DORA

Chi nel mondo finanziario e assicurativo in Europa non ha sentito parlare del cosiddetto Regolamento “DORA” sulla resilienza operativa digitale? Penso veramente in pochi considerando che sta impegnando gli uffici di compliance, e non solo, di tutta Europa dediti a garantirne una completa conformità entro fine anno. 

DORA, il Regolamento (UE) 2022/2554, si pone come obiettivo l’armonizzazione delle regole di ICT governance e gestione dei rischi ICT per le entità finanziarie nell’UE.

Stabilisce obblighi uniformi in materia di gestione dei rischi ICT, incidenti, test di resilienza operativa, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, misure relative alle terze parti, continuità operativa.

Si applica a tutte le istituzioni finanziarie che operano nell’UE e non parliamo solo di entità finanziarie tradizionali, ma anche di società di assicurazione e riassicurazione ed entità finanziarie emergenti quali ad esempio fornitori di servizi di crowdfunding e di criptovalute, i fornitori terzi di servizi ICT.

Interessando realtà molto differenti per settore, dimensioni, attività, il Regolamento prevede l’applicazione del principio di “proporzionalità” secondo il quale le Entità devono applicare la norma tenendo in considerazione le loro dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e della operatività. Tale principio, prevede dunque che l’Entità debba definire come applicare gli obblighi previsti in base alle proprie specificità che saranno prese in considerazione da parte delle autorità competenti in sede di eventuale riesame di conformità al Regolamento.

Uno dei temi più discussi è la gestione degli incidenti. Pur non essendo un argomento nuovo nel settore finanziario in EU, presenta diverse novità, dai nuovi criteri e soglie per la classificazione degli incidenti gravi connessi alle Tecnologie dell’Informazione e della Comunicazione, c.d. TIC, introducendo all’interno della classificazione anche il tema degli incidenti ricorrenti, al calcolo dei costi e delle perdite associate agli incidenti gravi e dell’identificazione delle minacce informatiche significative, prevedendo anche in questo caso dei criteri di classificazione. 

Entriamo dunque nello specifico, da dove deve partire un’entità finanziaria per essere conforme al Regolamento in materia di gestione incidenti? 

Di sicuro da un corretto monitoraggio degli eventi e da un processo di gestione degli incidenti connessi alle TIC, tale da eliminarne le cause di fondo e prevenirne il riverificarsi. 

Il monitoraggio degli eventi di sicurezza deve essere basato su soglie di allarme, per consentire l’identificazione di attività e comportamenti anomali, e su criteri e meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti, per avviare i processi di gestione e risposta agli incidenti. 

Il processo di gestione degli incidenti deve essere ben definito e devono essere chiaramente assegnati ruoli e responsabilità. L’Entità finanziaria deve applicare procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità, stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi, analizzare le cause di fondo e attuare le azioni necessarie ad evitare il riverificarsi dell’incidente. 

Il tema del miglioramento continuo e del prevenire il verificarsi di incidenti è molto sentito, al punto da introdurre il concetto di incidenti ricorrenti che possono indicare carenze e punti deboli significativi nelle procedure di gestione degli incidenti e dei rischi dell’organizzazione. 

Il Regolamento richiede alle entità finanziare di verificare su base mensile la presenza di incidenti ricorrenti collegati da un’apparente causa di fondo simile. In particolare, prevede che gli incidenti ricorrenti che singolarmente non sono considerati incidenti gravi debbano essere considerati come un unico grave incidente se soddisfano tutte le condizioni seguenti: 

1. si sono verificati almeno due volte nell’arco di sei mesi;
2.  presentano la stessa apparente causa di fondo;
3. soddisfano collettivamente i criteri DORA per essere considerati un grave incidente.

Nel caso di identificazione di incidente grave dovuto a incidenti ricorrenti, questo dovrà essere gestito come qualsiasi altro incidente grave in tutti i suoi aspetti, inclusi quelli di notifica verso le autorità competenti. 

È bene sottolineare che non è necessario che l’incidente ricorrente impatti sempre lo stesso servizio critico, ma solo che siano soddisfatte le tre condizioni succitate. Obiettivo del Regolamento è rendere consapevole l’Entità dei punti deboli associati a più incidenti quali processi non correttamente presidiati, carenze tecnologiche oppure organizzative per porne rimedio ed eliminare la causa. 

La domanda a questo punto nasce spontanea, quali sono i criteri per classificare un incidente grave? La risposta non è semplice, i criteri sono diversi e in alcuni casi non facili da determinare in sede di incidente. Lo stesso Regolamento prevede che le entità finanziarie possano applicare delle stime per diversi criteri qualora non siano in grado di calcolarle. 

Il prerequisito affinché un incidente possa essere considerato grave è che impatti un servizio critico e per farlo, le entità finanziarie valutano se l’incidente interessa o ha interessato servizi TIC o sistemi informatici e di rete a supporto di funzioni essenziali o importanti dell’entità finanziaria o servizi finanziari forniti dall’entità finanziaria che richiedono l’autorizzazione, la registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti. Un incidente su un servizio non critico non può essere classificato come grave ai fini DORA. 

Questo ci fa capire come per una corretta gestione e classificazione di un incidente sia indispensabile una identificazione dei servizi critici e delle catene tecnologiche ad essi associate per poterne comprendere immediatamente e a fondo gli impatti in caso di incidente. 

La criticità del servizio interessato non è sufficiente affinché un incidente sia classificato grave. L’incidente TIC deve aver comportato anche accessi non autorizzati, dolosi e riusciti ai sistemi informatici e di rete, laddove tali accessi possono comportare perdite di dati1, oppure soddisfare le soglie di materialità di almeno due dei sei seguenti criteri individuati dal Regolamento² :

• clienti, controparti finanziarie e transazioni: il criterio si attiva qualora l’incidente interessi: a) oltre 100.000 clienti o il 10% del numero dei clienti o clienti individuati come rilevanti; b) oltre il 10% del numero delle transazioni o il 10% della quantità delle transazioni; c) oltre il 30% di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato dall’incidente oppure in generale controparti finanziarie individuate come rilevanti. Il Regolamento introduce infatti il tema dei clienti e delle controparti rilevanti intese come quei soggetti (clienti o controparti) che se impattati dall’incidente potrebbero incidere sulla realizzazione degli obiettivi commerciali dell’Entità nonché sull’efficienza del mercato. 

• perdita di dati: il criterio si attiva se si verifica un impatto sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. 

• impatto sulla reputazione: nel valutare tale criterio le entità finanziarie tengono conto del livello di visibilità che l’incidente ha acquisito o potrebbe acquisire in relazione a diversi fattori quali la diffusione della notizia sui media con enfasi del relativo impatto, i reclami ripetuti dei clienti o controparti, la possibile incapacità di soddisfare i requisiti normativi, la possibile perdita di clienti o controparti finanziarie, con un impatto significativo sulla sua attività. 

• durata dell’incidente e il periodo di inattività del servizio: il criterio si attiva se sono raggiunte rispettivamente le 24 ore (durata dell’incidente) e le 2 ore (inattività del servizio). La durata dell’incidente viene calcolata dal momento in cui si verifica (o è stato individuato) l’incidente fino al momento in cui lo stesso è risolto. Il periodo di inattività del servizio, invece, viene considerato dal momento in cui quest’ultimo è totalmente o parzialmente indisponibile per i clienti, le controparti finanziarie e/o altri utenti interni o esterni fino al momento in cui sono ripristinate le regolari attività o le operazioni al livello di servizio fornito prima dell’incidente. 

• estensione geografica: riflette l’impatto transfrontaliero eventualmente avuto dell’incidente. Il criterio si attiva se è previsto l’impatto su almeno due stati membri. 

• impatto economico: il criterio si attiva se i costi e le perdite sostenute dall’entità a seguito dell’incidente supera o potrebbe superare complessivamente i 100.000 euro. Il regolamento fornisce una lista di costi e perdite da prendere in considerazione quali ad esempio le perdite dovute ai mancati introiti, i costi del personale, di consulenza, di comunicazione, le spese per inosservanza di obblighi contrattuali, risarcimenti e indennizzi ai clienti. 

