Normativa e linee guida

La Banca d'Italia è impegnata nei maggiori consessi internazionali e supporta gli organismi competenti e le autorità nazionali ed europee per contribuire alla definizione di linee guida, standard e regole armonizzate per la prevenzione e mitigazione dei rischi cibernetici nel settore finanziario.

Gli obiettivi

Un efficace contrasto della minaccia cibernetica passa attraverso numerosi presidi e difese che i singoli operatori devono mettere in campo, sia all'interno della propria organizzazione sia in riferimento ai servizi forniti da terze parti (ad es. servizi ICT). In entrambi i casi, è responsabilità dei singoli operatori - banche, infrastrutture di mercato e altre istituzioni finanziarie - garantire la sicurezza dei sistemi utilizzati e la continuità dei servizi offerti.

Per sostenere il raggiungimento di un adeguato livello di preparazione da parte degli operatori sono importanti regole e linee guida in tema di: politiche di governance e strategie aziendali; definizione di ruoli, responsabilità e sistemi di controllo; implementazione di misure efficaci di rilevazione, prevenzione e contrasto dei rischi e delle minacce; predisposizione di adeguate misure di continuità operativa; assegnazione di risorse adeguate e aggiornate; azioni volte a innalzare le conoscenze e la consapevolezza del personale.

Le regole sono importanti anche per consentire al sistema finanziario di sviluppare misure di prevenzione e di risposta condivise per far fronte agli impatti sistemici su più paesi. Tali risposte necessitano di sistemi armonizzati e tempestivi di segnalazione, rilevazione e condivisione dei maggiori incidenti e attacchi agli operatori e la realizzazione di metriche armonizzate.

I principi e le linee guida a livello internazionale

Il tema della cybersicurezza è affrontato in numerose sedi di cooperazione internazionale (vedi pag. Cooperazione istituzionale e dialogo con il mercato). In ambito FSB, i lavori sono volti ad armonizzare le prassi di gestione del rischio cibernetico, la sua rilevazione e misurazione (ad es. con la realizzazione di schemi di segnalazione degli incidenti informatici) e la gestione del rischio delle terze parti. In ambito G7, il Cyber Expert Group (CEG) definisce principi di alto livello in tema di rischio cibernetico per le autorità e gli operatori finanziari, i "G7 Fundamental Elements" (vedi raccolta a fondo pagina). Il CEG inoltre sviluppa metodologie e protocolli per facilitare il coordinamento e la comunicazione tra le Autorità finanziarie e gli operatori in caso di gravi incidenti. Presso la Banca dei Regolamenti Internazionali (BRI) le azioni sono volte a rafforzare la resilienza cibernetica delle infrastrutture dei mercati finanziari, ad esempio con la pubblicazione della "Guidance on cyber resilience for financial market infrastructures".

Nuovi presidi dei rischi di tipo tecnologico e cyber sono richiesti anche dai recenti sviluppi della finanza digitale (ad es. per le cripto attività, central bank digital currency, euro digitale) e di nuove infrastrutture per i pagamenti (legate, ad es., alle tecnologie DLT), cui si rivolge una crescente attenzione nei diversi consessi internazionali.

Per approfondire:

Il quadro normativo europeo

L'Unione europea ha adottato strumenti di difesa per assicurare uno sviluppo digitale sicuro dell'economia e della società, tra cui una Strategia di cybersicurezza specifica. In particolare, per il settore finanziario, sono state adottate una serie di misure specifiche con il Digital Operational Resilience Act (DORA), che stabilisce requisiti armonizzati per la gestione del rischio informatico per le varie tipologie di operatori del settore finanziario e introduce un regime di sorveglianza sui fornitori critici di servizi ICT esterni al settore (cd. terze parti critiche). Contribuiscono a rafforzare i presidi per la resilienza e la continuità di servizio del sistema finanziario anche la direttiva Network and Information System Security (c.d. NIS2) e la direttiva Critical Entities Resilience (CER), che si applicano ai maggiori settori economici europei, tra i quali figurano il settore del credito e quello delle infrastrutture di mercato.

Il Comitato europeo per il rischio sistemico (European Systemic Risk Board - ESRB) ha adottato una strategia macroprudenziale per la mitigazione degli impatti di incidenti cyber su larga scala con potenziali effetti sistemici e sta sviluppando i relativi strumenti (vedi pag. La cybersicurezza per la stabilità finanziaria).

In sede europea, principi e politiche per il contrasto del rischio cibernetico sono definiti anche dall'Autorità bancaria europea (European Banking Authority, EBA), ai cui lavori la Banca d'Italia partecipa in qualità di Autorità nazionale competente. In tale ambito assumono particolare rilievo le linee guida e gli orientamenti emanati, ad esempio, in materia di gestione del rischio ICT e di esternalizzazione.

Nell'ambito dell'Eurosistema è stata definita una Strategia per la resilienza cibernetica dei sistemi di pagamento e delle altre infrastrutture di mercato finanziario. Tra i principali strumenti di sorveglianza rilevano la Cyber Survey e le Cyber Resilience Oversight Expectations (CROE), modelli di valutazione della resilienza cibernetica delle infrastrutture finanziarie e dei fornitori di servizi tecnologici. L'ulteriore strumento che consente di migliorare la resilienza cibernetica previsto dalla Strategia è il TIBER-EU, modello di riferimento europeo per la conduzione da parte delle entità finanziarie di test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT).

