Bankitalia, Consob e Ivass hanno realizzato una nuova struttura per aiutare le società finanziarie a migliorare la propria cybersicurezza. Si chiama TIBER Cyber Team Italia (TCT) ed è un centro di competenza il cui funzionamento è assicurato da esperti delle tre autorità.
In sostanza, le entità finanziarie possono decidere di sottoporsi a un test sulla cybersicurezza attraverso il TCT: è sufficiente mettersi in contatto con la struttura inviando un’email all’indirizzo tiber-it@bancaditalia.it.
La Guida nazionale TIBER-IT
L’iniziativa è legata al fatto che Banca d’Italia, Consob e Ivass hanno adottato la Guida nazionale TIBER-IT, recependo così in ambito nazionale il modello di riferimento per la conduzione di test avanzati di cybersicurezza di tipo Threat-Led Penetration Testing (TLPT), armonizzati a livello europeo.
Il contenuto della Guida
In particolare, la Guida svolge tre funzioni:
- definisce la metodologia e il modello operativo per la conduzione di test di tipo TLPT da parte delle entità finanziarie italiane;
- individua le fasi in cui si articola il processo di test;
- definisce i ruoli e le attività dei diversi attori coinvolti (autorità, soggetto che effettua il test e fornitori esterni).
Gli obiettivi
“In continuità con le finalità della strategia congiunta per la sicurezza cibernetica del settore finanziario italiano emanata dalla Banca d’Italia e dalla Consob – si legge in una nota congiunta delle tre autorità – l’adozione della Guida consente di migliorare la resilienza cibernetica del sistema finanziario italiano e, per tale via, la sua stabilità complessiva”.
I destinatari
La Guida non si rivolge solo alle banche e alle assicurazioni italiane, ma anche ad altre tipologie di entità finanziarie:
- le infrastrutture di mercato;
- i gestori di sistemi di pagamento;
- i gestori di infrastrutture strumentali tecnologiche o di rete;
- le sedi di negoziazione;
- gli istituti di pagamento e gli istituti di moneta elettronica;
- gli intermediari finanziari;
Ogni azienda può decidere liberamente se sottoporsi al test “ed è responsabile della gestione di tutti i rischi correlati alla sua esecuzione, che avviene a cura di società scelte dall’entità che si sottopone al test – prosegue la nota – Le tre autorità indirizzano la programmazione dei test in linea con l’evoluzione degli scenari di rischio e la rilevanza delle entità finanziarie per la continuità di servizio del settore”.