Nella seguente immagine è presente lo schema proposto dalle Autorità Europee. Come rappresentato, un incidente non è grave se non interessa un servizio critico o quando impatta un servizio critico ma non ha comportato perdite di dati a seguito di accessi malevoli e non attiva almeno due criteri. 

dei costi e delle perdite annuali aggregate sostenute a seguito di incidenti. Tranne le microimprese, tutte le entità finanziarie dovranno comunicare la suddetta stima alle autorità competenti in caso di richiesta. 

Tale valutazione non dovrà considerare solo la somma dei costi e delle perdite sostenute dall’entità finanziaria a seguito di gravi incidenti TIC (criterio impatto economico) ma dovrà detrarre da essa gli eventuali recuperi finanziari associati all’incidente quali ad esempio risarcimenti da fornitori coinvolti nell’incidente o assicurativi, recuperi fiscali, recuperi di transazioni errate a seguito di malfunzionamenti. 

Vi chiederete perché calcolare i costi e le perdite aggregate legate agli incidenti gravi se già viene calcolato l’impatto economico del singolo incidente grave? L’obiettivo è innalzare la consapevolezza delle entità finanziare. Il Regolamento mira, infatti, a potenziare la resilienza operativa digitale delle entità finanziarie anche aumentando la consapevolezza sui gravi incidenti TIC e le loro conseguenze e su quanto la mancanza di resilienza operativa possa compromettere la solidità dell’entità stessa. Una consapevolezza a tutti i livelli. È infatti previsto che le entità finanziarie segnalino agli alti dirigenti interessati almeno gli incidenti gravi connessi alle TIC e informino l’organo di gestione illustrandone l’impatto, la risposta e i controlli supplementari da introdurre. 

La consapevolezza non deve essere alimentata solo post incidente ma anche e soprattutto prima che si verifichi un incidente. Per questo motivo le autorità europee richiedono che le entità finanziarie identifichino le cosiddette minacce informatiche significative, ovvero quelle minacce che hanno un’elevata probabilità di concretizzarsi e che in tal caso potrebbero impattare i servizi critici, comportare un incidente e attivare le soglie di rilevanza dei criteri DORA. 

Per essere conformi al Regolamento, le entità finanziarie si devono dotate di una metodologia di classificazione delle minacce significative, censirle in un apposito registro e notificarle alle autorità competenti su base volontaria qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. 

Sempre in tema di gestione incidenti, alle entità finanziare è richiesto di censire gli incidenti in apposito registro, conservare la documentazione inerente agli incidenti per un tempo congruo per le finalità previste e di notificare alle autorità competenti gli incidenti gravi connessi alle TIC e, su base volontaria, le minacce informatiche significative. 

In conclusione, DORA introduce diverse novità sul tema gestione incidenti per rendere le entità finanziarie più resilienti e consapevoli dei rischi a cui sono soggette. Per una corretta attuazione del Regolamento in materia di gestione incidenti le entità dovranno recepire in primis le grandi novità di DORA aggiornando le proprie metodologie di classificazione adeguandole ai nuovi criteri e soglie introducendo tutti i processi necessari alla corretta stima/ valorizzazione, introdurre verifiche almeno su base mensile per l’identificazione di incidenti gravi da incidenti ricorrenti, adottare delle metodologie per l’identificazione delle minacce significative, effettuare una stima dei costi e delle perdite aggregati annuali dovuti a gravi incidenti connessi alle TIC. Non da meno sarà necessario rivedere i propri processi di monitoraggio e gestione. 

Infine, è bene ricordare che la conformità al Regolamento è soggetta a verifica da parte delle autorità competenti che hanno la facoltà di imporre sanzioni e richiedere l’applicazione di misure correttive e di riparazione per le violazioni dei requisiti del Regolamento. In caso di verifica, tali autorità possono avere accesso a qualsiasi documento o dato considerato pertinente e svolgere ispezioni o indagini in loco. 

Autore: Elena Mena Agresti

_________________

1. Art.9, 5. B REGOLAMENTO (UE) 2022/2554
2. Art. 8 REGOLAMENTO DELEGATO (UE) 2024/1772 del 13 marzo 2024

L'articolo Regolamento DORA e gestione degli incidenti connessi alle TIC proviene da Rivista Cybersecurity Trends.

Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.

Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte

Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.

Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.

Quadro di gestione dei rischi informatici

Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.

Funzione di controllo indipendente

Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.

Penetration test obbligatori ogni tre anni

Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.

I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.

Nuove regole per la segnalazione degli incidenti

Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.

Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.

Un cambiamento per l’intero settore finanziario

Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.

https://www.corrierecomunicazioni.it/cyber-security/cloud-e-cybersecurity-il-17-gennaio-scatta-dora-cosa-cambia-per-le-aziende-italiane/

L'articolo DORA al via il 17 gennaio: cosa cambia per le aziende italiane proviene da Rivista Cybersecurity Trends.

Chi nel mondo finanziario e assicurativo in Europa non ha sentito parlare del cosiddetto Regolamento “DORA” sulla resilienza operativa digitale? Penso veramente in pochi considerando che sta impegnando gli uffici di compliance, e non solo, di tutta Europa dediti a garantirne una completa conformità entro fine anno. 

DORA, il Regolamento (UE) 2022/2554, si pone come obiettivo l’armonizzazione delle regole di ICT governance e gestione dei rischi ICT per le entità finanziarie nell’UE.

Stabilisce obblighi uniformi in materia di gestione dei rischi ICT, incidenti, test di resilienza operativa, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, misure relative alle terze parti, continuità operativa.

Si applica a tutte le istituzioni finanziarie che operano nell’UE e non parliamo solo di entità finanziarie tradizionali, ma anche di società di assicurazione e riassicurazione ed entità finanziarie emergenti quali ad esempio fornitori di servizi di crowdfunding e di criptovalute, i fornitori terzi di servizi ICT.

Interessando realtà molto differenti per settore, dimensioni, attività, il Regolamento prevede l’applicazione del principio di “proporzionalità” secondo il quale le Entità devono applicare la norma tenendo in considerazione le loro dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e della operatività. Tale principio, prevede dunque che l’Entità debba definire come applicare gli obblighi previsti in base alle proprie specificità che saranno prese in considerazione da parte delle autorità competenti in sede di eventuale riesame di conformità al Regolamento.

Uno dei temi più discussi è la gestione degli incidenti. Pur non essendo un argomento nuovo nel settore finanziario in EU, presenta diverse novità, dai nuovi criteri e soglie per la classificazione degli incidenti gravi connessi alle Tecnologie dell’Informazione e della Comunicazione, c.d. TIC, introducendo all’interno della classificazione anche il tema degli incidenti ricorrenti, al calcolo dei costi e delle perdite associate agli incidenti gravi e dell’identificazione delle minacce informatiche significative, prevedendo anche in questo caso dei criteri di classificazione. 

Entriamo dunque nello specifico, da dove deve partire un’entità finanziaria per essere conforme al Regolamento in materia di gestione incidenti? 

Di sicuro da un corretto monitoraggio degli eventi e da un processo di gestione degli incidenti connessi alle TIC, tale da eliminarne le cause di fondo e prevenirne il riverificarsi. 

Il monitoraggio degli eventi di sicurezza deve essere basato su soglie di allarme, per consentire l’identificazione di attività e comportamenti anomali, e su criteri e meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti, per avviare i processi di gestione e risposta agli incidenti. 

Il processo di gestione degli incidenti deve essere ben definito e devono essere chiaramente assegnati ruoli e responsabilità. L’Entità finanziaria deve applicare procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità, stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi, analizzare le cause di fondo e attuare le azioni necessarie ad evitare il riverificarsi dell’incidente. 

Il tema del miglioramento continuo e del prevenire il verificarsi di incidenti è molto sentito, al punto da introdurre il concetto di incidenti ricorrenti che possono indicare carenze e punti deboli significativi nelle procedure di gestione degli incidenti e dei rischi dell’organizzazione. 

