L’adozione della metodologia Tiber-EU 2.0 rappresenta una risposta concreta alle nuove esigenze normative introdotte dal regolamento europeo DORA. Il suo aggiornamento consente al settore finanziario europeo di affrontare con maggiore efficacia minacce informatiche sempre più sofisticate.
Indice degli argomenti
Finalità e caratteristiche principali di Tiber-Eu 2.0
La metodologia Threat Intelligence-based Ethical red teaming (Tiber-EU) sviluppata nel 2018, nella versione 1.0, dalla Banca Centrale Europea (BCE), fornisce uno standard uniforme per l’implementazione di test di penetrazione guidato dalla minaccia (TLPT).
Si tratta, come recita il regolamento DORA, di un quadro che imita le tattiche, le tecniche e le procedure di attori reali della minaccia che sono percepiti come minaccia informatica autentica, che consente di eseguire un test dei sistemi di produzione attivi e critici dell’entità finanziaria in maniera controllata, mirata e basata sull’analisi della minaccia (red team)[1].
Gli obiettivi principali del framework sono, in sintesi, i seguenti:
- Migliorare la resilienza informatica delle entità e del settore finanziario.
- Armonizzare le modalità di esecuzione dei test di red team, consentendo a ciascuna giurisdizione un grado di flessibilità aggiungendo le proprie specificità nazionali.
- Fornire indicazioni alle Autorità su come implementare e gestire questa tipologia di test a livello nazionale ed europeo.
- Aiutare le Autorità e gli enti a soddisfare i requisiti per i TLPT.
- Permettere la condivisione delle informazioni e l’analisi congiunta dei risultati dei test.
Il Tiber-Eu consente alle autorità europee e nazionali di collaborare con entità finanziarie per mettere in atto un programma di verifica e miglioramento della loro resilienza contro gli attacchi informatici sofisticati.
A oggi, il Tiber-Eu è stato adottato da sedici[2] paesi europei ed è stato formalmente recepito nella giurisdizione italiana dalle Autorità (Banca d’Italia, Consob e IVASS) tramite l’implementazione del Tiber-IT, pubblicato nell’agosto del 2022 che, su base volontaria, può essere adottato dalle entità finanziarie per contribuire ad innalzare e migliorare la loro resilienza, fornendo un approccio comune per assicurare che le funzioni critiche (FC) delle stesse siano adeguatamente protette da attacchi cyber mirati.
L‘implementazione del Tiber-IT nel contesto italiano
Nel 2022 l’adozione della Guida Nazionale Tiber-IT ha permesso alle istituzioni finanziarie italiane, cioè 12 soggetti di diverse tipologie quali banche, assicurazioni e altri operatori attivi nel sistema dei pagamenti, di sottoporsi a test avanzati di cybersicurezza su base volontaria; le verifiche, condotte a valle di questi primi test, che hanno confermato la validità dello strumento, hanno permesso di identificare elementi importanti di vulnerabilità sia di natura tecnica che procedurale-organizzativa.
Con l’entrata in vigore del Regolamento Dora, 17 gennaio 2025, si è reso necessario l’aggiornamento della metodologia Tiber-Eu, nella versione 2.0, pubblicata dalla BCE a febbraio 2025, in modo da poterla allineare ai nuovi standard tecnici sui TLPT, come ad esempio per:
- l’utilizzo di tester interni e
- tempistiche del processo (fase di preparazione e fase di chiusura del test).
Caratteristiche dei test Tiber-IT e rapporto con Dora
La guida nazionale Tiber-IT come riporta L. Cannari nel suo intervento circa “la resilienza cibernetica del sistema finanziario italiano: il ruolo dei test Tiber-IT” di ottobre 2022: “è stato il frutto di un percorso delle tre autorità avviato a inizio 2020 con la pubblicazione congiunta Banca d’Italia-Consob per rafforzare la cyber resilienza del settore finanziario”.
L’elemento da sottolineare è che i test, sia di Tiber-Eu che nelle sue declinazioni nazionali, sono svolti sempre su base volontaria e non costituiscono strumento di supervisione, essi mirano all’individuazione di lacune nelle capacità di rilevamento, protezione e risposta agli attacchi e non si configurano come esercizi di compliance del tipo “pass or fail”.
