La Guidance on cyber resilience for financial market infrastructures, pubblicata dal CPMI-IOSCO a giugno 2016, ha posto per prima l’accento sul concetto di resilienza cibernetica come capacità di un’entità finanziaria di anticipare, resistere, contenere e ripristinare la propria operatività a seguito di un attacco cyber.
Il Comitato sui Pagamenti e le Infrastrutture di Mercato (CPMI) della Banca dei Regolamenti Internazionali, nel 2018, ha messo a punto un approccio organico per la riduzione del rischio di frode presso gli endpoints del sistema dei pagamenti all’ingrosso con il documento Reducing the risk of wholesale payments fraud related to endpoint security.
Le misure proposte si fondano su sette elementi: protezione degli asset informativi (hardware, software, dati), la gestione degli accessi fisici e logici, l’organizzazione e i processi secondo un approccio olistico alla sicurezza.
Dal 2016 sono stati pubblicati i Principi di alto livello rivolti a tutti gli operatori del settore finanziario dei paesi del G7 e ad essi si può fare riferimento su base volontaria:
A dicembre 2016, su iniziativa della Banca d’Italia e dell’Associazione Bancaria Italiana (ABI), è stato istituito il CERTFin (Computer Emergency Response Team).
Si tratta di una struttura specializzata nella cybersecurity nel settore bancario e finanziario. A tale organismo è affidato il compito di contribuire a prevenire e contrastare le minacce informatiche connesse con lo sviluppo delle nuove tecnologie e dell’economia digitale.
A dicembre 2018 la European Banking Authority ha diffuso le Guidelines on ICT and security risk management con l’obiettivo di disciplinare in un unico documento la gestione dei rischi IT derivanti da eventi sia interni sia esterni (si tratti di malfunzionamenti operativi, di data breach o attacchi cyber) riguardanti banche, imprese di investimento e prestatori di servizi di pagamento.
L’obiettivo è quello di definire un set minimo di regole applicabili presso tutte le categorie di operatori secondo un principio di proporzionalità in relazione alle dimensioni e alle caratteristiche delle singole realtà.
Il settore finanziario è fra quelli coperti dal decreto di recepimento della Direttiva (UE) 2016/1148, entrata in vigore in Italia nel giugno 2018, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione NIS (Network and Information Security Directive).
la Direttiva NIS si rivolge a due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:
Nel settembre 2020 è entrata in vigore la direttiva europea sui servizi di pagamento, nota come Payment Service Directive 2 – PSD2 (Direttiva EU 2015/2366) pubblicata in Gazzetta Ufficiale dell’Unione Europea il 25 novembre 2015.
La PSD2 disciplina la nascita di servizi innovativi per l’accesso ai conti e favorendo la creazione di nuovi player, cosiddetti TPP (Third Party Payment Services Provider) che potranno competere, o meglio cooperare, con i player tradizionali (banche, poste, istituti di pagamento, istituti di moneta elettronica). Tale approccio è altresì noto come open banking.
Aziende diverse dalla nostra banca possono così fornire servizi come gestione automatica dei pagamenti, monitoraggio finanziario, creazione di piani di accantonamento e così via prelevando direttamente i dati dal nostro conto e impartendo disposizioni al nostro posto.
Ai prestatori di servizi viene così imposto di predisporre canali dedicati per il dialogo con i fornitori dei nuovi servizi di disposizione degli ordini di pagamento (Payment Initiation Service Providers, PISP) e di informazione sui conti (Account Information Service Providers, AISP).
Ogni transazione, a prescindere se sia effettuata a distanza o di persona, deve passare attraverso un sistema di autorizzazione multilivello. Questo significa che non basterà più inserire username e password perché al momento della transazione verrà richiesto un ulteriore controllo che può esser basato su di un oggetto in nostro possesso o su di un dato biometrico.
A dicembre 2018 sono state pubblicate dalla BCE le CROE (Cyber Resilience Oversight Expectations) in tema di resilienza cibernetica per le infrastrutture di mercato.
Si tratta di un tool di supervisione utile a:
È stato così definito il framework TIBER-EU (European Threat Intelligence Based Ethical Red Teaming) per l’esecuzione di penetration test che possano rivelare eventuali punti deboli nei processi di controllo dei rischi cyber presso le singole entità e indicare, sia al management sia alle autorità di vigilanza, gli aspetti sui quali intervenire.