Il Regolamento richiede alle entità finanziare di verificare su base mensile la presenza di incidenti ricorrenti collegati da un’apparente causa di fondo simile. In particolare, prevede che gli incidenti ricorrenti che singolarmente non sono considerati incidenti gravi debbano essere considerati come un unico grave incidente se soddisfano tutte le condizioni seguenti: 

1. si sono verificati almeno due volte nell’arco di sei mesi;
2.  presentano la stessa apparente causa di fondo;
3. soddisfano collettivamente i criteri DORA per essere considerati un grave incidente.

Nel caso di identificazione di incidente grave dovuto a incidenti ricorrenti, questo dovrà essere gestito come qualsiasi altro incidente grave in tutti i suoi aspetti, inclusi quelli di notifica verso le autorità competenti. 

È bene sottolineare che non è necessario che l’incidente ricorrente impatti sempre lo stesso servizio critico, ma solo che siano soddisfatte le tre condizioni succitate. Obiettivo del Regolamento è rendere consapevole l’Entità dei punti deboli associati a più incidenti quali processi non correttamente presidiati, carenze tecnologiche oppure organizzative per porne rimedio ed eliminare la causa. 

La domanda a questo punto nasce spontanea, quali sono i criteri per classificare un incidente grave? La risposta non è semplice, i criteri sono diversi e in alcuni casi non facili da determinare in sede di incidente. Lo stesso Regolamento prevede che le entità finanziarie possano applicare delle stime per diversi criteri qualora non siano in grado di calcolarle. 

Il prerequisito affinché un incidente possa essere considerato grave è che impatti un servizio critico e per farlo, le entità finanziarie valutano se l’incidente interessa o ha interessato servizi TIC o sistemi informatici e di rete a supporto di funzioni essenziali o importanti dell’entità finanziaria o servizi finanziari forniti dall’entità finanziaria che richiedono l’autorizzazione, la registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti. Un incidente su un servizio non critico non può essere classificato come grave ai fini DORA. 

Questo ci fa capire come per una corretta gestione e classificazione di un incidente sia indispensabile una identificazione dei servizi critici e delle catene tecnologiche ad essi associate per poterne comprendere immediatamente e a fondo gli impatti in caso di incidente. 

La criticità del servizio interessato non è sufficiente affinché un incidente sia classificato grave. L’incidente TIC deve aver comportato anche accessi non autorizzati, dolosi e riusciti ai sistemi informatici e di rete, laddove tali accessi possono comportare perdite di dati1, oppure soddisfare le soglie di materialità di almeno due dei sei seguenti criteri individuati dal Regolamento² :

• clienti, controparti finanziarie e transazioni: il criterio si attiva qualora l’incidente interessi: a) oltre 100.000 clienti o il 10% del numero dei clienti o clienti individuati come rilevanti; b) oltre il 10% del numero delle transazioni o il 10% della quantità delle transazioni; c) oltre il 30% di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato dall’incidente oppure in generale controparti finanziarie individuate come rilevanti. Il Regolamento introduce infatti il tema dei clienti e delle controparti rilevanti intese come quei soggetti (clienti o controparti) che se impattati dall’incidente potrebbero incidere sulla realizzazione degli obiettivi commerciali dell’Entità nonché sull’efficienza del mercato. 

• perdita di dati: il criterio si attiva se si verifica un impatto sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. 

• impatto sulla reputazione: nel valutare tale criterio le entità finanziarie tengono conto del livello di visibilità che l’incidente ha acquisito o potrebbe acquisire in relazione a diversi fattori quali la diffusione della notizia sui media con enfasi del relativo impatto, i reclami ripetuti dei clienti o controparti, la possibile incapacità di soddisfare i requisiti normativi, la possibile perdita di clienti o controparti finanziarie, con un impatto significativo sulla sua attività. 

• durata dell’incidente e il periodo di inattività del servizio: il criterio si attiva se sono raggiunte rispettivamente le 24 ore (durata dell’incidente) e le 2 ore (inattività del servizio). La durata dell’incidente viene calcolata dal momento in cui si verifica (o è stato individuato) l’incidente fino al momento in cui lo stesso è risolto. Il periodo di inattività del servizio, invece, viene considerato dal momento in cui quest’ultimo è totalmente o parzialmente indisponibile per i clienti, le controparti finanziarie e/o altri utenti interni o esterni fino al momento in cui sono ripristinate le regolari attività o le operazioni al livello di servizio fornito prima dell’incidente. 

• estensione geografica: riflette l’impatto transfrontaliero eventualmente avuto dell’incidente. Il criterio si attiva se è previsto l’impatto su almeno due stati membri. 

• impatto economico: il criterio si attiva se i costi e le perdite sostenute dall’entità a seguito dell’incidente supera o potrebbe superare complessivamente i 100.000 euro. Il regolamento fornisce una lista di costi e perdite da prendere in considerazione quali ad esempio le perdite dovute ai mancati introiti, i costi del personale, di consulenza, di comunicazione, le spese per inosservanza di obblighi contrattuali, risarcimenti e indennizzi ai clienti. 

Nella seguente immagine è presente lo schema proposto dalle Autorità Europee. Come rappresentato, un incidente non è grave se non interessa un servizio critico o quando impatta un servizio critico ma non ha comportato perdite di dati a seguito di accessi malevoli e non attiva almeno due criteri. 

dei costi e delle perdite annuali aggregate sostenute a seguito di incidenti. Tranne le microimprese, tutte le entità finanziarie dovranno comunicare la suddetta stima alle autorità competenti in caso di richiesta. 

Tale valutazione non dovrà considerare solo la somma dei costi e delle perdite sostenute dall’entità finanziaria a seguito di gravi incidenti TIC (criterio impatto economico) ma dovrà detrarre da essa gli eventuali recuperi finanziari associati all’incidente quali ad esempio risarcimenti da fornitori coinvolti nell’incidente o assicurativi, recuperi fiscali, recuperi di transazioni errate a seguito di malfunzionamenti. 

Vi chiederete perché calcolare i costi e le perdite aggregate legate agli incidenti gravi se già viene calcolato l’impatto economico del singolo incidente grave? L’obiettivo è innalzare la consapevolezza delle entità finanziare. Il Regolamento mira, infatti, a potenziare la resilienza operativa digitale delle entità finanziarie anche aumentando la consapevolezza sui gravi incidenti TIC e le loro conseguenze e su quanto la mancanza di resilienza operativa possa compromettere la solidità dell’entità stessa. Una consapevolezza a tutti i livelli. È infatti previsto che le entità finanziarie segnalino agli alti dirigenti interessati almeno gli incidenti gravi connessi alle TIC e informino l’organo di gestione illustrandone l’impatto, la risposta e i controlli supplementari da introdurre. 

La consapevolezza non deve essere alimentata solo post incidente ma anche e soprattutto prima che si verifichi un incidente. Per questo motivo le autorità europee richiedono che le entità finanziarie identifichino le cosiddette minacce informatiche significative, ovvero quelle minacce che hanno un’elevata probabilità di concretizzarsi e che in tal caso potrebbero impattare i servizi critici, comportare un incidente e attivare le soglie di rilevanza dei criteri DORA. 

Per essere conformi al Regolamento, le entità finanziarie si devono dotate di una metodologia di classificazione delle minacce significative, censirle in un apposito registro e notificarle alle autorità competenti su base volontaria qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. 

Sempre in tema di gestione incidenti, alle entità finanziare è richiesto di censire gli incidenti in apposito registro, conservare la documentazione inerente agli incidenti per un tempo congruo per le finalità previste e di notificare alle autorità competenti gli incidenti gravi connessi alle TIC e, su base volontaria, le minacce informatiche significative. 

In conclusione, DORA introduce diverse novità sul tema gestione incidenti per rendere le entità finanziarie più resilienti e consapevoli dei rischi a cui sono soggette. Per una corretta attuazione del Regolamento in materia di gestione incidenti le entità dovranno recepire in primis le grandi novità di DORA aggiornando le proprie metodologie di classificazione adeguandole ai nuovi criteri e soglie introducendo tutti i processi necessari alla corretta stima/ valorizzazione, introdurre verifiche almeno su base mensile per l’identificazione di incidenti gravi da incidenti ricorrenti, adottare delle metodologie per l’identificazione delle minacce significative, effettuare una stima dei costi e delle perdite aggregati annuali dovuti a gravi incidenti connessi alle TIC. Non da meno sarà necessario rivedere i propri processi di monitoraggio e gestione. 

