Con comunicato stampa del 16 gennaio 2020, Banca d’Italia e CONSOB hanno concordato una strategia comune per rafforzare la cyber security del settore finanziario attraverso specifiche misure per le seguenti strutture finanziarie: sistemi di pagamento, controparti centrali, depositari centrali e sedi di negoziazione dei titoli.
Il piano d’azione congiunto riguarda diverse aree di intervento, quali la regolamentazione e supervisione, cooperazione pubblico-privato, formazione e sviluppo di consapevolezza sui rischi cibernetici, e mira a 1) contrastare le minacce IT derivanti dallo sviluppo di nuove tecnologie e dall’economia digitale 2) incrementare la sicurezza delle istituzioni finanziarie, e dei servizi digitali offerti al governo, alle imprese, e ai consumatori di servizi digitali 3) assicurare la stabilità dell’intero sistema finanziario.
Le Autorità hanno annunciato che useranno i tools di cyber risk assessment, già adottati da Eurosystem, come CROE (Cyber Resilience Oversight Expectations for Financial Market Infrastructures)[1] che fornisce una metodologia di supervisione del cyber risk. Inoltre, Banca d’Italia e CONSOB svilupperanno TIBER-IT, un testing model basato sul framework europeo TIBER-EU (European Threat Intelligence-Based Ethical Red Teaming) e valuteranno come e quando troverà applicazione sugli istituti finanziari, tenendo conto del livello di preparazione degli operatori.
L’obiettivo di questa prima comunicazione è annunciare l’avvio di un framework nazionale, coerente e armonico con il framework europeo, dedicato alla resilienza del settore finanziario ai cyber attack. In particolare, TIBER-IT identifica la versione italiana del framework comunitario TIBER-EU, dedicato all’esecuzione di cyber security stress test o penetration test.
[1] Definite coerentemente con le Guidance on cyber resilience for financial market infrastructures, CPMI-IOSCO, 29 giugno 2016.
