Sono più che raddoppiate nel 2023 le segnalazioni di attacchi cyber inviate alla Banca d’Italia dalle banche e dai prestatori di servizi di pagamento: 30 contro le 13 del 2022, confermando la “forte accelerazione del numero di incidenti cyber l’anno scorso”. Ma se le grandi aziende ormai stanno studiando le contromisure necessarie, le pmi sono meno attrezzate a contrastare i rischi di attacchi cyber che, grazie ai progressi della tecnologia, risultano sempre più efficaci. Sono i dati forniti dal vice direttore di Via Nazionale, Paolo Angelini, in apertura del convegno “La cooperazione pubblico-privato per la resilienza cyber del settore finanziario. Le opportunità per gli operatori e il ruolo del CERTFin”.
Attacchi cyber in aumento. Angelini: “Necessaria cooperazione”
Il comparto finanziario e bancario, è particolarmente sensibile agli attacchi cyber, anche da parte di stati extra europei, ha spiegato il vice dg di Bankitalia, secondo cui la cooperazione fra gli stessi operatori, le autorità di controllo e altri soggetti sta diventando sempre più importante. “Il settore finanziario è un obiettivo privilegiato dei cybercriminali, per l’alta intensità tecnologica, la forte interdipendenza tra gli operatori della comunità finanziaria, nazionale e globale, e per il valore economico e strategico delle funzioni da esso svolte”, ha sottolineato Angelini, ricordando che nel 2023 “le segnalazioni più frequenti hanno riguardato la disponibilità di servizi offerti alla clientela talvolta attuati da soggetti che appaiono riconducibili a governi di Paesi extraeuropei”.
“Contromisure individuali, regolamentazione, supervisione, pur potenziate, non bastano a proteggere il settore da minacce sempre più sofisticate e insidiose. La cooperazione tra i vari attori coinvolti consente di promuovere la consapevolezza dei rischi connessi con le tecnologie più innovative, individuare tempestivamente le minacce e attivare le azioni di rimedio più efficaci”, ha detto il vicedirettore generale della Banca d’Italia, evidenziando che “in questo ambito la cooperazione tra gli intermediari finanziari, lungi dal rappresentare una minaccia per la concorrenzialità del mercato, costituisce un indispensabile strumento di contenimento del rischio”. Nonostante i progressi compiuti però “non vanno nascoste alcune difficoltà. La rilevanza del rischio cyber per un numero molto grande ed eterogeneo di soggetti crea difficoltà di coordinamento e ne eleva i costi. La pluralità delle iniziative che si sono venute sviluppando in materia evidenzia un quadro di riferimento complesso e a tratti frammentato, con conseguenti accresciute esigenze di raccordo informativo e operativo tra tutte le istituzioni coinvolte”, ha detto Angelini.
Angelini: Pmi meno pronte contro attacchi cyber
Le pmi sono meno attrezzate a contrastare i rischi di attacchi cyber. Come ha spiegato il vice dg della Banca d’Italia Paolo Angelini “anche soggetti con limitate capacità tecniche, finanziarie o organizzative” sono ora in grado “di acquistare o appaltare i servizi necessari per condurre efficaci attività illegali nel cyber-spazio. I cyber criminali beneficiano essi stessi del progresso tecnologico: gli sviluppi in materia di intelligenza artificiale e, in prospettiva, di computer quantistici, sono in grado di offrire nuove opportunità di sviluppo economico e sociale, ma anche di scardinare i meccanismi di sicurezza oggi prevalenti”.
Angelini ha citato un’indagine della Banca d’Italia secondo cui quasi il 90 per cento delle imprese è consapevole della possibilità di subire un attacco informatico. “Le imprese che sono state vittima di un attacco percepiscono un rischio più elevato, cui si associa un maggiore investimento in prevenzione. Le imprese più piccole, con un numero di addetti compreso tra 20 e 49, risultano meno consapevoli dei rischi cibernetici” rileva Angelini. Le aziende che ritengono per nulla probabile che un attacco cibernetico possa interessare un’impresa con le loro stesse caratteristiche sono il 14 per cento del campione, contro il 7 per cento tra le imprese con oltre 50 addetti”. “Non sorprende – conclude – quindi che gli attacchi ai sistemi informatici delle imprese prendano prevalentemente di mira quelle più grandi, che hanno maggiore capacità economica, ma sfruttino anche il minor grado di preparazione che caratterizza le imprese di dimensioni medie o piccole”.
Cybersicurezza: dal protocollo Certfin alla direttiva Dora
Il vice direttore generale della Banca d’Italia ha annunciato oggi la firma di un protocollo di intesa per la collaborazione per la prevenzione dei crimini informatici nel settore finanziario tra il CERTin e la Direzione centrale per la polizia scientifica e la sicurezza cibernetica del ministero dell’Interno verrà siglato oggi a Roma. “Ho il piacere di anticipare che oggi, dopo la prima tavola rotonda, verraà sottoscritto il Protocollo – ha affermato – “a testimonianza del comune impegno per rendere più sicuro l’ecosistema dei servizi finanziari digitali per il Paese e per i cittadini”. Il Cert Finanziario italiano (CertFin) è un’iniziativa cooperativa pubblico-privata finalizzata a migliorare la capacita’ di gestione del rischio informatico degli operatori finanziari e la cyber resilience del sistema finanziario italiano.
Nel frattempo, in vista dell’entrata in vigore, dal gennaio 2025 della direttiva Dora (Digital operations Resilience Act), che disciplinerà la resilienza operativa digitale nel settore finanziario, in Italia, rivela Angelini, “è in fase di conclusione la stesura della regolamentazione di secondo livello collegata alla normativa primaria. La Banca d’Italia – ha detto – ha partecipato con le altre Autorità competenti, italiane ed europee, alla messa a punto dei testi e si sta ora concentrando sugli impatti in termini di processi, metodologie e risorse necessarie per l’attuazione. Un aspetto che stiamo presidiando – aggiunge – è la coerenza di questo corpus normativo con le regole in tema di sicurezza delle reti e dei sistemi informativi, oggetto anch’esse di una significativa revisione con la prossima attuazione della Direttiva NIS2″. “Lavoriamo con le istituzioni interessate, tra cui il Mef, l’Acn e la Presidenza del Consiglio dei Ministri, per evitare incertezze applicative e duplicazioni di oneri per gli operatori”, ha concluso.