Infine, è bene ricordare che la conformità al Regolamento è soggetta a verifica da parte delle autorità competenti che hanno la facoltà di imporre sanzioni e richiedere l’applicazione di misure correttive e di riparazione per le violazioni dei requisiti del Regolamento. In caso di verifica, tali autorità possono avere accesso a qualsiasi documento o dato considerato pertinente e svolgere ispezioni o indagini in loco. 

Autore: Elena Mena Agresti

_________________

1. Art.9, 5. B REGOLAMENTO (UE) 2022/2554
2. Art. 8 REGOLAMENTO DELEGATO (UE) 2024/1772 del 13 marzo 2024

L'articolo Regolamento DORA e gestione degli incidenti connessi alle TIC proviene da Rivista Cybersecurity Trends.

Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.

Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte

Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.

Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.

Quadro di gestione dei rischi informatici

Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.

Funzione di controllo indipendente

Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.

Penetration test obbligatori ogni tre anni

Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.

I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.

Nuove regole per la segnalazione degli incidenti

Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.

Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.

Un cambiamento per l’intero settore finanziario

Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.

https://www.corrierecomunicazioni.it/cyber-security/cloud-e-cybersecurity-il-17-gennaio-scatta-dora-cosa-cambia-per-le-aziende-italiane/

L'articolo DORA al via il 17 gennaio: cosa cambia per le aziende italiane proviene da Rivista Cybersecurity Trends.

Chi nel mondo finanziario e assicurativo in Europa non ha sentito parlare del cosiddetto Regolamento “DORA” sulla resilienza operativa digitale? Penso veramente in pochi considerando che sta impegnando gli uffici di compliance, e non solo, di tutta Europa dediti a garantirne una completa conformità entro fine anno. 

DORA, il Regolamento (UE) 2022/2554, si pone come obiettivo l’armonizzazione delle regole di ICT governance e gestione dei rischi ICT per le entità finanziarie nell’UE.

Stabilisce obblighi uniformi in materia di gestione dei rischi ICT, incidenti, test di resilienza operativa, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, misure relative alle terze parti, continuità operativa.

Si applica a tutte le istituzioni finanziarie che operano nell’UE e non parliamo solo di entità finanziarie tradizionali, ma anche di società di assicurazione e riassicurazione ed entità finanziarie emergenti quali ad esempio fornitori di servizi di crowdfunding e di criptovalute, i fornitori terzi di servizi ICT.

Interessando realtà molto differenti per settore, dimensioni, attività, il Regolamento prevede l’applicazione del principio di “proporzionalità” secondo il quale le Entità devono applicare la norma tenendo in considerazione le loro dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e della operatività. Tale principio, prevede dunque che l’Entità debba definire come applicare gli obblighi previsti in base alle proprie specificità che saranno prese in considerazione da parte delle autorità competenti in sede di eventuale riesame di conformità al Regolamento.

Uno dei temi più discussi è la gestione degli incidenti. Pur non essendo un argomento nuovo nel settore finanziario in EU, presenta diverse novità, dai nuovi criteri e soglie per la classificazione degli incidenti gravi connessi alle Tecnologie dell’Informazione e della Comunicazione, c.d. TIC, introducendo all’interno della classificazione anche il tema degli incidenti ricorrenti, al calcolo dei costi e delle perdite associate agli incidenti gravi e dell’identificazione delle minacce informatiche significative, prevedendo anche in questo caso dei criteri di classificazione. 

Entriamo dunque nello specifico, da dove deve partire un’entità finanziaria per essere conforme al Regolamento in materia di gestione incidenti? 

Di sicuro da un corretto monitoraggio degli eventi e da un processo di gestione degli incidenti connessi alle TIC, tale da eliminarne le cause di fondo e prevenirne il riverificarsi. 

Il monitoraggio degli eventi di sicurezza deve essere basato su soglie di allarme, per consentire l’identificazione di attività e comportamenti anomali, e su criteri e meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti, per avviare i processi di gestione e risposta agli incidenti. 

Il processo di gestione degli incidenti deve essere ben definito e devono essere chiaramente assegnati ruoli e responsabilità. L’Entità finanziaria deve applicare procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità, stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi, analizzare le cause di fondo e attuare le azioni necessarie ad evitare il riverificarsi dell’incidente. 

Il tema del miglioramento continuo e del prevenire il verificarsi di incidenti è molto sentito, al punto da introdurre il concetto di incidenti ricorrenti che possono indicare carenze e punti deboli significativi nelle procedure di gestione degli incidenti e dei rischi dell’organizzazione. 

Il Regolamento richiede alle entità finanziare di verificare su base mensile la presenza di incidenti ricorrenti collegati da un’apparente causa di fondo simile. In particolare, prevede che gli incidenti ricorrenti che singolarmente non sono considerati incidenti gravi debbano essere considerati come un unico grave incidente se soddisfano tutte le condizioni seguenti: 

1. si sono verificati almeno due volte nell’arco di sei mesi;
2.  presentano la stessa apparente causa di fondo;
3. soddisfano collettivamente i criteri DORA per essere considerati un grave incidente.

Nel caso di identificazione di incidente grave dovuto a incidenti ricorrenti, questo dovrà essere gestito come qualsiasi altro incidente grave in tutti i suoi aspetti, inclusi quelli di notifica verso le autorità competenti. 

È bene sottolineare che non è necessario che l’incidente ricorrente impatti sempre lo stesso servizio critico, ma solo che siano soddisfatte le tre condizioni succitate. Obiettivo del Regolamento è rendere consapevole l’Entità dei punti deboli associati a più incidenti quali processi non correttamente presidiati, carenze tecnologiche oppure organizzative per porne rimedio ed eliminare la causa. 

La domanda a questo punto nasce spontanea, quali sono i criteri per classificare un incidente grave? La risposta non è semplice, i criteri sono diversi e in alcuni casi non facili da determinare in sede di incidente. Lo stesso Regolamento prevede che le entità finanziarie possano applicare delle stime per diversi criteri qualora non siano in grado di calcolarle. 

Il prerequisito affinché un incidente possa essere considerato grave è che impatti un servizio critico e per farlo, le entità finanziarie valutano se l’incidente interessa o ha interessato servizi TIC o sistemi informatici e di rete a supporto di funzioni essenziali o importanti dell’entità finanziaria o servizi finanziari forniti dall’entità finanziaria che richiedono l’autorizzazione, la registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti. Un incidente su un servizio non critico non può essere classificato come grave ai fini DORA. 

Questo ci fa capire come per una corretta gestione e classificazione di un incidente sia indispensabile una identificazione dei servizi critici e delle catene tecnologiche ad essi associate per poterne comprendere immediatamente e a fondo gli impatti in caso di incidente. 

La criticità del servizio interessato non è sufficiente affinché un incidente sia classificato grave. L’incidente TIC deve aver comportato anche accessi non autorizzati, dolosi e riusciti ai sistemi informatici e di rete, laddove tali accessi possono comportare perdite di dati1, oppure soddisfare le soglie di materialità di almeno due dei sei seguenti criteri individuati dal Regolamento² :

• clienti, controparti finanziarie e transazioni: il criterio si attiva qualora l’incidente interessi: a) oltre 100.000 clienti o il 10% del numero dei clienti o clienti individuati come rilevanti; b) oltre il 10% del numero delle transazioni o il 10% della quantità delle transazioni; c) oltre il 30% di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato dall’incidente oppure in generale controparti finanziarie individuate come rilevanti. Il Regolamento introduce infatti il tema dei clienti e delle controparti rilevanti intese come quei soggetti (clienti o controparti) che se impattati dall’incidente potrebbero incidere sulla realizzazione degli obiettivi commerciali dell’Entità nonché sull’efficienza del mercato. 

