La Banca d'Italia è impegnata nei maggiori consessi internazionali e supporta gli organismi competenti e le autorità nazionali ed europee per contribuire alla definizione di linee guida, standard e regole armonizzate per la prevenzione e mitigazione dei rischi cibernetici nel settore finanziario. In questa pagina vengono descritti:
- gli obiettivi;
- i principi e le linee guida a livello internazionale;
- il quadro normativo europeo;
- il quadro normativo nazionale;
- la normativa secondaria emanata dalla Banca d'Italia.
Gli obiettivi
Un efficace contrasto della minaccia cibernetica passa attraverso numerosi presidi e difese che i singoli operatori devono mettere in campo, sia all'interno della propria organizzazione sia in riferimento ai servizi forniti da terze parti (ad es. servizi ICT). In entrambi i casi, è responsabilità dei singoli operatori - banche, infrastrutture di mercato e altre istituzioni finanziarie - garantire la sicurezza dei sistemi utilizzati e la continuità dei servizi offerti.
Per sostenere il raggiungimento di un adeguato livello di preparazione da parte degli operatori sono importanti regole e linee guida in tema di: politiche di governance e strategie aziendali; definizione di ruoli, responsabilità e sistemi di controllo; implementazione di misure efficaci di rilevazione, prevenzione e contrasto dei rischi e delle minacce; predisposizione di adeguate misure di continuità operativa; assegnazione di risorse adeguate e aggiornate; azioni volte a innalzare le conoscenze e la consapevolezza del personale.
Le regole sono importanti anche per consentire al sistema finanziario di sviluppare misure di prevenzione e di risposta condivise per far fronte agli impatti sistemici su più paesi. Tali risposte necessitano di sistemi armonizzati e tempestivi di segnalazione, rilevazione e condivisione dei maggiori incidenti e attacchi agli operatori e la realizzazione di metriche armonizzate.
I principi e le linee guida a livello internazionale
Il tema della cybersicurezza è affrontato in numerose sedi di cooperazione internazionale (vedi pag. Cooperazione istituzionale e dialogo con il mercato). In ambito FSB, i lavori sono volti ad armonizzare le prassi di gestione del rischio cibernetico, la sua rilevazione e misurazione (ad es. con la realizzazione di schemi di segnalazione degli incidenti informatici) e la gestione del rischio delle terze parti. In ambito G7, il Cyber Expert Group (CEG) definisce principi di alto livello in tema di rischio cibernetico per le autorità e gli operatori finanziari, i "G7 Fundamental Elements" (vedi raccolta a fondo pagina). Il CEG inoltre sviluppa metodologie e protocolli per facilitare il coordinamento e la comunicazione tra le Autorità finanziarie e gli operatori in caso di gravi incidenti. Presso la Banca dei Regolamenti Internazionali (BRI) le azioni sono volte a rafforzare la resilienza cibernetica delle infrastrutture dei mercati finanziari, ad esempio con la pubblicazione della "Guidance on cyber resilience for financial market infrastructures".
Nuovi presidi dei rischi di tipo tecnologico e cyber sono richiesti anche dai recenti sviluppi della finanza digitale (ad es. per le cripto attività, central bank digital currency, euro digitale) e di nuove infrastrutture per i pagamenti (legate, ad es., alle tecnologie DLT), cui si rivolge una crescente attenzione nei diversi consessi internazionali.