L’obbligatorietà – con cadenza almeno triennale – dei test avanzati di cybersicurezza guidati dall’analisi della minaccia (TLPT) scatta per le istituzioni finanziarie classificate come critiche.
Un test di Tiber-IT segue un percorso ben strutturato e solitamente è condotto su sistemi che sostengono le funzioni critiche di un’entità in ambiente di produzione, tenendo conto della superficie di attacco reale e delle effettive debolezze dell’entità, come del resto è l’obiettivo indicato all’interno dell’art. 26 del dettato normativo europeo (che definisce i TLPT), ne consegue che l’esecuzione del test comporta potenziali rischi, per cui sono da applicare adeguati controlli per garantire che l’esecuzione del test non impatti sulla corretta operatività dell’entità finanziaria e dei suoi clienti.
Il quadro normativo dei test di resilienza operativa
Il Regolamento ha avuto il plauso di introdurre un quadro normativo armonizzato che si articola su cinque pillar:
- La gestione del rischio ICT
- La segnalazione degli incidenti di cibersicurezza
- I test di resilienza operativa (quali i TLPT)
- La gestione del rischio legato alle terze parti ICT, incluso il nuovo quadro di sorveglianza europeo sui fornitori critici di servizi ICT
- La condivisione delle informazioni, quali quelle relative le minacce significative
In questo sistema organico di presidi, i test di intrusione sono utili a verificare l’efficacia che le misure di sicurezza e i processi gestionali migliorino la capacità di rilevamento, la preparazione e la risposta agli incidenti operativi e agli attacchi di cibersicurezza.
In particolare, i TLPT non sono una semplice verifica delle vulnerabilità tecniche, ma mettono alla prova l’intera resilienza digitale di una organizzazione, con il coinvolgimento di sistemi, processi, persone e fornitori[3].
Prospettive future per Tiber-EU 2.0 e Dora
In virtù di quanto finora delineato, l’entrata in vigore, a gennaio scorso, del regolamento relativo alla resilienza operativa digitale per il settore finanziario ha reso necessario aggiornare il metodo Tiber-Eu e coerentemente rivedere le sue versioni nazionali.
Come si legge all’interno del materiale, condiviso da Banca d’Italia, per il recente Convegno “Threat-Led Penetration Testing, Dalle esperienze Tiber-IT alle regole sui TLPT di Dora”, l’aggiornamento del Tiber-IT nella sua versione 2.0 è prevista per il secondo quarto del 2025, mentre l’approvazione da parte della Commissione europea del Dora RTS (Regulatory Technical Standard) TLPT è avvenuta lo scorso 14 febbraio ed è attualmente in corso lo “scrutiny period” del Parlamento UE e Consiglio.
Al riguardo la BCE ricorda che non sono previste differenze tra i processi di test del Tiber-Eu e quelli previsti all’interno del regolamento Dora, cioè i requisiti fondamentali della Dora TLPT e del quadro Tiber-Eu sono identici. Ciò significa che i soggetti finanziari che completano un test nell’ambito di un’implementazione a livello nazionale o europeo del quadroTiber-Eu, a condizione che soddisfino i requisiti formali relativi alla TLPT stabiliti dalle autorità competenti, saranno conformi alla Dora TLPT.
L’esperienza e i risultati dei test che sono stati condotti fino a oggi in questo ambito saranno utili e, altrettanto, fondamentale continuare a garantire la possibilità di eseguire verifiche su base volontaria per tutti gli operatori non soggetti all’obbligo di Dora per garantire la resilienza del sistema nel suo complesso.
Note
[1] Art. 3 (17), Regolamento DORA.
[2] Austria, Belgio, Danimarca, Finlandia, Francia, Germania, Islanda, Irlanda, Italia, Lussemburgo, Paesi Bassi, Norvegia, Portogallo, Romania, Spagna, Svezia. Inoltre, la Banca Centrale Europea applica il framework a livello sovranazionale.
[3] I test di tipo TLPT: dalle esperienze del TIBER-IT alle regole di DORA, C. Scotti, Roma, 27 febbraio 2025.