• perdita di dati: il criterio si attiva se si verifica un impatto sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. 

• impatto sulla reputazione: nel valutare tale criterio le entità finanziarie tengono conto del livello di visibilità che l’incidente ha acquisito o potrebbe acquisire in relazione a diversi fattori quali la diffusione della notizia sui media con enfasi del relativo impatto, i reclami ripetuti dei clienti o controparti, la possibile incapacità di soddisfare i requisiti normativi, la possibile perdita di clienti o controparti finanziarie, con un impatto significativo sulla sua attività. 

• durata dell’incidente e il periodo di inattività del servizio: il criterio si attiva se sono raggiunte rispettivamente le 24 ore (durata dell’incidente) e le 2 ore (inattività del servizio). La durata dell’incidente viene calcolata dal momento in cui si verifica (o è stato individuato) l’incidente fino al momento in cui lo stesso è risolto. Il periodo di inattività del servizio, invece, viene considerato dal momento in cui quest’ultimo è totalmente o parzialmente indisponibile per i clienti, le controparti finanziarie e/o altri utenti interni o esterni fino al momento in cui sono ripristinate le regolari attività o le operazioni al livello di servizio fornito prima dell’incidente. 

• estensione geografica: riflette l’impatto transfrontaliero eventualmente avuto dell’incidente. Il criterio si attiva se è previsto l’impatto su almeno due stati membri. 

• impatto economico: il criterio si attiva se i costi e le perdite sostenute dall’entità a seguito dell’incidente supera o potrebbe superare complessivamente i 100.000 euro. Il regolamento fornisce una lista di costi e perdite da prendere in considerazione quali ad esempio le perdite dovute ai mancati introiti, i costi del personale, di consulenza, di comunicazione, le spese per inosservanza di obblighi contrattuali, risarcimenti e indennizzi ai clienti. 

Nella seguente immagine è presente lo schema proposto dalle Autorità Europee. Come rappresentato, un incidente non è grave se non interessa un servizio critico o quando impatta un servizio critico ma non ha comportato perdite di dati a seguito di accessi malevoli e non attiva almeno due criteri. 

dei costi e delle perdite annuali aggregate sostenute a seguito di incidenti. Tranne le microimprese, tutte le entità finanziarie dovranno comunicare la suddetta stima alle autorità competenti in caso di richiesta. 

Tale valutazione non dovrà considerare solo la somma dei costi e delle perdite sostenute dall’entità finanziaria a seguito di gravi incidenti TIC (criterio impatto economico) ma dovrà detrarre da essa gli eventuali recuperi finanziari associati all’incidente quali ad esempio risarcimenti da fornitori coinvolti nell’incidente o assicurativi, recuperi fiscali, recuperi di transazioni errate a seguito di malfunzionamenti. 

Vi chiederete perché calcolare i costi e le perdite aggregate legate agli incidenti gravi se già viene calcolato l’impatto economico del singolo incidente grave? L’obiettivo è innalzare la consapevolezza delle entità finanziare. Il Regolamento mira, infatti, a potenziare la resilienza operativa digitale delle entità finanziarie anche aumentando la consapevolezza sui gravi incidenti TIC e le loro conseguenze e su quanto la mancanza di resilienza operativa possa compromettere la solidità dell’entità stessa. Una consapevolezza a tutti i livelli. È infatti previsto che le entità finanziarie segnalino agli alti dirigenti interessati almeno gli incidenti gravi connessi alle TIC e informino l’organo di gestione illustrandone l’impatto, la risposta e i controlli supplementari da introdurre. 

La consapevolezza non deve essere alimentata solo post incidente ma anche e soprattutto prima che si verifichi un incidente. Per questo motivo le autorità europee richiedono che le entità finanziarie identifichino le cosiddette minacce informatiche significative, ovvero quelle minacce che hanno un’elevata probabilità di concretizzarsi e che in tal caso potrebbero impattare i servizi critici, comportare un incidente e attivare le soglie di rilevanza dei criteri DORA. 

Per essere conformi al Regolamento, le entità finanziarie si devono dotate di una metodologia di classificazione delle minacce significative, censirle in un apposito registro e notificarle alle autorità competenti su base volontaria qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. 

Sempre in tema di gestione incidenti, alle entità finanziare è richiesto di censire gli incidenti in apposito registro, conservare la documentazione inerente agli incidenti per un tempo congruo per le finalità previste e di notificare alle autorità competenti gli incidenti gravi connessi alle TIC e, su base volontaria, le minacce informatiche significative. 

In conclusione, DORA introduce diverse novità sul tema gestione incidenti per rendere le entità finanziarie più resilienti e consapevoli dei rischi a cui sono soggette. Per una corretta attuazione del Regolamento in materia di gestione incidenti le entità dovranno recepire in primis le grandi novità di DORA aggiornando le proprie metodologie di classificazione adeguandole ai nuovi criteri e soglie introducendo tutti i processi necessari alla corretta stima/ valorizzazione, introdurre verifiche almeno su base mensile per l’identificazione di incidenti gravi da incidenti ricorrenti, adottare delle metodologie per l’identificazione delle minacce significative, effettuare una stima dei costi e delle perdite aggregati annuali dovuti a gravi incidenti connessi alle TIC. Non da meno sarà necessario rivedere i propri processi di monitoraggio e gestione. 

Infine, è bene ricordare che la conformità al Regolamento è soggetta a verifica da parte delle autorità competenti che hanno la facoltà di imporre sanzioni e richiedere l’applicazione di misure correttive e di riparazione per le violazioni dei requisiti del Regolamento. In caso di verifica, tali autorità possono avere accesso a qualsiasi documento o dato considerato pertinente e svolgere ispezioni o indagini in loco. 

Autore: Elena Mena Agresti

_________________

1. Art.9, 5. B REGOLAMENTO (UE) 2022/2554
2. Art. 8 REGOLAMENTO DELEGATO (UE) 2024/1772 del 13 marzo 2024

L'articolo Regolamento DORA e gestione degli incidenti connessi alle TIC proviene da Rivista Cybersecurity Trends.

Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.

Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte

Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.

Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.

Quadro di gestione dei rischi informatici

Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.

Funzione di controllo indipendente

Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.

Penetration test obbligatori ogni tre anni

Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.

I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.

Nuove regole per la segnalazione degli incidenti

Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.

Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.

Un cambiamento per l’intero settore finanziario

Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.

https://www.corrierecomunicazioni.it/cyber-security/cloud-e-cybersecurity-il-17-gennaio-scatta-dora-cosa-cambia-per-le-aziende-italiane/

L'articolo DORA al via il 17 gennaio: cosa cambia per le aziende italiane proviene da Rivista Cybersecurity Trends.

Chi nel mondo finanziario e assicurativo in Europa non ha sentito parlare del cosiddetto Regolamento “DORA” sulla resilienza operativa digitale? Penso veramente in pochi considerando che sta impegnando gli uffici di compliance, e non solo, di tutta Europa dediti a garantirne una completa conformità entro fine anno. 

DORA, il Regolamento (UE) 2022/2554, si pone come obiettivo l’armonizzazione delle regole di ICT governance e gestione dei rischi ICT per le entità finanziarie nell’UE.

Stabilisce obblighi uniformi in materia di gestione dei rischi ICT, incidenti, test di resilienza operativa, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, misure relative alle terze parti, continuità operativa.

Si applica a tutte le istituzioni finanziarie che operano nell’UE e non parliamo solo di entità finanziarie tradizionali, ma anche di società di assicurazione e riassicurazione ed entità finanziarie emergenti quali ad esempio fornitori di servizi di crowdfunding e di criptovalute, i fornitori terzi di servizi ICT.

Interessando realtà molto differenti per settore, dimensioni, attività, il Regolamento prevede l’applicazione del principio di “proporzionalità” secondo il quale le Entità devono applicare la norma tenendo in considerazione le loro dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e della operatività. Tale principio, prevede dunque che l’Entità debba definire come applicare gli obblighi previsti in base alle proprie specificità che saranno prese in considerazione da parte delle autorità competenti in sede di eventuale riesame di conformità al Regolamento.