La Banca d'Italia contribuisce alla definizione e all'aggiornamento della strategia e degli strumenti di supervisione e applica le metodologie e gli strumenti nei confronti dei sistemi di pagamento e delle infrastrutture nazionali, anche in collaborazione con Consob per le rispettive competenze.

La sicurezza degli utenti e la prevenzione dei rischi, compresi quelli legati alla sicurezza cibernetica e alla prevenzione delle frodi, sono elementi essenziali anche della Strategia europea per i pagamenti, per fornire servizi di pagamento sicuri e innovativi, nell'ambito dei lavori di revisione della Direttiva sui servizi di pagamento e per i pagamenti istantanei.

Per approfondire

Il quadro normativo nazionale

Le istituzioni e le autorità nazionali sono impegnate per innalzare il livello di resilienza cibernetica del Paese e per supportare la sicurezza nello sviluppo digitale dell'economia e dei servizi forniti a imprese e cittadini, nel quadro delle norme e delle strategie definite a livello nazionale ed europeo. Il settore finanziario, al pari di altri settori chiave dell'economia, è oggetto di specifica attenzione nell'implementazione di tali strategie.

In Italia tali azioni sono in linea con: i) la Strategia Nazionale di Cybersicurezza 2022-2026, che fa perno sulla architettura istituzionale di cybersicurezza e sull'Agenzia per la cybersicurezza nazionale (ACN); ii) il Perimetro nazionale di sicurezza cibernetica (d.l. 105/2019), volto ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato (incluso il settore Economia e finanza).

In tale quadro, la Banca d'Italia fornisce supporto tecnico al Ministero dell'Economia e delle finanze (MEF) e collabora con l'ACN, le Autorità nazionali e le altre istituzioni sia nell'ambito dei negoziati per la definizione delle norme europee, sia nella definizione delle norme nazionali, anche in attuazione delle competenze regolamentari che le sono affidate per il sistema finanziario (vedi infra: La normativa secondaria emanata dalla Banca d'Italia).

Il quadro delle competenze in tema di rafforzamento della resilienza in Italia è stato definito dal d.lgs. 65/2018, attuativo della direttiva UE/2016/1148 sulla sicurezza delle reti e dei sistemi informativi (c.d. NIS). La direttiva prevede che gli Stati membri designino una o più autorità nazionali competenti. Ai sensi del d.lgs. 65/2018, l'autorità nazionale competente NIS è l'ACN, mentre l'autorità competente per il settore bancario e per il settore infrastrutture dei mercati finanziari è il MEF, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob. L'impianto previsto dalla direttiva NIS è stato rafforzato dalla nuova direttiva UE/2022/2555 (c.d. NIS2).

Inoltre, in materia di sicurezza nazionale nei settori di rilevanza strategica, il c.d. decreto Perimetro (d.l. 105/2019) ha attributo alla Banca d'Italia e ad altre autorità di settore l'obbligo di collaborazione reciproca, al fine di agevolare l'esercizio delle funzioni nell'ambito del c.d. golden power (vedi Raccolta normativa nazionale).

La normativa secondaria emanata dalla Banca d'Italia

La Banca d'Italia adotta disposizioni volte al rafforzamento della cybersicurezza e dei connessi profili di continuità operativa dei soggetti vigilati e sorvegliati, nell'esercizio delle attribuzioni che le sono conferite dall'ordinamento. Tra le principali rilevano:

  • la normativa di vigilanza sulle banche (Circ. 285/2013), in materia di governo societario, controlli interni e gestione dei rischi (Titolo IV); essa detta disposizioni che prescrivono agli intermediari requisiti e misure minime per la gestione del sistema informativo, da cui dipendono i processi critici (Capitolo 4), e misure per la continuità operativa per la gestione delle crisi (Capitolo 5);
  • la normativa di vigilanza sugli istituiti di pagamento (IP) e gli istituti di moneta elettronica (IMEL), volta a garantire l'affidabilità dei sistemi informativi e una corretta gestione dei rischi operativi, inclusi i rischi ICT e di sicurezza;
  • le regole per la segnalazione degli incidenti. La normativa secondaria prevede per banche, IP e IMEL l'obbligo di comunicare tempestivamente alla Banca d'Italia i gravi incidenti operativi o di sicurezza mediante uno schema di segnalazione in linea con quanto previsto dalla normativa europea. Tale obbligo segnaletico consente di supportare l'analisi prudenziale sui singoli intermediari, di agevolare il coordinamento e il supporto all'azione di rimedio e di valutare tempestivamente nuove minacce e vulnerabilità comuni presenti nel sistema finanziario.

Tra gli strumenti che gli operatori possono adottare per innalzare le proprie capacità di difesa rileva anche l'esecuzione di test avanzati di cybersicurezza. La Banca d'Italia, la Consob e l'Ivass hanno adottato congiuntamente la Guida nazionale TIBER‑IT per lo svolgimento su base volontaria di test avanzati di cybersicurezza basati sullo scenario della minaccia specifico per la singola entità finanziaria.

Nell'ambito della funzione di sorveglianza svolta dalla Banca d'Italia sul sistema dei pagamenti ai sensi dell'art. 146 del TUB la Banca ha rivisto le Disposizioni emanate nel 2012, con un nuovo Provvedimento del 9 novembre 2021, che ha esteso l'ambito di applicazione ai sistemi di pagamento all'ingrosso e alle infrastrutture strumentali tecnologiche o di rete ed è integrata anche da una Guida operativa dei controlli e dalle misure di continuità operativa, che contemplano anche il rischio cyber.

Per approfondire:

Sezione di approfondimento