
Per fronteggiare efficacemente i rischi cibernetici nel settore finanziario la Banca d'Italia coopera con le altre autorità e istituzioni nei principali consessi nazionali, europei e internazionali e dialoga con il mercato. In questa pagina sono descritti:
- gli obiettivi;
- la cooperazione in Italia;
- la cooperazione in Europa;
- la cooperazione internazionale;
- il dialogo con il mercato.
Gli obiettivi
Per potenziare la resilienza cibernetica dei singoli operatori e del sistema finanziario nel suo complesso la cooperazione tra governi, autorità e operatori di mercato riveste un ruolo fondamentale. Essa consente di sviluppare un approccio sistemico finalizzato a: i) promuovere la convergenza di policy, regole e standard per la gestione del rischio cyber; ii) favorire l'adozione di buone pratiche nella prevenzione e gestione del rischio, facilitare lo scambio di informazioni, dare impulso allo svolgimento di esercitazioni mirate e rafforzare la comprensione dei fenomeni e le competenze ai vari livelli; iii) coordinare le risposte in caso di crisi su larga scala.
La cooperazione in Italia
L'Italia si è dotata di una architettura istituzionale dedicata e di una Strategia Nazionale di Cybersicurezza che ha come vertice l'Agenzia per la cybersicurezza nazionale (ACN) e si basa sulla stretta collaborazione tra le istituzioni nazionali, i settori economici e il mondo accademico e della ricerca per sviluppare un approccio nazionale coordinato alle sfide della cybersicurezza e dello sviluppo digitale.
In tale ambito, la Banca d'Italia coopera con l'ACN per più finalità: i) cooperazione informativa in caso di crisi cyber su larga scala nel sistema finanziario europeo e svolgimento di esercitazioni nazionali e internazionali; ii) rafforzamento della cooperazione nel settore finanziario (anche attraverso il CERTFin, Computer Emergency Response Team per il settore finanziario italiano); iii) scambio informativo e cooperazione per la protezione dalle minacce cyber, in base a un apposito accordo concluso per il tramite del proprio CERT (vedi pag. La resilienza cibernetica della Banca d'Italia).
La Banca d'Italia collabora inoltre con le altre autorità finanziarie per definire la regolamentazione nazionale (vedi pag. Normativa e linee guida), favorire lo scambio informativo sullo stato della minaccia cibernetica e coordinarsi in caso di incidente o crisi.
In particolare, sono state adottate: con la Consob, una strategia per rafforzare la resilienza cibernetica del settore finanziario attraverso misure e strumenti specifici; con la Consob e l'Ivass, la guida nazionale TIBER-IT, un modello comune per condurre test avanzati di cybersicurezza basati sulla minaccia per il sistema finanziario italiano.
Considerando la natura del rischio cibernetico e la complessità della catena dei servizi finanziari digitali, la Banca d'Italia collabora con le autorità di altri settori e con le forze di polizia per la prevenzione e il contrasto dei reati informatici e della criminalità cibernetica, anche con finalità di contrasto al riciclaggio.
Per approfondire:
-
Strategia Nazionale di Cybersicurezza (link esterno)
-
Accordo Banca d'Italia - Agenzia per la cybersicurezza nazionale
-
Relazione al Parlamento del Comitato di sicurezza finanziaria - MEF (link esterno)
La cooperazione in Europa
La Banca d'Italia partecipa:
- nell'ambito dell'Eurosistema e Banca Centrale Europea: al Comitato della BCE per le infrastrutture di mercato e i pagamenti (Market Infrastructure and Payments Committee - MIPC). In questo ambito è stata definita la strategia dell'Eurosistema per la resilienza cibernetica delle infrastrutture finanziarie, allo scopo di accrescere la preparazione dei soggetti e del sistema finanziario complessivo (vedi pag. Normativa e linee guida).
L'Eurosistema ospita inoltre l'Euro Cyber Resilience Board for pan-European financial infrastructures (ECRB), un forum per il dialogo strategico tra autorità e industria sulla resilienza cibernetica, presieduto dalla BCE, a cui partecipano rappresentanti di infrastrutture finanziarie paneuropee, schemi di carte, fornitori di servizi critici, banche centrali e altre autorità e agenzie europee, tra cui l'European Union Agency for Cybersecurity (ENISA) e l'EUROPOL. Presso lo ECRB è stata costituita la Cyber Intelligence and Information Sharing Initiative - CIISI-EU, per lo scambio informativo preventivo, il rilevamento tempestivo e la risposta agli attacchi informatici. La Banca d'Italia partecipa al CIISI-EU in qualità di gestore di sistemi di pagamento a livello nazionale (vedi BI-Comp) e per l'Eurosistema (vedi Servizi TARGET).