Uno dei temi più discussi è la gestione degli incidenti. Pur non essendo un argomento nuovo nel settore finanziario in EU, presenta diverse novità, dai nuovi criteri e soglie per la classificazione degli incidenti gravi connessi alle Tecnologie dell’Informazione e della Comunicazione, c.d. TIC, introducendo all’interno della classificazione anche il tema degli incidenti ricorrenti, al calcolo dei costi e delle perdite associate agli incidenti gravi e dell’identificazione delle minacce informatiche significative, prevedendo anche in questo caso dei criteri di classificazione. 

Entriamo dunque nello specifico, da dove deve partire un’entità finanziaria per essere conforme al Regolamento in materia di gestione incidenti? 

Di sicuro da un corretto monitoraggio degli eventi e da un processo di gestione degli incidenti connessi alle TIC, tale da eliminarne le cause di fondo e prevenirne il riverificarsi. 

Il monitoraggio degli eventi di sicurezza deve essere basato su soglie di allarme, per consentire l’identificazione di attività e comportamenti anomali, e su criteri e meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti, per avviare i processi di gestione e risposta agli incidenti. 

Il processo di gestione degli incidenti deve essere ben definito e devono essere chiaramente assegnati ruoli e responsabilità. L’Entità finanziaria deve applicare procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità, stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi, analizzare le cause di fondo e attuare le azioni necessarie ad evitare il riverificarsi dell’incidente. 

Il tema del miglioramento continuo e del prevenire il verificarsi di incidenti è molto sentito, al punto da introdurre il concetto di incidenti ricorrenti che possono indicare carenze e punti deboli significativi nelle procedure di gestione degli incidenti e dei rischi dell’organizzazione. 

Il Regolamento richiede alle entità finanziare di verificare su base mensile la presenza di incidenti ricorrenti collegati da un’apparente causa di fondo simile. In particolare, prevede che gli incidenti ricorrenti che singolarmente non sono considerati incidenti gravi debbano essere considerati come un unico grave incidente se soddisfano tutte le condizioni seguenti: 

1. si sono verificati almeno due volte nell’arco di sei mesi;
2.  presentano la stessa apparente causa di fondo;
3. soddisfano collettivamente i criteri DORA per essere considerati un grave incidente.

Nel caso di identificazione di incidente grave dovuto a incidenti ricorrenti, questo dovrà essere gestito come qualsiasi altro incidente grave in tutti i suoi aspetti, inclusi quelli di notifica verso le autorità competenti. 

È bene sottolineare che non è necessario che l’incidente ricorrente impatti sempre lo stesso servizio critico, ma solo che siano soddisfatte le tre condizioni succitate. Obiettivo del Regolamento è rendere consapevole l’Entità dei punti deboli associati a più incidenti quali processi non correttamente presidiati, carenze tecnologiche oppure organizzative per porne rimedio ed eliminare la causa. 

La domanda a questo punto nasce spontanea, quali sono i criteri per classificare un incidente grave? La risposta non è semplice, i criteri sono diversi e in alcuni casi non facili da determinare in sede di incidente. Lo stesso Regolamento prevede che le entità finanziarie possano applicare delle stime per diversi criteri qualora non siano in grado di calcolarle. 

Il prerequisito affinché un incidente possa essere considerato grave è che impatti un servizio critico e per farlo, le entità finanziarie valutano se l’incidente interessa o ha interessato servizi TIC o sistemi informatici e di rete a supporto di funzioni essenziali o importanti dell’entità finanziaria o servizi finanziari forniti dall’entità finanziaria che richiedono l’autorizzazione, la registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti. Un incidente su un servizio non critico non può essere classificato come grave ai fini DORA. 

Questo ci fa capire come per una corretta gestione e classificazione di un incidente sia indispensabile una identificazione dei servizi critici e delle catene tecnologiche ad essi associate per poterne comprendere immediatamente e a fondo gli impatti in caso di incidente. 

La criticità del servizio interessato non è sufficiente affinché un incidente sia classificato grave. L’incidente TIC deve aver comportato anche accessi non autorizzati, dolosi e riusciti ai sistemi informatici e di rete, laddove tali accessi possono comportare perdite di dati1, oppure soddisfare le soglie di materialità di almeno due dei sei seguenti criteri individuati dal Regolamento² :

• clienti, controparti finanziarie e transazioni: il criterio si attiva qualora l’incidente interessi: a) oltre 100.000 clienti o il 10% del numero dei clienti o clienti individuati come rilevanti; b) oltre il 10% del numero delle transazioni o il 10% della quantità delle transazioni; c) oltre il 30% di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato dall’incidente oppure in generale controparti finanziarie individuate come rilevanti. Il Regolamento introduce infatti il tema dei clienti e delle controparti rilevanti intese come quei soggetti (clienti o controparti) che se impattati dall’incidente potrebbero incidere sulla realizzazione degli obiettivi commerciali dell’Entità nonché sull’efficienza del mercato. 

• perdita di dati: il criterio si attiva se si verifica un impatto sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. 

• impatto sulla reputazione: nel valutare tale criterio le entità finanziarie tengono conto del livello di visibilità che l’incidente ha acquisito o potrebbe acquisire in relazione a diversi fattori quali la diffusione della notizia sui media con enfasi del relativo impatto, i reclami ripetuti dei clienti o controparti, la possibile incapacità di soddisfare i requisiti normativi, la possibile perdita di clienti o controparti finanziarie, con un impatto significativo sulla sua attività. 

• durata dell’incidente e il periodo di inattività del servizio: il criterio si attiva se sono raggiunte rispettivamente le 24 ore (durata dell’incidente) e le 2 ore (inattività del servizio). La durata dell’incidente viene calcolata dal momento in cui si verifica (o è stato individuato) l’incidente fino al momento in cui lo stesso è risolto. Il periodo di inattività del servizio, invece, viene considerato dal momento in cui quest’ultimo è totalmente o parzialmente indisponibile per i clienti, le controparti finanziarie e/o altri utenti interni o esterni fino al momento in cui sono ripristinate le regolari attività o le operazioni al livello di servizio fornito prima dell’incidente. 

• estensione geografica: riflette l’impatto transfrontaliero eventualmente avuto dell’incidente. Il criterio si attiva se è previsto l’impatto su almeno due stati membri. 

• impatto economico: il criterio si attiva se i costi e le perdite sostenute dall’entità a seguito dell’incidente supera o potrebbe superare complessivamente i 100.000 euro. Il regolamento fornisce una lista di costi e perdite da prendere in considerazione quali ad esempio le perdite dovute ai mancati introiti, i costi del personale, di consulenza, di comunicazione, le spese per inosservanza di obblighi contrattuali, risarcimenti e indennizzi ai clienti. 

Nella seguente immagine è presente lo schema proposto dalle Autorità Europee. Come rappresentato, un incidente non è grave se non interessa un servizio critico o quando impatta un servizio critico ma non ha comportato perdite di dati a seguito di accessi malevoli e non attiva almeno due criteri. 

dei costi e delle perdite annuali aggregate sostenute a seguito di incidenti. Tranne le microimprese, tutte le entità finanziarie dovranno comunicare la suddetta stima alle autorità competenti in caso di richiesta. 

Tale valutazione non dovrà considerare solo la somma dei costi e delle perdite sostenute dall’entità finanziaria a seguito di gravi incidenti TIC (criterio impatto economico) ma dovrà detrarre da essa gli eventuali recuperi finanziari associati all’incidente quali ad esempio risarcimenti da fornitori coinvolti nell’incidente o assicurativi, recuperi fiscali, recuperi di transazioni errate a seguito di malfunzionamenti. 

Vi chiederete perché calcolare i costi e le perdite aggregate legate agli incidenti gravi se già viene calcolato l’impatto economico del singolo incidente grave? L’obiettivo è innalzare la consapevolezza delle entità finanziare. Il Regolamento mira, infatti, a potenziare la resilienza operativa digitale delle entità finanziarie anche aumentando la consapevolezza sui gravi incidenti TIC e le loro conseguenze e su quanto la mancanza di resilienza operativa possa compromettere la solidità dell’entità stessa. Una consapevolezza a tutti i livelli. È infatti previsto che le entità finanziarie segnalino agli alti dirigenti interessati almeno gli incidenti gravi connessi alle TIC e informino l’organo di gestione illustrandone l’impatto, la risposta e i controlli supplementari da introdurre. 