Per approfondire:
- FSB - Maggiore convergenza tra gli schemi segnaletici degli incidenti informatici
- FSB publishes toolkit for enhancing third-party risk management and oversight (link esterno, testo in inglese)
- CPMI-IOSCO - Guidance on cyber resilience for financial market infrastructures (link esterno; testo in inglese)
Il quadro normativo europeo
L'Unione europea ha adottato strumenti di difesa per assicurare uno sviluppo digitale sicuro dell'economia e della società, tra cui una Strategia di cybersicurezza specifica. In particolare, per il settore finanziario, sono state adottate una serie di misure specifiche con il Digital Operational Resilience Act (DORA), che stabilisce requisiti armonizzati per la gestione del rischio informatico per le varie tipologie di operatori del settore finanziario e introduce un regime di sorveglianza sui fornitori critici di servizi ICT esterni al settore (cd. terze parti critiche). Contribuiscono a rafforzare i presidi per la resilienza e la continuità di servizio del sistema finanziario anche la direttiva Network and Information System Security (c.d. NIS2) e la direttiva Critical Entities Resilience (CER), che si applicano ai maggiori settori economici europei, tra i quali figurano il settore del credito e quello delle infrastrutture di mercato.
Il Comitato europeo per il rischio sistemico (European Systemic Risk Board - ESRB) ha adottato una strategia macroprudenziale per la mitigazione degli impatti di incidenti cyber su larga scala con potenziali effetti sistemici e sta sviluppando i relativi strumenti (vedi pag. La cybersicurezza per la stabilità finanziaria).
In sede europea, principi e politiche per il contrasto del rischio cibernetico sono definiti anche dall'Autorità bancaria europea (European Banking Authority, EBA), ai cui lavori la Banca d'Italia partecipa in qualità di Autorità nazionale competente. In tale ambito assumono particolare rilievo le linee guida e gli orientamenti emanati, ad esempio, in materia di gestione del rischio ICT e di esternalizzazione.
Nell'ambito dell'Eurosistema è stata definita una Strategia per la resilienza cibernetica dei sistemi di pagamento e delle altre infrastrutture di mercato finanziario. Tra i principali strumenti di sorveglianza rilevano la Cyber Survey e le Cyber Resilience Oversight Expectations (CROE), modelli di valutazione della resilienza cibernetica delle infrastrutture finanziarie e dei fornitori di servizi tecnologici. L'ulteriore strumento che consente di migliorare la resilienza cibernetica previsto dalla Strategia è il TIBER-EU, modello di riferimento europeo per la conduzione da parte delle entità finanziarie di test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT).
La Banca d'Italia contribuisce alla definizione e all'aggiornamento della strategia e degli strumenti di supervisione e applica le metodologie e gli strumenti nei confronti dei sistemi di pagamento e delle infrastrutture nazionali, anche in collaborazione con Consob per le rispettive competenze.
La sicurezza degli utenti e la prevenzione dei rischi, compresi quelli legati alla sicurezza cibernetica e alla prevenzione delle frodi, sono elementi essenziali anche della Strategia europea per i pagamenti, per fornire servizi di pagamento sicuri e innovativi, nell'ambito dei lavori di revisione della Direttiva sui servizi di pagamento e per i pagamenti istantanei.
Per approfondire
- Regolamentazione europea Digital Operational Resilience Act (DORA) (link esterno, testo in inglese)
- ESRB, Mitigating systemic cyber risk (link esterno, testo in inglese)
- EBA, Orientamenti sulla gestione dei rischi relativi alle tecnologie dell'informazione e della comunicazione di sicurezza (link esterno)
- BCE - Strategia per la resilienza cibernetica dei sistemi di pagamento e delle altre infrastrutture di mercato finanziario (link esterno, testo in inglese)
Il quadro normativo nazionale
Le istituzioni e le autorità nazionali sono impegnate per innalzare il livello di resilienza cibernetica del Paese e per supportare la sicurezza nello sviluppo digitale dell'economia e dei servizi forniti a imprese e cittadini, nel quadro delle norme e delle strategie definite a livello nazionale ed europeo. Il settore finanziario, al pari di altri settori chiave dell'economia, è oggetto di specifica attenzione nell'implementazione di tali strategie.
