LA GUIDA

Lo Swift Customer Security Controls Framework si aggiorna, per transazioni finanziarie più sicure

Swift ha aggiornato alla versione 2024 il suo Customer Security Controls Framework, con l’obiettivo di una sicurezza sempre più elevata nelle transazioni finanziarie. Ecco le principali novità

Pubblicato il 06 Set 2023

Michele Cortese

Security Analyst

Swift Customer Security Controls Framework

Con cadenza annuale, nel mese di luglio, Swift (Society for Worldwide Interbank Financial Telecommunication) rilascia una versione aggiornata del Customer Security Controls Framework (CSCF) al fine di rendere sempre più protetta l’infrastruttura Swift degli enti finanziari dagli attacchi informatici, sempre più numerosi e sofisticati.

Analizziamo, quindi, le principali novità della nuova versione del CSCF v2024.

Cosa è Swift

Swift è una società per le telecomunicazioni finanziarie interbancarie mondiali con sede in Belgio fondata negli anni 70 e a oggi risulta essere il principale sistema di transazioni che permette agli istituti finanziari aderenti di effettuare pagamenti, transfrontalieri e non, in maniera veloce e sicura.

Attualmente, aderiscono a Swift oltre 11mila organizzazioni – sia bancarie sia finanziarie – di oltre 200 Paesi in tutto il mondo.

Il Customer Security Controls Framework

Negli ultimi anni, si è intensificato il numero di attacchi informatici relativi ai pagamenti transfrontalieri e, nello specifico, anche verso gli utenti Swift.

Per fronteggiare quindi il cybercrime e supportare i propri utenti nella lotta contro le frodi informatiche, Swift ha lanciato nel 2016 il proprio Customer Security Programme (CSP).

Il CSP mette a disposizione un framework di controlli di sicurezza, distinguibili in obbligatori e consigliati, conosciuto come Customer Security Controls Framework (CSCF).

Tali controlli si basano su framework standard e best practice del settore più utilizzati e riconosciuti a livello globale, quali il Payment Card Industry Data Security Standard (PCI DSS), gli Information Security Management Systems (ISO/IEC 27000) e il National Institute of Standards and Technology (NIST).

Il CSCF è stato redatto al fine di aiutare gli istituti aderenti a rendere più protetti i propri ambienti e a favorire un ecosistema finanziario più sicuro.

Il CSCF si articola intorno a tre principali obiettivi:

  1. rendere sicuro l’ambiente;
  2. conoscere e controllare gli accessi;
  3. individuare e rispondere alle minacce.

Gli obiettivi sono supportati da sette principi cardine di sicurezza che rappresentano le aree di interesse prioritarie all’interno di ciascun obiettivo:

  1. Limitare gli accessi a Internet e proteggere le infrastrutture critiche dall’infrastruttura generale IT.
  2. Ridurre al minimo la superficie di attacco e le vulnerabilità.
  3. Proteggere fisicamente l’ambiente.
  4. Prevenire la compromissione delle credenziali.
  5. Gestire l’Identity Access Management.
  6. Rilevare attività anomale mediante i record di transazione o di sistema.
  7. Pianificare la condivisione delle informazioni e una risposta efficace agli incidenti.

Annualmente, Swift rilascia una nuova versione del Customer Security Controls Framework che include spesso aggiornamento significativi e modifiche minori.

I controlli di sicurezza del Customer Security Controls Framework

Nella nuova versione del CSCF v2024, rilasciata il 7 luglio scorso, i controlli di sicurezza richiesti sono 32, di cui 24 obbligatori (Mandatory) e 8 consultivi (Advisory).

I controlli di sicurezza obbligatori stabiliscono una base di sicurezza per l’intera comunità e devono essere implementati da tutti gli utenti sulla loro infrastruttura Swift locale. I controlli consultivi sono buone pratiche di sicurezza aggiuntive che Swift raccomanda agli utenti di implementare.

L’implementazione dei controlli opzionali è fortemente consigliata per rafforzare ulteriormente la robustezza dell’infrastruttura locale degli utenti.

Nel CSCF sono illustrate e descritte cinque architetture differenti che vanno a coprire tutte le tipologie di installazioni presenti presso la clientela e Swift richiede che gli enti finanziari identifichino quale delle cinque architetture di riferimento sia più vicina a quanto messo in campo nel proprio ambiente operativo per la trasmissione e ricezione dei messaggi; a seconda del tipo di architettura, l’utente dovrà rispettare o no alcuni controlli di sicurezza.

