dora e circolare 285

Sicurezza bancaria: come integrare misure fisiche e digitali per affrontare le nuove minacce



Indirizzo copiato

L’integrazione delle esigenze di sicurezza e resilienza fisica e digitale nelle banche è cruciale alla luce del DORA e della Circolare 285 della Banca d’Italia. La normativa prescrive misure specifiche per proteggere sistemi informatici e dati sensibili, ma presenta limiti nell’inclusione della sicurezza fisica come elemento fondamentale.

Pubblicato il 11 giu 2024

Stefano Piroddi

Senior Security Manager certificato UNI 10459:2017



Digital-Banking

Il settore bancario è uno degli ambienti più suscettibili a minacce di sicurezza, sia fisiche che digitali i cui scenari di rischio evolvono continuamente ponendo il settore stesso in una posizione di “pioniere” nel fronteggiare nuove e sempre più evolute tecniche di attacco.

Il contesto attuale della sicurezza bancaria

Con l’avvento delle tecnologie digitali, le banche sono diventate sempre più dipendenti da sistemi informatici complessi e interconnessi, esponendole a una vasta gamma di rischi, quali minacce cyber, frodi, furti e altre emergenze digitali. In questo contesto, la sicurezza e la resilienza fisica e digitale delle banche sono diventate priorità assolute, non solo per proteggere i clienti e le risorse finanziarie dell’istituzione, ma anche per garantire la stabilità e la fiducia nel sistema finanziario nel suo complesso.

Nel corso degli anni, le normative italiane e europee hanno introdotto una serie di disposizioni volte a regolamentare e promuovere la sicurezza e la resilienza delle operazioni bancarie.

L’importanza di DORA e Circolare 285

Tra queste il Digital Operations Resilience Act (DORA) e l’ultimo aggiornamento della Circolare 285 della Banca d’Italia sono tra le più significative e influenti.

Tali normative si aggiungono al “classico” inquadramento normativo su cui si basano la normativa di security e il dovere di protezione del datore di lavoro: l’articolo 2087 del Codice Civile, il Decreto Legislativo 81/08, il Decreto Legislativo 231/2001, codice penale e di procedura.

Il Digital Operations Resilience Act (DORA) e la Circolare 285 della Banca d’Italia sono invece strumenti specifici per garantire la sicurezza e la resilienza delle operazioni bancarie in ambito digitale. Questa normativa impone alle banche e ad altre istituzioni finanziarie di adottare misure specifiche per proteggere i loro sistemi informatici e i dati sensibili dei clienti.

La Circolare 285 della Banca d’Italia fornisce linee guida dettagliate sulle misure di sicurezza e resilienza che le banche italiane devono adottare per proteggere le proprie operazioni e i propri clienti dai rischi informatici. Integrazione delle esigenze di sicurezza e resilienza fisica e digitale.

Integrare sicurezza fisica e digitale: l’approccio olistico

Per integrare le esigenze di sicurezza e resilienza fisica e digitale delle banche alla luce del DORA e della Circolare 285 della Banca d’Italia, è fondamentale adottare un approccio olistico e multidimensionale alla sicurezza.

La normativa in questione cita gli aspetti di sicurezza fisica nei seguenti punti:

Tra i considerando del DORA: “Per conseguire una solida resilienza operativa digitale, e in linea con le norme internazionali (ad esempio gli elementi fondamentali del G7 per i test di penetrazione basati su minacce), le entità finanziarie dovrebbero sottoporre periodicamente a test il personale e i sistemi di TIC per valutarne l’efficacia delle capacità di prevenzione, individuazione, risposta e ripristino, allo scopo di scoprire e affrontare le potenziali vulnerabilità in materia di TIC. Per far fronte alle differenze che si riscontrano tra i vari sottosettori finanziari e all’interno di ognuno di essi relativamente alla preparazione delle entità finanziarie in materia di cibersicurezza, i test dovrebbero comprendere un’ampia varietà di strumenti e azioni, da una valutazione dei requisiti di base (ad esempio individuazione e valutazione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di software di scansione, esami del codice sorgente, ove possibile, test basati su scenari, test di compatibilità, test di prestazione o test end-to-end) fino a test più avanzati (ad esempio i test di penetrazione basati su minacce per quelle entità finanziarie che, dal punto di vista delle TIC, hanno raggiunto la maturità sufficiente per svolgere tali test). I test di resilienza operativa digitale dovrebbero essere pertanto più rigorosi per le entità finanziarie più importanti (come i grandi enti creditizi, le borse valori, i depositari centrali di titoli, le controparti centrali, ecc.). …”.