La consapevolezza non deve essere alimentata solo post incidente ma anche e soprattutto prima che si verifichi un incidente. Per questo motivo le autorità europee richiedono che le entità finanziarie identifichino le cosiddette minacce informatiche significative, ovvero quelle minacce che hanno un’elevata probabilità di concretizzarsi e che in tal caso potrebbero impattare i servizi critici, comportare un incidente e attivare le soglie di rilevanza dei criteri DORA. 

Per essere conformi al Regolamento, le entità finanziarie si devono dotate di una metodologia di classificazione delle minacce significative, censirle in un apposito registro e notificarle alle autorità competenti su base volontaria qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. 

Sempre in tema di gestione incidenti, alle entità finanziare è richiesto di censire gli incidenti in apposito registro, conservare la documentazione inerente agli incidenti per un tempo congruo per le finalità previste e di notificare alle autorità competenti gli incidenti gravi connessi alle TIC e, su base volontaria, le minacce informatiche significative. 

In conclusione, DORA introduce diverse novità sul tema gestione incidenti per rendere le entità finanziarie più resilienti e consapevoli dei rischi a cui sono soggette. Per una corretta attuazione del Regolamento in materia di gestione incidenti le entità dovranno recepire in primis le grandi novità di DORA aggiornando le proprie metodologie di classificazione adeguandole ai nuovi criteri e soglie introducendo tutti i processi necessari alla corretta stima/ valorizzazione, introdurre verifiche almeno su base mensile per l’identificazione di incidenti gravi da incidenti ricorrenti, adottare delle metodologie per l’identificazione delle minacce significative, effettuare una stima dei costi e delle perdite aggregati annuali dovuti a gravi incidenti connessi alle TIC. Non da meno sarà necessario rivedere i propri processi di monitoraggio e gestione. 

Infine, è bene ricordare che la conformità al Regolamento è soggetta a verifica da parte delle autorità competenti che hanno la facoltà di imporre sanzioni e richiedere l’applicazione di misure correttive e di riparazione per le violazioni dei requisiti del Regolamento. In caso di verifica, tali autorità possono avere accesso a qualsiasi documento o dato considerato pertinente e svolgere ispezioni o indagini in loco. 

Autore: Elena Mena Agresti

_________________

1. Art.9, 5. B REGOLAMENTO (UE) 2022/2554
2. Art. 8 REGOLAMENTO DELEGATO (UE) 2024/1772 del 13 marzo 2024

L'articolo Regolamento DORA e gestione degli incidenti connessi alle TIC proviene da Rivista Cybersecurity Trends.

Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.

Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte

Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.

Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.

Quadro di gestione dei rischi informatici

Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.

Funzione di controllo indipendente

Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.

Penetration test obbligatori ogni tre anni

Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.

I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.

Nuove regole per la segnalazione degli incidenti

Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.

Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.

Un cambiamento per l’intero settore finanziario

Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.

https://www.corrierecomunicazioni.it/cyber-security/cloud-e-cybersecurity-il-17-gennaio-scatta-dora-cosa-cambia-per-le-aziende-italiane/

L'articolo DORA al via il 17 gennaio: cosa cambia per le aziende italiane proviene da Rivista Cybersecurity Trends.

Chi nel mondo finanziario e assicurativo in Europa non ha sentito parlare del cosiddetto Regolamento “DORA” sulla resilienza operativa digitale? Penso veramente in pochi considerando che sta impegnando gli uffici di compliance, e non solo, di tutta Europa dediti a garantirne una completa conformità entro fine anno. 

DORA, il Regolamento (UE) 2022/2554, si pone come obiettivo l’armonizzazione delle regole di ICT governance e gestione dei rischi ICT per le entità finanziarie nell’UE.

Stabilisce obblighi uniformi in materia di gestione dei rischi ICT, incidenti, test di resilienza operativa, condivisione di dati e di informazioni in relazione alle vulnerabilità e alle minacce informatiche, misure relative alle terze parti, continuità operativa.

Si applica a tutte le istituzioni finanziarie che operano nell’UE e non parliamo solo di entità finanziarie tradizionali, ma anche di società di assicurazione e riassicurazione ed entità finanziarie emergenti quali ad esempio fornitori di servizi di crowdfunding e di criptovalute, i fornitori terzi di servizi ICT.

Interessando realtà molto differenti per settore, dimensioni, attività, il Regolamento prevede l’applicazione del principio di “proporzionalità” secondo il quale le Entità devono applicare la norma tenendo in considerazione le loro dimensioni e del profilo di rischio complessivo, nonché della natura, della portata e della complessità dei servizi, delle attività e della operatività. Tale principio, prevede dunque che l’Entità debba definire come applicare gli obblighi previsti in base alle proprie specificità che saranno prese in considerazione da parte delle autorità competenti in sede di eventuale riesame di conformità al Regolamento.

Uno dei temi più discussi è la gestione degli incidenti. Pur non essendo un argomento nuovo nel settore finanziario in EU, presenta diverse novità, dai nuovi criteri e soglie per la classificazione degli incidenti gravi connessi alle Tecnologie dell’Informazione e della Comunicazione, c.d. TIC, introducendo all’interno della classificazione anche il tema degli incidenti ricorrenti, al calcolo dei costi e delle perdite associate agli incidenti gravi e dell’identificazione delle minacce informatiche significative, prevedendo anche in questo caso dei criteri di classificazione. 

Entriamo dunque nello specifico, da dove deve partire un’entità finanziaria per essere conforme al Regolamento in materia di gestione incidenti? 

Di sicuro da un corretto monitoraggio degli eventi e da un processo di gestione degli incidenti connessi alle TIC, tale da eliminarne le cause di fondo e prevenirne il riverificarsi. 

Il monitoraggio degli eventi di sicurezza deve essere basato su soglie di allarme, per consentire l’identificazione di attività e comportamenti anomali, e su criteri e meccanismi di allarme automatico per il personale incaricato della risposta agli incidenti, per avviare i processi di gestione e risposta agli incidenti. 

Il processo di gestione degli incidenti deve essere ben definito e devono essere chiaramente assegnati ruoli e responsabilità. L’Entità finanziaria deve applicare procedure per identificare, tracciare, registrare, categorizzare e classificare gli incidenti connessi alle TIC in base alla loro priorità e gravità, stabilire procedure di risposta agli incidenti per attenuarne l’impatto e garantire tempestivamente l’operatività e la sicurezza dei servizi, analizzare le cause di fondo e attuare le azioni necessarie ad evitare il riverificarsi dell’incidente. 

Il tema del miglioramento continuo e del prevenire il verificarsi di incidenti è molto sentito, al punto da introdurre il concetto di incidenti ricorrenti che possono indicare carenze e punti deboli significativi nelle procedure di gestione degli incidenti e dei rischi dell’organizzazione. 

Il Regolamento richiede alle entità finanziare di verificare su base mensile la presenza di incidenti ricorrenti collegati da un’apparente causa di fondo simile. In particolare, prevede che gli incidenti ricorrenti che singolarmente non sono considerati incidenti gravi debbano essere considerati come un unico grave incidente se soddisfano tutte le condizioni seguenti: 

1. si sono verificati almeno due volte nell’arco di sei mesi;
2.  presentano la stessa apparente causa di fondo;
3. soddisfano collettivamente i criteri DORA per essere considerati un grave incidente.

Nel caso di identificazione di incidente grave dovuto a incidenti ricorrenti, questo dovrà essere gestito come qualsiasi altro incidente grave in tutti i suoi aspetti, inclusi quelli di notifica verso le autorità competenti. 

È bene sottolineare che non è necessario che l’incidente ricorrente impatti sempre lo stesso servizio critico, ma solo che siano soddisfatte le tre condizioni succitate. Obiettivo del Regolamento è rendere consapevole l’Entità dei punti deboli associati a più incidenti quali processi non correttamente presidiati, carenze tecnologiche oppure organizzative per porne rimedio ed eliminare la causa. 

