È una sfida senza precedenti quella che il settore bancario si prepara ad affrontare in ambito cybersecurity: l’imminente introduzione del Digital Operational Resilience Act (DORA) dell’UE segnerà infatti un momento cruciale verso la resilienza operativa digitale delle istituzioni finanziarie. Il regolamento, che entrerà in vigore il 17 gennaio 2025, mira a garantire che le banche possano affrontare e superare efficacemente disservizi operativi e minacce informatiche, proteggendo al contempo i dati sensibili dei clienti. L’obiettivo è stabilire un quadro universale per la gestione e la mitigazione dei rischi ICT, garantendo così una maggiore sicurezza e resilienza operativa nell’intero panorama di settore e responsabilizzando la catena di approvvigionamento per garantire ai consumatori servizi sempre più sicuri e affidabili.
Parte di un vasto insieme di misure stabilite dall’UE per aumentare la responsabilità sul fronte sicurezza, il regolamento DORA è obbligatorio per tutte le istituzioni finanziarie che operano nell’UE: banche, assicurazioni, società di investimento, fornitori di servizi crypto e piattaforme di crowdfunding, nonché per i loro fornitori terzi, tra cui cloud service provider, managed service provider, system integrator e software vendor. Data quindi la prospettiva ecosistemica della norma, è cruciale che tutte queste entità si facciano trovare preparate alla deadline di gennaio 2025 per garantire una transizione fluida e una conformità adeguata.
Indice degli argomenti
Uno scenario di minacce crescenti: la tutela del DORA
Lo scenario globale giustifica, con le sue evidenze, la ratio della normativa. Secondo il Threat Intelligence Report di Exprivia, il numero di attacchi e incidenti informatici ha reso il terzo trimestre 2024 uno dei peggiori degli ultimi anni, in particolare dell’ultimo biennio. È significativo che il 52% degli incidenti sia causato da attacchi alla catena di fornitura, il che spiega l’enfasi delle direttive recenti, come la NIS2 e la DORA, su questo tema critico. La NIS2, in particolare, amplia il panorama della sicurezza informatica includendo più settori critici e richiedendo standard di sicurezza più elevati, complementando così gli sforzi del DORA nel proteggere il settore finanziario. Tuttavia, è importante notare che il 48% degli incidenti non è legato alla supply chain, ma è dovuto a vulnerabilità interne, sottolineando la necessità per le banche di migliorare la sicurezza interna e la consapevolezza sui rischi legati al cybercrime.
Si tratta, nel complesso di dati che rendono evidente la necessità di un approccio integrato alla gestione del rischio ICT: “Non a caso DORA suggerisce il monitoraggio delle terze parti – osserva Filippo Giannelli, Vice Presidente & Direttore Mercati Privati di Exprivia, partner strategico per le banche che necessitano di supporto nella adozione del regolamento – Le banche, per molteplici ragioni, sono sempre più esposte ad attacchi informatici, pertanto la capacità di identificare, classificare e gestire i rischi legati alla supply chain diventa essenziale per ridurre le vulnerabilità.” Il nuovo Regolamento obbliga infatti l’intera filiera a diventare virtuosa, normando e monitorando ogni aspetto della resilienza, e promuovendo la condivisione delle informazioni sulle minacce. “Questo è un passaggio cruciale – aggiunge Giannelli -, in quanto l’UE obbliga l’intero settore finanziario a collaborare su questo tema specifico”.
I pilastri del DORA: la sfida della compliance
DORA non si limita alla sicurezza della supply chain. Il regolamento DORA si articola su cinque pilastri fondamentali: gestione del rischio ICT, classificazione e segnalazione degli incidenti, gestione del rischio delle terze parti, test di resilienza operativa e condivisione delle informazioni.
Sul fronte risk management, la normativa impone alle aziende di costruire un framework robusto per l’identificazione, la valutazione e la mitigazione dei rischi associati alle tecnologie dell’informazione. Questo comporta un monitoraggio più efficace delle infrastrutture IT, una protezione avanzata contro le vulnerabilità e l’implementazione di soluzioni che consentano di gestire gli incidenti in modo proattivo. Inoltre, DORA richiede che le istituzioni abbiano processi rigorosi per la classificazione e la segnalazione degli incidenti di sicurezza, il che implica l’adozione di sistemi avanzati di log e monitoring, in grado di rilevare anomalie in tempo reale e generare report dettagliati per le autorità competenti.
Altro aspetto critico, già citato, è poi la gestione del rischio delle terze parti, che obbliga le aziende a garantire che anche i loro fornitori e partner siano conformi agli standard di sicurezza richiesti. Ciò richiede audit regolari e strumenti per valutare la sicurezza e l’affidabilità delle terze parti. Ma la normativa impone anche l’esecuzione di test di resilienza operativa, che simula scenari di crisi per valutare la capacità di un’azienda di mantenere la continuità dei servizi: prove che includono esercitazioni di cybersecurity e piani di disaster recovery, fondamentali per assicurare che i processi critici possano continuare a funzionare anche in caso di interruzioni o attacchi. Infine, DORA promuove la condivisione delle informazioni riguardanti le minacce e gli incidenti di sicurezza, incentivando le aziende a sviluppare meccanismi di collaborazione e comunicazione sia all’interno del settore sia con le autorità di regolamentazione. Queste sfide richiedono non solo aggiornamenti tecnologici, ma anche un cambiamento culturale verso un approccio integrato e proattivo alla sicurezza e alla resilienza operativa.