In Italia tali azioni sono in linea con: i) la Strategia Nazionale di Cybersicurezza 2022-2026, che fa perno sulla architettura istituzionale di cybersicurezza e sull'Agenzia per la cybersicurezza nazionale (ACN); ii) il Perimetro nazionale di sicurezza cibernetica (d.l. 105/2019), volto ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato (incluso il settore Economia e finanza).
In tale quadro, la Banca d'Italia fornisce supporto tecnico al Ministero dell'Economia e delle finanze (MEF) e collabora con l'ACN, le Autorità nazionali e le altre istituzioni sia nell'ambito dei negoziati per la definizione delle norme europee, sia nella definizione delle norme nazionali, anche in attuazione delle competenze regolamentari che le sono affidate per il sistema finanziario (vedi infra: La normativa secondaria emanata dalla Banca d'Italia).
Il quadro delle competenze in tema di rafforzamento della resilienza in Italia è stato definito dal d.lgs. 65/2018, attuativo della direttiva UE/2016/1148 sulla sicurezza delle reti e dei sistemi informativi (c.d. NIS). La direttiva prevede che gli Stati membri designino una o più autorità nazionali competenti. Ai sensi del d.lgs. 65/2018, l'autorità nazionale competente NIS è l'ACN, mentre l'autorità competente per il settore bancario e per il settore infrastrutture dei mercati finanziari è il MEF, in collaborazione con le autorità di vigilanza di settore, Banca d'Italia e Consob. L'impianto previsto dalla direttiva NIS è stato rafforzato dalla nuova direttiva UE/2022/2555 (c.d. NIS2).
Inoltre, in materia di sicurezza nazionale nei settori di rilevanza strategica, il c.d. decreto Perimetro (d.l. 105/2019) ha attributo alla Banca d'Italia e ad altre autorità di settore l'obbligo di collaborazione reciproca, al fine di agevolare l'esercizio delle funzioni nell'ambito del c.d. golden power (vedi Raccolta normativa nazionale).
La normativa secondaria emanata dalla Banca d'Italia
La Banca d'Italia adotta disposizioni volte al rafforzamento della cybersicurezza e dei connessi profili di continuità operativa dei soggetti vigilati e sorvegliati, nell'esercizio delle attribuzioni che le sono conferite dall'ordinamento. Tra le principali rilevano:
- la normativa di vigilanza sulle banche (Circ. 285/2013), in materia di governo societario, controlli interni e gestione dei rischi (Titolo IV); essa detta disposizioni che prescrivono agli intermediari requisiti e misure minime per la gestione del sistema informativo, da cui dipendono i processi critici (Capitolo 4), e misure per la continuità operativa per la gestione delle crisi (Capitolo 5);
- la normativa di vigilanza sugli istituiti di pagamento (IP) e gli istituti di moneta elettronica (IMEL), volta a garantire l'affidabilità dei sistemi informativi e una corretta gestione dei rischi operativi, inclusi i rischi ICT e di sicurezza;
- le regole per la segnalazione degli incidenti. La normativa secondaria prevede per banche, IP e IMEL l'obbligo di comunicare tempestivamente alla Banca d'Italia i gravi incidenti operativi o di sicurezza mediante uno schema di segnalazione in linea con quanto previsto dalla normativa europea. Tale obbligo segnaletico consente di supportare l'analisi prudenziale sui singoli intermediari, di agevolare il coordinamento e il supporto all'azione di rimedio e di valutare tempestivamente nuove minacce e vulnerabilità comuni presenti nel sistema finanziario.
Tra gli strumenti che gli operatori possono adottare per innalzare le proprie capacità di difesa rileva anche l'esecuzione di test avanzati di cybersicurezza. La Banca d'Italia, la Consob e l'Ivass hanno adottato congiuntamente la Guida nazionale TIBER‑IT per lo svolgimento su base volontaria di test avanzati di cybersicurezza basati sullo scenario della minaccia specifico per la singola entità finanziaria.