Swift Customer Security Controls Framework v2024: le novità

Tra le novità rilevanti della v2024 del CSCF spicca solo il passaggio da controllo Advisory a Mandatory per il controllo 2.8 “Outsourced Critical Activity Protection” nell’ambito del principio “Ridurre al minimo la superficie di attacco e le vulnerabilità”.

Nello specifico, l’obiettivo principale di questo controllo di sicurezza è quello di assicurare una maggiore protezione dell’infrastruttura Swift dai rischi derivanti dall’affidamento di attività critiche a fornitori terzi, ad esempio, a un fornitore esterno di servizi informatici, a un fornitore di cloud o a un agente di outsourcing, o a fornitori di servizi come ad esempio un service bureau, ora Business Connect o un fornitore di applicazioni Lite2 for Business.

L’infrastruttura Swift comprende diversi componenti, on-premise o remoti, spesso ospitati o gestiti da una terza parte, e tra tali componenti sono inclusi applicazioni, dispositivi di rete, token e altri supporti rimovibili e hardware di supporto.

Quando le attività critiche vengono esternalizzate a terzi o a fornitori di servizi, è essenziale che venga mantenuto almeno lo standard di sicurezza originario, oltre all’adesione al Customer Security Controls Framework, per garantire che non vengano introdotte nuove debolezze o vulnerabilità.

Pertanto, gli enti finanziari che interagiscono con fornitori di terze parti o fornitori di servizi per quanto su citato, devono, dopo aver identificato il loro tipo di architettura Swift, assicurarsi che le attività esternalizzate siano protette, come minimo, con lo stesso standard di cura come se fossero gestite all’interno dell’organizzazione e in linea con i controlli di sicurezza del CSCF.

Tali terze parti e fornitori di servizi sono autorizzati a fare affidamento sul loro programma di conformità che di solito si basa su certificazioni come ISO27001, NIST ecc. per essere conformi a quanto richiesto dal CSCF.

Il supporto di SWIFT sul nuovo controllo obbligatorio

Per aiutare gli assessor nel valutare la compliance degli enti finanziari al suddetto controllo del CSCF, Swift ha pubblicato nel mese di luglio una prima versione di un documento relativo al mapping dei controlli del CSCF v2024 con i controlli corrispondenti dei vari standard ISO27001, PCI DSS 4.0, SOC2 TSC 2017, NIST CSF v1.1.

Inoltre, Swift definisce delle attività che ritiene siano critiche e che per le quali risulta obbligatorio, da parte dell’ente finanziario, applicare il controllo 2.8 del CSCF.

Nonostante questo, il controllo “Outsourced Critical Activity Protection” rimane fortemente raccomandato anche quando le attività esternalizzate non sono ritenute critiche.

Di seguito, è presente un elenco di alcune attività che possono essere affidate a fornitori terzi e che sono considerate critiche da Swift e quindi oggetto di Assessment per il controllo 2.8:

  1. gestione della sicurezza e delle modifiche dell’hardware, compreso l’Hardware Security Module (HSM), e del software (comprese le applicazioni, il sistema operativo e la piattaforma o infrastruttura virtualizzata sottostante) che supportano l’infrastruttura Swift dell’ente finanziario;
  2. accesso a dati sensibili dell’utente (ad esempio, il contenuto dei messaggi) elaborati dall’infrastruttura Swift dell’ente finanziario;
  3. monitoraggio degli eventi generati dall’infrastruttura Swift che contengono dati sensibili dell’ente finanziario;
  4. gestione della rete e configurazione dell’infrastruttura Swift dell’ente finanziario.

Conformità al CSCF v2024

Agli enti finanziari è richiesto di dichiarare la propria compliance al CSCF v2024, attraverso l’utilizzo dell’applicazione KYC Security Attestation Application (KYC-SA), entro il mese di dicembre 2024.

La mancata esecuzione di un Independent Assessment nei tempi previsti e la pubblicazione di un’attestazione non pienamente conforme viene segnalata alle autorità di vigilanza e alle altre autorità di controllo e rese visibili alle controparti nell’applicazione KYC-SA.

Tuttavia, Swift dà la possibilità, tra gennaio e luglio dell’anno successivo, quindi nel corso del 2025, di risolvere le lacune di conformità (compliance gaps) e di ripresentare l’attestazione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

Le aziende sono sempre più vulnerabili e proteggere il futuro digitale è ormai cruciale