Adeguarsi al DORA evitando rischi: le best practice da attuare
Come muoversi in questo mare magnum di incombenze, senza imbattersi nel rischio di compliance? Nel passaggio da DORA alla cyber resilienza, le banche possono adottare diverse best practice per rafforzare le loro difese contro le minacce informatiche. Filippo Giannelli evidenzia, seguendo la proposition Exprivia, un punto di partenza essenziale: “Favorire e gestire il concetto di assessment”, che permette di effettuare un’analisi di conformità a DORA per identificare le vulnerabilità esistenti. Questo processo si traduce in un report dettagliato che include raccomandazioni specifiche, e richiede un monitoraggio continuo per colmare i gap individuati. Ma altrettanto importante è “investire in formazione e sensibilizzazione”, specialmente per le terze parti che operano nel settore bancario. Queste devono comprendere a fondo la normativa e adottare un atteggiamento consapevole verso le nuove regole. L’obiettivo è diffondere un approccio più consapevole lungo tutta la filiera.
Il supporto continuativo è essenziale, poiché ottenere la conformità non è un traguardo immediato, ma un processo che si sviluppa nel tempo. Le esigenze e le risposte evolvono, quindi è necessario un adeguamento e un monitoraggio costante dei rischi, oltre alla capacità di adattarsi alle nuove sfide man mano che si presentano.
E anche se le strutture di difesa possono essere robuste, è importante ricordare che “gli attacchi informatici – puntualizza Giannelli – sono altrettanto sofisticati e imprevedibili. Di conseguenza, le banche devono essere sempre pronte a rispondere in modo efficace”. Infine, la condivisione delle informazioni è fondamentale, non solo perché prescritta dalla normativa, ma perché è impossibile garantire la sicurezza isolatamente: “In una rete, la forza della catena è determinata dall’anello più debole, quindi il consolidamento collettivo è essenziale”, mette in chiaro il rappresentante Exprivia.
Il supporto di Exprivia nell’adeguamento al DORA
Exprivia svolge un ruolo determinante nel supportare le istituzioni finanziarie nell’adeguarsi alla normativa DORA, migliorando la loro resilienza operativa attraverso un approccio olistico e integrato alla cybersecurity. Partendo dal Threat intelligence report, che rappresenta un pilastro fondamentale dell’offerta, Exprivia fornisce un supporto essenziale alle esigenze dei clienti, consentendo alla filiera di monitorare gli attacchi e condividere le logiche di risoluzione. In particolare, l’approccio di Exprivia non si limita a identificare le vulnerabilità esistenti tramite un “assessment strutturato per verificare i gap”, ma si estende anche a facilitare la copertura di tali lacune e a implementare un monitoraggio continuo. Giannelli enfatizza l’importanza della “riduzione del rischio”: Exprivia supporta i suoi clienti nella riduzione del rischio adottando le contromisure tecniche identificate, ma anche proponendo formazione e sensibilizzazione, garantendo una comprensione diffusa delle migliori pratiche e dei requisiti necessari alla resilienza digitale. Inoltre, sfruttando il proprio SOC (Security Operating Center), Exprivia garantisce il supporto continuativo al monitoring dell’infrastruttura digitale dei propri clienti.
“Un tempo pensavamo che la sicurezza informatica fosse deterministica, che bastassero strumenti di difesa per mettersi al sicuro, ma oggi tutto si fa più insidioso. Si arrivano anche a produrre deep fake e truffe finanziarie con l’AI”, fa notare Giannelli: questo mette in luce la necessità di una maggiore consapevolezza e formazione continua per mitigare i rischi, soprattutto quelli associati alla piaga sempre più devastante e cangiante del phishing.
In un tale contesto, il know-how di Exprivia sul banking, frutto di decenni di esperienza diretta nei processi interni delle banche, diventa un’arma decisiva. “La forza di un approccio che vada oltre la semplice struttura di cybersecurity, coinvolgendo anche le strutture business e sfruttando una conoscenza sinergica dei processi, della sicurezza e della normativa, si estende sull’intera struttura aziendale, permettendo di identificare e monitorare, processo per processo, tutti gli aspetti critici da tenere sotto controllo”, chiarisce Giannelli.
Oltre il DORA: trasformarsi per essere resilienti
Ma altrettanto cruciale è la vision sul futuro della cyber resilienza bancaria, che Exprivia sostiene con un duplice approccio all’Intelligenza Artificiale: da un lato minaccia, dall’altro opportunità. L’AI – spiega Giannelli – “rappresenta la vera sfida, fungendo sia da strumento di attacco e di difesa, sia da opportunità di condivisione e miglioramento sostanziale”.
In questo quadro, un atteggiamento maturo e compliant risulta decisivo: “La normativa DORA, con i suoi requisiti sempre più stringenti, comporta una collaborazione positiva lungo la filiera, ma funge anche da momento di selezione naturale per le strutture più deboli”, chiarisce. Tuttavia, nulla sarebbe possibile senza capitale umano. “La formazione e la sensibilizzazione restano cruciali, poiché senza personale adeguatamente preparato qualsiasi struttura risulterebbe inefficace”, conclude Filippo Giannelli.
Insomma: in un panorama in cui le minacce informatiche si evolvono rapidamente, le banche devono andare oltre le soluzioni tecnologiche tradizionali e abbracciare un cambiamento culturale che valorizzi l’apprendimento continuo e la collaborazione intersettoriale. “Con l’entrata in vigore del DORA – conclude Exprivia -, la sfida non sarà solo di conformità, ma di trasformazione integrale verso un futuro più sicuro e resiliente. Solo così sarà possibile non solo sopravvivere, ma prosperare in un ambiente sempre più digitalizzato e connesso”.
Contributo editoriale sviluppato in collaborazione con Exprivia.