Nell'ambito della funzione di sorveglianza svolta dalla Banca d'Italia sul sistema dei pagamenti ai sensi dell'art. 146 del TUB la Banca ha rivisto le Disposizioni emanate nel 2012, con un nuovo Provvedimento del 9 novembre 2021, che ha esteso l'ambito di applicazione ai sistemi di pagamento all'ingrosso e alle infrastrutture strumentali tecnologiche o di rete ed è integrata anche da una Guida operativa dei controlli e dalle misure di continuità operativa, che contemplano anche il rischio cyber.
Per approfondire:
- Circolare n. 285/2013, Titolo IV
- Disposizioni di vigilanza per gli istituti di pagamento e gli istituti di moneta elettronica (provvedimento del 17 maggio 2016)
- Banca d'Italia - Comunicazione di gravi incidenti operativi o di sicurezza
- Guida nazionale TIBER-IT
- Disposizioni in materia di sorveglianza sui sistemi di pagamento e sulle infrastrutture strumentali tecnologiche o di rete
Raccolta principi e linee guida internazionali
- Documento di consultazione del FSB sugli strumenti per migliorare la gestione e la sorveglianza del rischio di terze parti Data Pubblicazione::26 giugno 2023
- Una nuova proposta del FSB per una maggiore convergenza in tema di notifica degli incidenti cyber Data Pubblicazione::24 ottobre 2022
- G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector (testo in inglese)pdf 250.7 KB Data Pubblicazione::17 ottobre 2022
- G7 Fundamental Elements of Ransomware Resilience for the Financial Sector (testo in inglese)pdf 508.2 KB Data Pubblicazione::17 ottobre 2022
- G7 Fundamental Elements of Cyber Exercise Programmespdf 387.3 KB (testo in inglese) Data Pubblicazione::25 novembre 2020
- G7 Fundamental Elements for Threat Led Penetration Testing (testo in inglese)pdf 284.6 KB Data Pubblicazione::12 ottobre 2018
- G7 Fundamental Elements for Third Party Cyber Risk Management (testo in inglese)pdf 386.5 KB Data Pubblicazione::12 ottobre 2018
- CPMI-IOSCO Guidance on cyber resilience for financial market infrastructures (link esterno) (testo in inglese)
- Banks' cyber security - a second generation of regulatory approaches (link esterno) (testo in inglese)
- Basel Committee calls for improved cyber resilience, reviews climate-related financial risks and discusses impact of digitalisation (link esterno) (testo in inglese)
Raccolta quadro normativo europeo
- UE, Strategia in materia di cybersicurezza (link esterno)
- Digital finance package (testo in inglese) (link esterno)
- Direttiva relativa a misure per un livello comune elevato di cybersicurezza nell'Unione (NIS2) (link esterno)
- Direttiva Critical Entities Resilience (CER) (link esterno)
- Strategia per i pagamenti digitali (link esterno)
- Pagina della Commissione europea relativa alle proposte di regolamento e direttiva in materia di servizi di pagamento (link esterno)
- Pagina della Commissione europea relativa alla proposta di regolamento sui pagamenti istantanei (link esterno)
- EBA, orientamenti in materia di esternalizzazione febbraio 2019 (link esterno)
- Cyber resilience oversight expectations for financial market infrastructures (link esterno)
- TIBER-EU Framework (testo in inglese) (link esterno)
Raccolta normativa nazionale
Raccolta Normativa secondaria emanata dalla Banca d'Italia
- Provvedimento della Banca d'Italia del 9 novembre 2021pdf 321.5 KB Data Pubblicazione::29 novembre 2021
- Guida operativa dei controllipdf 610.2 KB Allegato del Provvedimento della Banca d'Italia del 9 novembre 2021 Data Pubblicazione::01 marzo 2023
- Misure di continuità operativapdf 799.5 KB Allegato del Provvedimento della Banca d'Italia del 9 novembre 2021 Data Pubblicazione::01 marzo 2023
