La normativa cyber nel settore finanziario

Comitato sui Pagamenti e le Infrastrutture di Mercato (CPMI)

La Guidance on cyber resilience for financial market infrastructures, pubblicata dal CPMI-IOSCO a giugno 2016, ha posto per prima l’accento sul concetto di resilienza cibernetica come capacità di un’entità finanziaria di anticipare, resistere, contenere e ripristinare la propria operatività a seguito di un attacco cyber.

Il Comitato sui Pagamenti e le Infrastrutture di Mercato (CPMI) della Banca dei Regolamenti Internazionali, nel 2018, ha messo a punto un approccio organico per la riduzione del rischio di frode presso gli endpoints del sistema dei pagamenti all’ingrosso con il documento Reducing the risk of wholesale payments fraud related to endpoint security.

Le misure proposte si fondano su sette elementi: protezione degli asset informativi (hardware, software, dati), la gestione degli accessi fisici e logici, l’organizzazione e i processi secondo un approccio olistico alla sicurezza.

G7

Dal 2016 sono stati pubblicati i Principi di alto livello rivolti a tutti gli operatori del settore finanziario dei paesi del G7 e ad essi si può fare riferimento su base volontaria:

• Il G-7 Fundamental Elements of Cybersecurity for the Financial Sector nel 2016 definisce le strategie aziendali e i processi operativi di rafforzamento della cyber resilience e di valutazione dell’efficacia in relazione all’evolversi delle minacce esterne;
• Il G-7 Fundamental Elements for Effective Assessment of Cybersecurity in the Financial Sector nel 2017 definisce i principi metodologici per la valutazione dei livelli di sicurezza cibernetica indirizzati sia agli operatori sia alle autorità;
• Il G-7 Fundamental Elements for Threat-Led Penetration Testing nel 2018 definisce i principi per lo svolgimento di test avanzati di intrusione (i cosiddetti test di tipo red-teaming) per verificare e migliorare nel continuo le capacità di protezione, rilevamento e risposta agli incidenti cyber;
• Il G-7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector nel 2018 definisce i principi per la gestione del rischio di terze parti che gli operatori finanziari e gli stessi fornitori di servizi tecnologici e di rete possono utilizzare per valutare la propria cyber resilience e che le autorità possono considerare nel definire gli assetti normativi e i requisiti di vigilanza.

Banca d’Italia e Associazione Bancaria Italiana

A dicembre 2016, su iniziativa della Banca d’Italia e dell’Associazione Bancaria Italiana (ABI), è stato istituito il CERTFin (Computer Emergency Response Team).

Si tratta di una struttura specializzata nella cybersecurity nel settore bancario e finanziario. A tale organismo è affidato il compito di contribuire a prevenire e contrastare le minacce informatiche connesse con lo sviluppo delle nuove tecnologie e dell’economia digitale.

European Banking Authority

A dicembre 2018 la European Banking Authority ha diffuso le Guidelines on ICT and security risk management con l’obiettivo di disciplinare in un unico documento la gestione dei rischi IT derivanti da eventi sia interni sia esterni (si tratti di malfunzionamenti operativi, di data breach o attacchi cyber) riguardanti banche, imprese di investimento e prestatori di servizi di pagamento.

L’obiettivo è quello di definire un set minimo di regole applicabili presso tutte le categorie di operatori secondo un principio di proporzionalità in relazione alle dimensioni e alle caratteristiche delle singole realtà.

Commissione Europea

Il settore finanziario è fra quelli coperti dal decreto di recepimento della Direttiva (UE) 2016/1148, entrata in vigore in Italia nel giugno 2018, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione NIS (Network and Information Security Directive).

la Direttiva NIS si rivolge a due tipologie di operatori nell’ambito delle reti e dei sistemi informativi:

• i soggetti, pubblici o privati, che forniscono servizi cosiddetti essenziali per la società e l’economia definiti OES (Operatori di Servizi Essenziali) nei settori sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali;
• i FSD (Fornitori di Servizi Digitali), vale a dire le persone giuridiche che forniscono servizi di e-commerce, cloud computing e motori di ricerca con sede sociale (o rappresentante designato) sul territorio. Non sono soggetti alla Direttiva NIS i Fornitori di Servizi Digitali con meno di cinquanta dipendenti o con fatturato inferiore ai 10 milioni di euro l’anno.

Nel settembre 2020 è entrata in vigore la direttiva europea sui servizi di pagamento, nota come Payment Service Directive 2 – PSD2 (Direttiva EU 2015/2366) pubblicata in Gazzetta Ufficiale dell’Unione Europea il 25 novembre 2015.

La PSD2 disciplina la nascita di servizi innovativi per l’accesso ai conti e favorendo la creazione di nuovi player, cosiddetti TPP (Third Party Payment Services Provider) che potranno competere, o meglio cooperare, con i player tradizionali (banche, poste, istituti di pagamento, istituti di moneta elettronica). Tale approccio è altresì noto come open banking.

Aziende diverse dalla nostra banca possono così fornire servizi come gestione automatica dei pagamenti, monitoraggio finanziario, creazione di piani di accantonamento e così via prelevando direttamente i dati dal nostro conto e impartendo disposizioni al nostro posto.

Ai prestatori di servizi viene così imposto di predisporre canali dedicati per il dialogo con i fornitori dei nuovi servizi di disposizione degli ordini di pagamento (Payment Initiation Service Providers, PISP) e di informazione sui conti (Account Information Service Providers, AISP).

Ogni transazione, a prescindere se sia effettuata a distanza o di persona, deve passare attraverso un sistema di autorizzazione multilivello. Questo significa che non basterà più inserire username e password perché al momento della transazione verrà richiesto un ulteriore controllo che può esser basato su di un oggetto in nostro possesso o su di un dato biometrico.

Banca Centrale Europea

A dicembre 2018 sono state pubblicate dalla BCE le CROE (Cyber Resilience Oversight Expectations) in tema di resilienza cibernetica per le infrastrutture di mercato.

Si tratta di un tool di supervisione utile a:

• supportare le infrastrutture finanziarie con indicazioni dettagliate su come rendere operativa la Guidance e su come condurre il processo di autovalutazione;
• rappresentare uno strumento che le autorità possono utilizzare per vagliare le capacità di cyber resilience rispetto ad un livello atteso di maturità degli operatori vigilati definito a priori (levels of expectations);
• realizzare una base comune di confronto per una proficua e continua interazione tra le autorità e i soggetti regolati.

È stato così definito il framework TIBER-EU (European Threat Intelligence Based Ethical Red Teaming) per l’esecuzione di penetration test che possano rivelare eventuali punti deboli nei processi di controllo dei rischi cyber presso le singole entità e indicare, sia al management sia alle autorità di vigilanza, gli aspetti sui quali intervenire.

Bibliografia:

• https://www.ilsole24ore.com/art/cybersecurity-tutti-rischi-nuova-normativa-bancaria-spd2-ACCHLol?refresh_ce=1
• https://www.bancaditalia.it/pubblicazioni/interventi-vari/int-var-2019/Paolo_Marullo_Reedtz_CyberSecurity_14022019.pdf