
La Banca d'Italia è impegnata nel rafforzare le misure di cybersicurezza degli operatori e del sistema finanziario nel suo complesso, al fine di perseguire la salvaguardia della stabilità finanziaria, presidiare la continuità di servizio e promuovere la fiducia degli utenti nel sistema.
In questa pagina sono descritti:
- il rischio cyber sistemico per il settore finanziario;
- le attività della Banca d'Italia;
- le attività in ambito europeo e internazionale.
Il rischio cyber sistemico per il settore finanziario
Il sistema finanziario è caratterizzato da una continua evoluzione tecnologica e da una fitta rete di interdipendenze ed è sempre più dipendente dall'infrastruttura informatica e dai fornitori di altri settori. Ciò lo rende particolarmente esposto a malfunzionamenti di tipo tecnologico e un obiettivo privilegiato di attacchi cibernetici, dato anche il valore economico e strategico delle funzioni da esso svolte.
Queste caratteristiche del sistema finanziario e quelle specifiche del rischio cibernetico - privo di confini geografici, mutevole, di facile propagazione tra soggetti e settori economici, sfruttato da più attori della minaccia - comportano che il rischio cyber nel sistema finanziario possa essere prevenuto e mitigato ma non totalmente azzerato.
Incidenti informatici significativi, specie se connessi con attacchi esterni e non adeguatamente contenuti, possono avere ricadute su più operatori e infrastrutture finanziarie critiche, incidendo anche sulla continuità dei servizi e la stabilità finanziaria.
Le interconnessioni operative e finanziarie create dalla digitalizzazione richiedono quindi una valutazione delle prospettive sistemiche e legate alle minacce cyber.
Per far fronte a tali rischi, autorità finanziarie e banche centrali operano, in stretta collaborazione, al fine di rafforzare la prevenzione dei rischi, migliorare gli strumenti di coordinamento e comunicazione in caso di gravi crisi, realizzare esercitazioni con scenari di incidenti cyber su larga scala, mitigare il rischio di contagio e assicurare una pronta ripartenza in caso di incidenti.
Le attività della Banca d'Italia
La Banca d'Italia promuove la prevenzione e la risposta ai rischi informatici nel settore finanziario, attraverso le azioni di regolamentazione, vigilanza, sorveglianza e cooperazione istituzionale e pubblico-privato, anche al fine di presidiare i rischi sistemici per la stabilità finanziaria.
In risposta a incidenti operativi o cibernetici con gravi impatti viene attivato il Codise, la struttura per la continuità di servizio della piazza finanziaria italiana, che coordina la gestione delle crisi, con l'obiettivo di limitare gli impatti degli incidenti e ripristinare rapidamente i servizi. Il Codise collabora con il Ministero dell'Economia e delle finanze (MEF), l'Agenzia per la cybersicurezza nazionale e altre Autorità, fungendo da punto di contatto per il settore finanziario italiano in caso di crisi con impatti di tipo internazionale e partecipando a esercitazioni periodiche con scenari cyber.
Inoltre, la Banca contribuisce ai lavori dell'Eurosistema, del Meccanismo di vigilanza unico (Single Supervisory Mechanism, SSM) e del Comitato europeo per il rischio sistemico (European Systemic Risk Board, ESRB) e collabora con l'industria finanziaria (si veda qui di seguito e la pagina Cooperazione istituzionale e dialogo con il mercato).
Le attività in ambito europeo e internazionale
Le autorità di vigilanza macroprudenziale e microprudenziale, lavorando in parallelo con quelle di regolamentazione, hanno sviluppato quadri di riferimento per identificare e monitorare i rischi sistemici dovuti agli attacchi cyber e per elaborare apposite regole mirate alla loro mitigazione.
In quest'ambito la Banca d'Italia partecipa, insieme alle altre autorità finanziarie europee, all'ESRB per prevenire e mitigare i rischi sistemici, incluso quello cyber, nel settore finanziario europeo. Le attività includono: i) la definizione di un modello concettuale di analisi e l'adozione di una strategia macroprudenziale specifica per i rischi cyber; ii) l'individuazione di strumenti per mitigare gli impatti sistemici di incidenti cyber di larga scala, come la mappatura dei nodi e delle interconnessioni tra le entità finanziarie europee, c.d. cyber mapping; iii) lo sviluppo e la conduzione di test di resilienza cyber (Cyber Resilience Scenario Testing - CyRST); iv) la definizione di soglie di tolleranza per l'interruzione delle funzioni economiche critiche svolte dal sistema finanziario (Systemic impact tolerance for disruption, SITOs).

L'ESRB ha inoltre promosso la realizzazione di un framework per il coordinamento e la comunicazione tra le autorità finanziarie in caso di incidenti di larga scala con potenziali impatti sistemici.
Inoltre, nell'ambito dell'SSM, sono state avviate nel 2024 prove di stress c.d. tematiche per valutare la resilienza cibernetica dei singoli enti soggetti a vigilanza. I risultati aiuteranno le autorità di vigilanza a identificare le vulnerabilità e a sviluppare strategie di mitigazione appropriate.
La resilienza informatica è un elemento chiave anche del programma di lavoro del Financial Stabillity Board, volto a promuovere la stabilità del sistema finanziario globale (vedi pag. Normativa e linee guida).
Per approfondire:
- Digital resilience in the Italian financial sector: evidences from the supervisory incident reporting framework
- Codise
- ECB - Towards a framework for assessing systemic cyber risk (link esterno, in inglese)
- ESRB (link esterno, in inglese)
- Systemic Cyber Risk, ESRB 2020 (link esterno, in inglese)
- The making of a cyber crash: a conceptual model for systemic risk in the financial sector, ESRB 2020 (link esterno, in inglese)
- Mitigating systemic cyber risk, ESRB 2022 (link esterno, in inglese)
- Advancing macroprudential tools for cyber resilience, ESRB 2023 (link esterno, in inglese)
- Advancing macroprudential tools for cyber resilience – Operational policy tools, ESRB 2024 (link esterno, in inglese)
- Raccomandazione ESRB/2021/17 su un quadro paneuropeo di coordinamento degli incidenti cyber sistemici (link esterno, in inglese)
- ECB - Stress test (link esterno, in inglese)
- FSB - Cyber resilience (link esterno, in inglese)