Il perimetro di rete non è più l’unica barriera di protezione. I dispositivi di rete, nati per difendere l’azienda, oggi richiedono a loro volta un controllo costante e negli ambienti finanziari, rappresentano una delle principali aree da presidiare.
Secondo il report 2026 Early Warning Insights for the Financial Services Industry di Armis Labs, oltre il 60% delle violazioni analizzate ha avuto origine da asset non aggiornati, mentre il 40% è riconducibile a dispositivi perimetrali di rete, come firewall, VPN e router.
Anche le piattaforme considerate affidabili possono essere compromesse, generando rischi di terze parti, mentre i servizi che vi si appoggiano possono introdurre ulteriori livelli di esposizione. Quando le organizzazioni concentrano i propri workload su grandi piattaforme SaaS, si crea inoltre il cosiddetto Cloud Concentration Risk (CCR).
Ad esempio, la campagna condotta nel 2025 dal gruppo ShinyHunters ha sfruttato configurazioni errate di Salesforce attraverso attività di scansione malevola e l’abuso di impostazioni eccessivamente permissive per gli utenti guest di Experience Cloud, utilizzando versioni modificate di strumenti come AuraInspector e tool analoghi.
I CISO e i team di sicurezza devono mantenere una piena visibilità sul codice vulnerabile in esecuzione all’interno delle proprie reti ed estendere tale visibilità all’intera supply chain, comprese terze e quarte parti. Non si tratta più di un’opzione, ma di un requisito imprescindibile per garantire la resilienza informatica.
Indice degli argomenti
Attacchi asimmetrici e rischio cyber nei servizi finanziari
Il settore dei servizi finanziari ha trascorso decenni a ottimizzare la velocità. Nelle piattaforme di trading algoritmico, pochi millisecondi possono fare la differenza. La sicurezza informatica, però, non si è evoluta con la stessa rapidità.
Una volta che una vulnerabilità viene inserita nel catalogo Known Exploited Vulnerabilities (KEV) della CISA, Armis osserva un forte incremento dei tentativi di sfruttamento già il giorno della divulgazione, o addirittura prima, con picchi fino al 29%. Al contrario, i tradizionali processi di gestione delle vulnerabilità possono richiedere settimane o mesi. È proprio in questo intervallo tra la divulgazione di una vulnerabilità e la sua correzione che si concentra il rischio maggiore.
Il rischio associato agli attacchi informatici potenziati dall’intelligenza artificiale accelera ulteriormente questa dinamica. Gli attacchi condotti a “velocità macchina” automatizzano oggi attività di scansione, sfruttamento delle vulnerabilità e movimento laterale all’interno delle reti, riducendo la kill chain da ore o giorni a pochi minuti.
I cybercriminali hanno ormai adottato pienamente l’automazione, mentre molti team di cybersecurity continuano a fare affidamento su processi manuali, scansioni statiche, code di ticket e attività di prioritizzazione guidate dall’intervento umano. A complicare ulteriormente il quadro contribuiscono ambienti sempre più eterogenei, caratterizzati dalla convergenza tra IT e OT, dalla presenza di asset legacy e di dispositivi non monitorati.
Nel settore finanziario, questa convergenza tra IT e OT rappresenta una dipendenza critica: la sicurezza delle transazioni digitali dipende ormai dall’affidabilità dei sistemi fisici che la supportano, dai dispositivi presenti nelle sale di trading e dagli ATM delle filiali fino ai gateway di pagamento che costituiscono l’infrastruttura portante del commercio globale.
I dispositivi perimetrali e il rischio di supply chain finanziaria
Il tradizionale perimetro di rete non è più sufficiente da solo. I dispositivi progettati per proteggere le organizzazioni possono diventare, se compromessi, punti di accesso rilevanti per gli attaccanti. Da lì, è possibile ottenere visibilità, privilegi e controllo sui sistemi aziendali.
Per esempio, una vulnerabilità individuata nel server SSH di Erlang/OTP avrebbe interessato circa il 20% delle organizzazioni finanziarie. La falla nel meccanismo di gestione dei messaggi del protocollo SSH permette a un attaccante di eseguire comandi arbitrari senza dover fornire credenziali di accesso valide.