L’articolo 22 – Test di strumenti e sistemi di TIC

1. Il programma di test di resilienza operativa digitale di cui all’articolo 21 prevede l’esecuzione di una serie completa di test adeguati, tra cui individuazione e valutazione delle vulnerabilità, analisi open source, valutazioni della sicurezza delle reti, analisi delle carenze, esami della sicurezza fisica, questionari e soluzioni di software di scansione, esami del codice sorgente (ove fattibile), test di compatibilità, test basati su scenari, test di compatibilità, test di prestazione, test end-to-end o test di penetrazione.

L’articolo 30 – Compiti dell’autorità di sorveglianza capofila

1. L’autorità di sorveglianza capofila valuta se ciascun fornitore terzo di servizi di TIC critico abbia predisposto norme, procedure, meccanismi e accordi esaustivi, solidi ed efficaci per gestire i rischi relativi alle TIC cui esso può esporre le entità finanziarie.

2. La valutazione di cui al paragrafo 1 include almeno:

(a) prescrizioni in materia di TIC atte a garantire, in particolare, la sicurezza, la disponibilità, la continuità, la scalabilità e la qualità dei servizi che il fornitore terzo di servizi di TIC critico presta alle entità finanziarie, nonché la capacità di mantenere standard di sicurezza, riservatezza e integrità dei dati costantemente elevati;

(b) la sicurezza fisica che contribuisce a mantenere la sicurezza delle TIC, compresa la sicurezza dei locali, delle attrezzature e dei centri dati;

(c) i processi di gestione del rischio, comprese le politiche di gestione dei rischi relativi alle TIC, i piani per la continuità operativa delle TIC e per il piano di ripristino in caso di disastro relativo alle TIC;

(d) le disposizioni di governance, compresa una struttura organizzativa dotata di linee e norme in materia di responsabilità chiare, trasparenti e coerenti che consentano un’efficace gestione dei rischi relativi alle TIC;

(e) l’identificazione, il monitoraggio e la tempestiva segnalazione alle entità finanziarie degli incidenti connessi alle TIC, la gestione e la risoluzione di tali incidenti, in particolare degli attacchi informatici;

(f) i meccanismi per la portabilità dei dati, la portabilità delle applicazioni e l’interoperabilità, per assicurare un effettivo esercizio dei diritti di risoluzione da parte delle entità finanziarie;

(g) i test dei sistemi, delle infrastrutture e dei controlli relativi alle TIC;

(h) gli audit in materia di TIC;

(i) l’utilizzo delle pertinenti norme nazionali e internazionali applicabili alla fornitura dei servizi di TIC alle entità finanziarie.

3. Sulla base della valutazione di cui al paragrafo 1, l’autorità di sorveglianza capofila adotta un piano di sorveglianza individuale, chiaro, dettagliato e motivato per ciascun fornitore terzo di servizi di TIC critico. Tale piano è comunicato ogni anno al fornitore terzo di servizi di TIC critico.

4. Allorché i piani di sorveglianza annuali di cui al paragrafo 3 sono stati concordati e notificati ai fornitori terzi di servizi di TIC critici, le autorità competenti possono adottare misure concernenti i fornitori terzi di servizi di TIC critici soltanto in accordo con l’autorità di sorveglianza capofila.

È interessante altresì il contenuto della bozza di orientamento dell’ABE sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) e di sicurezza.

Rischio ICT e di sicurezza, le definizioni

“Rischio ICT e di sicurezza – Il rischio di perdita dovuta alla violazione della riservatezza, la carente integrità dei sistemi e dei dati, l’inadeguatezza o l’indisponibilità dei sistemi e dei dati o l’incapacità di sostituire la tecnologia dell’informazione (IT) entro ragionevoli limiti di tempo e costi nel caso di modifica dei requisiti del contesto esterno o dell’attività (ossia l’agilità)2. Questo comprende i rischi di sicurezza derivanti da processi interni inadeguati o errati o da eventi esterni, compresi gli attacchi informatici o una sicurezza fisica inadeguata.”

E più avanti nel corpo del testo..

1.4.3. Sicurezza fisica

“33. Gli istituti finanziari dovrebbero definire, documentare e attuare misure di sicurezza fisica per proteggere dall’accesso non autorizzato e da rischi ambientali i propri locali, data center e aree sensibili.

34. L’accesso fisico ai sistemi ICT dovrebbe essere permesso soltanto a persone autorizzate. L’autorizzazione dovrebbe essere rilasciata in base ai compiti e alle responsabilità individuali e limitandosi alle persone formate e monitorate in modo adeguato. L’accesso fisico dovrebbe essere riesaminato regolarmente per garantire che i diritti di accesso non più necessari siano revocati tempestivamente quando non richiesti.

