamente la Guida nazionale TIBER-IT (la Guida), come contestualizzazione del framework armonizzato della BCE TIBER-EU.
Dal gennaio 2025 è applicabile il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act - DORA), che rende obbligatorio lo svolgimento su base periodica dei test TLPT per alcune entità finanziarie di maggiore rilevanza per il sistema finanziario, individuate dalle Autorità. Le previsioni di DORA in materia sono ulteriormente dettagliate nel Regolamento Delegato (UE) 2025/1190 del 13 febbraio 2025 (RTS sui TLPT); anche il framework europeo TIBER-EU è stato aggiornato nel gennaio 2025 per recepire dette novità.
In relazione a quanto sopra, la Banca d'Italia, la Consob e l'Ivass hanno disposto l'aggiornamento della Guida TIBER-IT, per allinearla alle disposizioni di DORA, agli RTS sui TLPT e alla nuova versione europea del framework TIBER-EU. La Guida rappresenta ora il quadro di riferimento e di supporto sia per i test di tipo obbligatorio ai sensi del DORA sia per i test volontari, il cui svolgimento da parte delle entità finanziarie che non sono sottoposte ai test obbligatori continua a essere possibile, ed è auspicato. Per lo svolgimento dei test si dovrà fare riferimento anche alle previsioni del DORA, all'RTS sui TLPT, al TIBER-EU e ai relativi documenti di supporto, a cui la Guida fa rimando.
La Guida è indirizzata, nel complesso, alle entità finanziarie incluse nell'ambito di applicazione di DORA, come recepito in Italia dal d.lgs 23/2025 di adeguamento della normativa nazionale a DORA, nonché ai relativi fornitori di servizi ICT (laddove inclusi nel perimetro del test), e per i profili di pertinenza ai fornitori di servizi di analisi della minaccia (threat intelligence) e di attività di red teaming.
Le altre entità finanziarie e/o altre tipologie di soggetti possono svolgere i test TLPT volontari comunicando il loro interesse al punto di contatto unico (cfr. sezione Contatti).
Contatti
Per informazioni sulla Guida nazionale TIBER-IT è possibile contattare il TIBER-IT Cyber Team (TCT-IT) all'e-mail sottoindicata. Tale indirizzo e-mail supporta anche comunicazioni sicure tramite l'utilizzo della crittografia. Il certificato contenente la chiave di cifratura pubblica della casella è disponibile nella documentazione richiamata sotto.
YouTube 
X - Banca d’Italia 
Linkedin 
RSS 
E-mail Alert 