Diversi fornitori di primo piano, tra cui Cisco e NetApp, avevano implementato questo server SSH basato su Erlang/OTP, contribuendo così alla propagazione della vulnerabilità lungo l’intera supply chain.
Questo è un classico esempio di rischio di supply chain. Le organizzazioni ereditano silenziosamente dipendenze nascoste lungo più livelli della filiera tecnologica, tra API e fenomeni di Cloud Concentration Risk (CCR), che finiscono per dissolvere completamente il tradizionale concetto di perimetro. Una singola integrazione compromessa può consentire agli aggressori di sfruttare l’intera catena e propagarsi all’interno dei sistemi connessi.
Rischio di quarta parte e responsabilità diretta
Il settore dei servizi finanziari è già oggi uno dei più regolamentati. Le normative più recenti stanno però estendendo ulteriormente il perimetro delle responsabilità delle organizzazioni.
Il 2026 Annual Regulatory Oversight Report di FINRA pone particolare enfasi sulla gestione degli asset e degli inventari tecnologici, sull’integrazione delle procedure di risposta agli incidenti con i fornitori terzi e sulla gestione del rischio di quarta parte.
Il Digital Operational Resilience Act (DORA) dell’Unione Europea è ancora più stringente: le banche sono tenute a mantenere un “Registro delle Informazioni” relativo a tutti i fornitori di servizi ICT, mappare le dipendenze lungo la supply chain e gestire attivamente il rischio di quarta parte. Le sanzioni previste possono arrivare fino al 2% del fatturato globale.
Le Software Bill of Materials (SBOM) sono ormai diventate lo strumento di riferimento per l’inventario dei componenti software. Sempre più spesso, inoltre, obblighi normativi e clausole contrattuali richiedono ai fornitori di fornire una SBOM e di rispettare standard minimi di sicurezza.
Resilienza informatica e prevenzione left of boom
Ridurre l’esposizione al rischio richiede una protezione preventiva, ciò che nel settore viene definito approccio “left of boom”: intervenire prima che si verifichi l’incidente, che si tratti di una violazione, di un attacco ransomware o del furto di dati.
L’Exposure Management sta progressivamente sostituendo le tradizionali scansioni statiche delle vulnerabilità. Si basa su un approccio continuo, completo e contestualizzato, in grado di fornire una visione dinamica dell’esposizione al rischio.
I team di sicurezza del settore finanziario stanno adottando questo approccio attraverso il framework Continuous Threat and Exposure Management (CTEM), che si articola in quattro fasi principali: identificazione, prioritizzazione, validazione e mobilitazione. Le banche più avanzate misurano ormai indicatori come il Mean Time to Remediate (MTTR) delle vulnerabilità presenti nel catalogo KEV e la riduzione del potenziale impatto di un attacco (blast radius), utilizzandoli come KPI direttamente riportati ai consigli di amministrazione.
Il monitoraggio continuo arricchisce i dati con il contesto necessario per individuare rapidamente le priorità di intervento. Le fonti proprietarie di threat intelligence offrono una capacità di allerta precoce sulle nuove campagne malevole, mentre l’automazione consente ai team di sicurezza di rispondere con la stessa velocità degli attaccanti. Grazie a scansioni e correlazioni automatizzate, le organizzazioni possono oggi intervenire prima che un attacco completi la propria kill chain.
La resilienza informatica non è un problema tecnologico: è una questione di strategia e disciplina operativa.
Le organizzazioni finanziarie devono ridurre il divario temporale tra la scoperta di una vulnerabilità e il suo sfruttamento, eliminare le zone d’ombra legate ai rischi di quarta parte ed estendere la visibilità sul codice vulnerabile presente sia nei dispositivi perimetrali sia lungo l’intera supply chain dei fornitori. Un maggiore contesto consente una migliore prioritizzazione degli interventi. Una threat intelligence più efficace permette di adottare una protezione realmente preventiva, vincendo la battaglia prima ancora che abbia inizio.
Gli istituti finanziari che integrano il framework CTEM nei propri processi di governance, utilizzandolo anche per rispondere a requisiti normativi come il Registro delle Informazioni di DORA o gli obblighi di inventory management richiesti da FINRA, possono trasformare un programma tecnico di sicurezza in un elemento di differenziazione competitiva e di conformità normativa.














Partecipa alla community