35. Misure adeguate di protezione dai rischi ambientali dovrebbero essere commisurate all’importanza degli edifici e alla criticità delle operazioni o dei sistemi ICT situati al loro interno”.

Le definizioni nella circolare 285 della Banca d’Italia

“Rischio ICT e di sicurezza”: il rischio di incorrere in perdite dovuto alla violazione della

riservatezza, carente integrità dei sistemi e dei dati, inadeguatezza o indisponibilità dei

sistemi e dei dati o incapacità di sostituire la tecnologia dell’informazione (IT) entro

ragionevoli limiti di tempo e costi in caso di modifica dei requisiti del contesto esterno o

dell’attività (agility), nonché i rischi di sicurezza derivanti da processi interni inadeguati o

errati o da eventi esterni, inclusi gli attacchi informatici o un livello di sicurezza fisica

inadeguata. Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio è considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici”;

al punto in cui viene descritto il contenuto piano di continatà operativa:

“La frequenza dei back-up è correlata alle dimensioni e alle funzioni (8) dell’operatore; gli archivi di produzione dei processi critici sono duplicati almeno giornalmente. Sono assunte cautele per il tempestivo trasporto e la conservazione delle copie elettroniche in siti a elevata sicurezza fisica posti in luoghi remoti rispetto ai sistemi di produzione (9)”.

È evidente come la sicurezza fisica, pur trovando spazio nella normativa cogente, è declinata come uno strumento “a servizio” della sicurezza ICT.

Come dovrebbe muoversi un’organizzazione bancaria per essere compliant alla normativa

Come dovrebbe pertanto muoversi un’organizzazione bancaria per essere compliant alla normativa in questione dal punto di vista della sicurezza fisica?

In primis è opportuno avviare un processo di evoluzione che abbia i seguenti pilastri:

  • Valutazione dei rischi: le banche devono condurre valutazioni approfondite dei rischi sia fisici che digitali che possono influenzare le loro operazioni. Questo include identificare potenziali minacce esterne come frodi informatiche, attacchi hacker, e rischi interni come errori umani o malfunzionamenti dei sistemi.
  • Implementazione di misure di sicurezza fisica: le banche devono garantire la sicurezza fisica delle proprie sedi, delle apparecchiature e dei dati sensibili. Questo può includere l’installazione di sistemi di sorveglianza, l’implementazione di controlli di accesso fisico e la protezione fisica dei server e delle infrastrutture critiche.
  • Protezione dei dati e dei sistemi informatici: le banche devono adottare misure di sicurezza informatica robuste per proteggere i propri dati e sistemi informatici da intrusioni esterne e da attacchi informatici. Questo include l’implementazione di firewall, antivirus, sistemi di rilevamento delle intrusioni e crittografia dei dati sensibili.
  • Formazione e sensibilizzazione del personale: le banche devono fornire formazione e sensibilizzazione al proprio personale su pratiche sicure di lavoro, sia fisiche che digitali. Questo può includere corsi sulla sicurezza informatica, sessioni di sensibilizzazione sulla protezione dei dati e procedure di emergenza in caso di incidenti.
  • Monitoraggio continuo e risposta agli incidenti: le banche devono implementare sistemi di monitoraggio continuo per rilevare e rispondere prontamente agli incidenti di sicurezza, minimizzando così l’impatto potenziale sulle operazioni. Il monitoraggio continuo dei sistemi e delle reti informatiche può contribuire a identificare rapidamente le anomalie e le attività sospette, consentendo alle banche di intraprendere azioni correttive tempestive per proteggere i propri dati e risorse.
  • Collaborazione con le Autorità regolatorie: le banche dovrebbero collaborare attivamente con le autorità regolatorie per garantire la conformità alle disposizioni del DORA e della Circolare 285 e ottenere orientamenti aggiornati sulle migliori pratiche di sicurezza e resilienza. Le autorità regolatorie possono fornire un supporto prezioso alle banche nel comprendere e rispettare le normative e i requisiti di sicurezza applicabili, nonché nel fornire assistenza e consulenza in caso di emergenze o violazioni della sicurezza.

