Cyber Security Act

il risk management per gli istituti finanziari

Di Serena Donegani, Compliance & Privacy Manager di Intesa

Il Cyber Security Act rappresenta un passaggio fondamentale per rafforzare la sicurezza informatica nel settore finanziario, imponendo un approccio integrato e normativo alla gestione del rischio informatico.

Le disposizioni in ambito security sono caratterizzate da processi produttivi e riproduttivi in costante evoluzione. Solo in Europa, oltre alle normative emanate dal Parlamento UE e dai singoli Stati, diversi organismi come EBA, ECB, ESMA ed EIOPA hanno definito regolamenti dedicati alla materia. A questi si aggiungono i documenti emessi da realtà internazionali come il Financial Stability Board (FSB) e il Comitato di Basilea.

Il Cyber Security Act è una delle tante normative che regolano la cybersecurity nel settore finanziario. Si tratta di un regolamento europeo pensato per rafforzare la sicurezza informatica nell’Unione Europea, creando un quadro comune volto a migliorare la resilienza digitale delle infrastrutture critiche, comprese quelle bancarie.

Nel mondo bancario, l’applicazione del Cyber Security Act impone un approccio integrato e coordinato alla gestione del rischio informatico, supportato da normative specifiche e da un sistema di certificazioni per dispositivi e servizi IT.

Ed è proprio sul risk management che si concentra l’attenzione, spesso con una percezione ambivalente. Da un lato, l’idea di dover gestire una pluralità di adempimenti e relative disposizioni può generare timore; dall’altro, queste normative dovrebbero essere viste come un passo avanti verso una maggiore coerenza e integrazione, perché costruite su obiettivi comuni e strutture allineate.

Tra le principali novità introdotte dal Cyber Security Act si nota una crescente attenzione all’interoperabilità tra le normative nazionali e comunitarie, insieme all’introduzione di meccanismi di coordinamento più stringenti tra le autorità di vigilanza. Il regolamento prevede inoltre maggiori obblighi di reportistica e trasparenza per le banche, un’adozione più ampia di standard tecnologici e certificazioni obbligatorie per alcuni servizi IT.

Se da un lato la reportistica aumenta, dall’altro crescono anche gli strumenti offerti da soggetti terzi che operano per e con gli istituti finanziari: incident report, risk assessment, controlli periodici, ecc. Il sistema tende quindi a rendere più efficiente la raccolta e la gestione dei dati legati alla sicurezza.

L’impiego dell’intelligenza artificiale per il monitoraggio e la risposta agli incidenti

Grande rilievo viene dato anche all’uso di tecnologie innovative, tra cui l’intelligenza artificiale, per migliorare il monitoraggio e la risposta agli incidenti, in linea con le migliori pratiche di incident e cyber risk management.

Il rischio cyber si distingue per alcune caratteristiche specifiche che lo rendono più complesso rispetto ai tradizionali rischi IT. Nelle valutazioni classiche si parte da una correlazione tra minacce e vulnerabilità, da cui si determina la probabilità e l’impatto di un evento. Nel caso del rischio cyber, però, questi parametri risultano spesso più difficili da stimare e meno definiti.

Oltre ai rischi noti (malware, man-in-the-middle, phishing, DDoS, cross-site scripting, password cracking, ecc.), le banche devono affrontare anche vulnerabilità sconosciute (zero-day vulnerabilities), imprevedibili e sfruttabili da attaccanti con modalità nuove. Situazioni di questo tipo richiedono una notevole capacità di reazione e strumenti efficaci per il ripristino dell’operatività.

In un contesto così dinamico, risulta fondamentale il monitoraggio continuo delle informazioni, sia interne che esterne, attraverso un’attività costante di threat intelligence.

La condivisione delle informazioni come elemento chiave di difesa comune

La condivisione delle informazioni non è solo un obiettivo del Cyber Security Act e della prossima normativa DORA, ma rappresenta anche un principio chiave alla base di molti altri regolamenti, come GDPR, Circolare 285 di Banca d’Italia, PSD2, NIS, che prevedono l’obbligo di notifica degli incidenti informatici, siano essi legati alla sicurezza o alla continuità operativa.

Questa crescente intelligibilità e interoperabilità normativa deve diventare un punto di forza, non un limite. Un quadro regolamentare definito e coerente non blocca, ma favorisce l’evoluzione: gli adempimenti non sono più solo formali, ma agiscono concretamente sull’efficacia dei sistemi di sicurezza, supportandone la verifica, il test e l’adeguamento continuo.

Scopri le soluzioni per la trasformazione digitale della tua azienda:

• Conservazione a Norma dei Documenti 
• Digital Onboarding dei Clienti 
• EDI – Electronic Data Interchange
• Piattaforma Fatturazione Elettronica
• Fatturazione Elettronica Estera
• Firma Elettronica Aziendale
• Sigillo Elettronico
• Software Gestione Documentale
• Supply Chain Management