- nell'ambito del Comitato europeo per il rischio sistemico (European Systemic Risk Board - ESRB): alle attività di prevenzione e mitigazione del rischio sistemico, incluso quello connesso con il rischio cyber.
Per approfondire:
-
BCE - Euro Cyber Resilience Board for pan-European Financial Infrastructures (link esterno; testo in inglese)
La cooperazione internazionale
La Banca d'Italia partecipa, nell'ambito del:
- G7: alle attività del Cyber Expert Group (CEG), in cui rappresentanti delle autorità finanziarie dei Paesi G7 e dell'Unione Europea collaborano per lo scambio di esperienze, analisi e approfondimenti sul rischio cibernetico. Il CEG definisce principi di alto livello per le autorità e gli operatori finanziari in tema di cyber resilience, attraverso l'emanazione dei G7 Fundamental Elements (vedi pag. Normativa e linee guida). Periodicamente vengono condotti test e simulazioni con scenari cyber, coinvolgendo istituzioni e operatori per verificare e rafforzare la risposta a incidenti cyber con impatti su larga scala. La Banca d'Italia partecipa a queste attività anche attraverso il Codise, la struttura per il coordinamento della gestione delle crisi della piazza finanziaria italiana.
- G20 e FSB (Financial Stability Board): ai lavori dei gruppi del Supervisory Regulatory Committee (SRC), volti a favorire la convergenza di policy, linee guida e standard e rafforzare la cybersicurezza e la resilienza operativa digitale del sistema finanziario a livello internazionale.
- CPMI-IOSCO (Committee on Payments and Market Infrastructures e International Organization of Securities Commissions): ai gruppi che lavorano alla definizione di linee guida per la resilienza cibernetica dirette alle infrastrutture di mercato e ai sistemi di pagamento.
- BCBS (Basel Committee on Banking Supervision presso la BRI): ai lavori in tema di rafforzamento della resilienza cibernetica, dei rischi finanziari legati al clima e dell'impatto della digitalizzazione sul sistema bancario globale. In questo contesto, vengono discusse iniziative di supervisione e di policy.
Per approfondire:
-
BRI - Comitato di Basilea per la vigilanza bancaria (BCBS) (link esterno; testo in inglese)
- Per i lavori del FSB e CPMI-IOSCO vedi la pagina Normativa e linee guida
Il dialogo con il mercato
A livello nazionale, la Banca d'Italia presiede il Codise, la struttura di coordinamento per la gestione delle crisi della piazza finanziaria italiana, con la partecipazione della Consob e degli operatori a rilevanza sistemica in ambito domestico. Il Codise interviene anche in caso di minacce cibernetiche gravi (vedi pag. La cybersicurezza per la stabilità finanziaria).
Con l'Associazione Bancaria Italiana (ABI), la Banca d'Italia ha creato il CERTFin (CERT Finanziario Italiano), una sede di cooperazione pubblico-privata con l'industria finanziaria italiana. Il CERTFin facilita lo scambio di informazioni su minacce e vulnerabilità tra operatori bancari, finanziari e assicurativi e ne accresce la capacità di gestione del rischio cibernetico. Il CERTFin ha sottoscritto con l'ACN un protocollo d'intesa per la cybersicurezza del settore finanziario italiano e collabora con l'Autorità per le garanzie nelle comunicazioni (AGCom) e con la Polizia postale e delle comunicazioni, con la quale è in essere una specifica convenzione.
La Banca d'Italia presiede inoltre il Comitato Pagamenti Italia (CPI), il cui obiettivo è quello di sostenere lo sviluppo di un mercato dei pagamenti sicuro, innovativo e competitivo e funge da raccordo con altri comitati a livello nazionale ed europeo.
Per approfondire:
Raccolta Cooperazione in Europa
- La BCE pubblica la versione definitiva del documento "Cyber Resilience Oversight Expectations" Data Pubblicazione::03 dicembre 2018
- ESRB - Systemic cyber risk (link esterno) (testo in inglese)
- ESRB - The making of a cyber crash: a conceptual model for systemic risk in the financial sector (link esterno) (testo in inglese)
- ESRB/2021/17 - Recommendation on a pan-European systemic cyber incident coordination framework for relevant authorities (link esterno) (testo in inglese)
Raccolta Cooperazione internazionale
- FSB - Cyber Resilience (link esterno) (testo in inglese)
- FSB - Cyber Lexicon: Updated in 2023 (link esterno) (testo in inglese)
- Il Financial Stability Board ha pubblicato il Cyber Lexicon Data Pubblicazione::15 novembre 2018