Sfide e difficoltà

Le maggiori sfide e difficoltà sono rappresentate tendenzialmente da:

  • Complessità tecnologica: le moderne infrastrutture IT delle banche sono estremamente complesse e interconnesse, il che rende difficile garantire la sicurezza e la resilienza in tutti i livelli del sistema. L’evoluzione rapida delle tecnologie e l’adozione di nuovi paradigmi, come il cloud computing e l’Internet delle cose (IoT), aumentano ulteriormente la complessità e la portata delle sfide.
  • Minacce cibernetiche in evoluzione: gli attacchi informatici stanno diventando sempre più sofisticati e mirati, con hacker e cybercriminali che utilizzano tecniche avanzate per compromettere i sistemi bancari e rubare dati sensibili. La crescente interconnessione tra dispositivi e infrastrutture digitali espone le banche a una vasta gamma di minacce, inclusi malware, phishing, ransomware e attacchi DDoS.
  • Regolamentazione in rapida evoluzione: le normative e le direttive nel settore finanziario stanno cambiando rapidamente, con nuove leggi come il DORA che impongono agli istituti finanziari di adottare misure aggiuntive per proteggere i propri sistemi e dati. L’adeguamento a tali regolamentazioni richiede un impegno continuo e risorse significative da parte delle banche, specialmente quelle di dimensioni più piccole o medie.
  • Costi elevati: implementare misure di sicurezza e resilienza avanzate può comportare costi significativi per le banche, specialmente quelle di dimensioni più piccole o medie. Gli investimenti in tecnologie e soluzioni di sicurezza, nonché in formazione e sensibilizzazione del personale, possono rappresentare un onere finanziario significativo per le istituzioni finanziarie, che potrebbero non sempre essere in grado di affrontarlo pienamente.

Opportunità nell’integrazione delle esigenze di sicurezza e resilienza

Allo stesso tempo è anche vero che vi sono una serie di importanti opportunità nell’integrazione delle esigenze di sicurezza e resilienza:

  • Investimenti tecnologici: le banche possono sfruttare le tecnologie emergenti come l’intelligenza artificiale, il machine learning e la crittografia avanzata per rafforzare la sicurezza e la resilienza dei propri sistemi digitali. Soluzioni innovative come la sicurezza basata sull’intelligenza artificiale possono aiutare le banche a identificare e mitigare le minacce cibernetiche in tempo reale, garantendo una maggiore protezione dei dati e delle risorse finanziarie dell’istituzione.
  • Collaborazione industriale: l’industria bancaria può collaborare con altri settori, come la tecnologia e la sicurezza informatica, per condividere le migliori pratiche e sviluppare soluzioni innovative per affrontare le minacce cibernetiche in evoluzione. La collaborazione tra istituti finanziari, fornitori di tecnologia e consulenti di sicurezza può favorire lo scambio di informazioni e conoscenze, consentendo alle banche di adottare approcci più efficaci alla gestione della sicurezza e della resilienza.
  • Adozione di tecnologie emergenti: le banche devono essere pronte ad adottare tecnologie emergenti come l’intelligenza artificiale, l’analisi dei big data e la blockchain per rafforzare la sicurezza e la resilienza delle loro operazioni. Ad esempio, l’uso di algoritmi di machine learning può aiutare a rilevare comportamenti anomali nei dati e prevenire potenziali minacce informatiche, mentre la blockchain può migliorare la trasparenza e l’integrità delle transazioni finanziarie.

La visione futura della sicurezza bancaria

È evidente come l’asset attuale della normativa descriva la sicurezza fisica solo in funzione e a servizio della sicurezza delle informazioni digitali.

In questi termini l’approccio appare quanto meno riduttivo atteso che in realtà la security bancaria necessariamente deve adottare un approccio olistico alla sicurezza, che includa non solo misure tecnologiche, ma anche politiche, procedure e processi per proteggere il proprio personale, gli asset fisici, le filiali, i propri sistemi e dati.

Questo si sostanzia non solo nell’implementazione di politiche di accesso, procedure di gestione delle emergenze e protocolli di risposta agli incidenti ma anche nell’adozione di misure a tutela della sicurezza fisica delle proprie filiali e sedi. Ciò include l’installazione di sistemi di allarme e sorveglianza, l’implementazione di procedure di controllo degli accessi e la formazione del personale sulla gestione delle emergenze. Inoltre, le banche devono valutare e mitigare i rischi associati alla sicurezza delle strutture fisiche, come i furti, gli attacchi vandalici e le minacce terroristiche.

Conclusioni

In conclusione, l’integrazione delle esigenze di sicurezza e resilienza fisica e digitale delle banche richiede un approccio strategico e multidimensionale che comprenda standard di sicurezza, protezione dei dati, continuità operativa, formazione del personale e conformità normativa. Solo attraverso un impegno continuo e una vigilanza costante le banche possono garantire la protezione dei loro clienti e delle loro attività in un ambiente sempre più complesso e pericoloso.

In questo processo il ruolo della sicurezza fisica non è ridotto a “servizio” della sicurezza logica ma è sicuramente auspicabile un riconoscimento anche normativo in tal senso in quanto porterebbe alla necessità di avere un minimo livello comune di compliance ai dettami normativi di sicurezza fisica di tutte le istituzioni bancarie e finanziarie a tutela dell’intero sistema.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3