La domanda a questo punto nasce spontanea, quali sono i criteri per classificare un incidente grave? La risposta non è semplice, i criteri sono diversi e in alcuni casi non facili da determinare in sede di incidente. Lo stesso Regolamento prevede che le entità finanziarie possano applicare delle stime per diversi criteri qualora non siano in grado di calcolarle. 

Il prerequisito affinché un incidente possa essere considerato grave è che impatti un servizio critico e per farlo, le entità finanziarie valutano se l’incidente interessa o ha interessato servizi TIC o sistemi informatici e di rete a supporto di funzioni essenziali o importanti dell’entità finanziaria o servizi finanziari forniti dall’entità finanziaria che richiedono l’autorizzazione, la registrazione o che sono sottoposti a vigilanza da parte delle autorità competenti. Un incidente su un servizio non critico non può essere classificato come grave ai fini DORA. 

Questo ci fa capire come per una corretta gestione e classificazione di un incidente sia indispensabile una identificazione dei servizi critici e delle catene tecnologiche ad essi associate per poterne comprendere immediatamente e a fondo gli impatti in caso di incidente. 

La criticità del servizio interessato non è sufficiente affinché un incidente sia classificato grave. L’incidente TIC deve aver comportato anche accessi non autorizzati, dolosi e riusciti ai sistemi informatici e di rete, laddove tali accessi possono comportare perdite di dati1, oppure soddisfare le soglie di materialità di almeno due dei sei seguenti criteri individuati dal Regolamento² :

• clienti, controparti finanziarie e transazioni: il criterio si attiva qualora l’incidente interessi: a) oltre 100.000 clienti o il 10% del numero dei clienti o clienti individuati come rilevanti; b) oltre il 10% del numero delle transazioni o il 10% della quantità delle transazioni; c) oltre il 30% di tutte le controparti finanziarie che svolgono attività connesse alla fornitura del servizio interessato dall’incidente oppure in generale controparti finanziarie individuate come rilevanti. Il Regolamento introduce infatti il tema dei clienti e delle controparti rilevanti intese come quei soggetti (clienti o controparti) che se impattati dall’incidente potrebbero incidere sulla realizzazione degli obiettivi commerciali dell’Entità nonché sull’efficienza del mercato. 

• perdita di dati: il criterio si attiva se si verifica un impatto sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati. 

• impatto sulla reputazione: nel valutare tale criterio le entità finanziarie tengono conto del livello di visibilità che l’incidente ha acquisito o potrebbe acquisire in relazione a diversi fattori quali la diffusione della notizia sui media con enfasi del relativo impatto, i reclami ripetuti dei clienti o controparti, la possibile incapacità di soddisfare i requisiti normativi, la possibile perdita di clienti o controparti finanziarie, con un impatto significativo sulla sua attività. 

• durata dell’incidente e il periodo di inattività del servizio: il criterio si attiva se sono raggiunte rispettivamente le 24 ore (durata dell’incidente) e le 2 ore (inattività del servizio). La durata dell’incidente viene calcolata dal momento in cui si verifica (o è stato individuato) l’incidente fino al momento in cui lo stesso è risolto. Il periodo di inattività del servizio, invece, viene considerato dal momento in cui quest’ultimo è totalmente o parzialmente indisponibile per i clienti, le controparti finanziarie e/o altri utenti interni o esterni fino al momento in cui sono ripristinate le regolari attività o le operazioni al livello di servizio fornito prima dell’incidente. 

• estensione geografica: riflette l’impatto transfrontaliero eventualmente avuto dell’incidente. Il criterio si attiva se è previsto l’impatto su almeno due stati membri. 

• impatto economico: il criterio si attiva se i costi e le perdite sostenute dall’entità a seguito dell’incidente supera o potrebbe superare complessivamente i 100.000 euro. Il regolamento fornisce una lista di costi e perdite da prendere in considerazione quali ad esempio le perdite dovute ai mancati introiti, i costi del personale, di consulenza, di comunicazione, le spese per inosservanza di obblighi contrattuali, risarcimenti e indennizzi ai clienti. 

Nella seguente immagine è presente lo schema proposto dalle Autorità Europee. Come rappresentato, un incidente non è grave se non interessa un servizio critico o quando impatta un servizio critico ma non ha comportato perdite di dati a seguito di accessi malevoli e non attiva almeno due criteri. 

dei costi e delle perdite annuali aggregate sostenute a seguito di incidenti. Tranne le microimprese, tutte le entità finanziarie dovranno comunicare la suddetta stima alle autorità competenti in caso di richiesta. 

Tale valutazione non dovrà considerare solo la somma dei costi e delle perdite sostenute dall’entità finanziaria a seguito di gravi incidenti TIC (criterio impatto economico) ma dovrà detrarre da essa gli eventuali recuperi finanziari associati all’incidente quali ad esempio risarcimenti da fornitori coinvolti nell’incidente o assicurativi, recuperi fiscali, recuperi di transazioni errate a seguito di malfunzionamenti. 

Vi chiederete perché calcolare i costi e le perdite aggregate legate agli incidenti gravi se già viene calcolato l’impatto economico del singolo incidente grave? L’obiettivo è innalzare la consapevolezza delle entità finanziare. Il Regolamento mira, infatti, a potenziare la resilienza operativa digitale delle entità finanziarie anche aumentando la consapevolezza sui gravi incidenti TIC e le loro conseguenze e su quanto la mancanza di resilienza operativa possa compromettere la solidità dell’entità stessa. Una consapevolezza a tutti i livelli. È infatti previsto che le entità finanziarie segnalino agli alti dirigenti interessati almeno gli incidenti gravi connessi alle TIC e informino l’organo di gestione illustrandone l’impatto, la risposta e i controlli supplementari da introdurre. 

La consapevolezza non deve essere alimentata solo post incidente ma anche e soprattutto prima che si verifichi un incidente. Per questo motivo le autorità europee richiedono che le entità finanziarie identifichino le cosiddette minacce informatiche significative, ovvero quelle minacce che hanno un’elevata probabilità di concretizzarsi e che in tal caso potrebbero impattare i servizi critici, comportare un incidente e attivare le soglie di rilevanza dei criteri DORA. 

Per essere conformi al Regolamento, le entità finanziarie si devono dotate di una metodologia di classificazione delle minacce significative, censirle in un apposito registro e notificarle alle autorità competenti su base volontaria qualora ritengano che la minaccia sia rilevante per il sistema finanziario, gli utenti dei servizi o i clienti. 

Sempre in tema di gestione incidenti, alle entità finanziare è richiesto di censire gli incidenti in apposito registro, conservare la documentazione inerente agli incidenti per un tempo congruo per le finalità previste e di notificare alle autorità competenti gli incidenti gravi connessi alle TIC e, su base volontaria, le minacce informatiche significative. 

In conclusione, DORA introduce diverse novità sul tema gestione incidenti per rendere le entità finanziarie più resilienti e consapevoli dei rischi a cui sono soggette. Per una corretta attuazione del Regolamento in materia di gestione incidenti le entità dovranno recepire in primis le grandi novità di DORA aggiornando le proprie metodologie di classificazione adeguandole ai nuovi criteri e soglie introducendo tutti i processi necessari alla corretta stima/ valorizzazione, introdurre verifiche almeno su base mensile per l’identificazione di incidenti gravi da incidenti ricorrenti, adottare delle metodologie per l’identificazione delle minacce significative, effettuare una stima dei costi e delle perdite aggregati annuali dovuti a gravi incidenti connessi alle TIC. Non da meno sarà necessario rivedere i propri processi di monitoraggio e gestione. 

Infine, è bene ricordare che la conformità al Regolamento è soggetta a verifica da parte delle autorità competenti che hanno la facoltà di imporre sanzioni e richiedere l’applicazione di misure correttive e di riparazione per le violazioni dei requisiti del Regolamento. In caso di verifica, tali autorità possono avere accesso a qualsiasi documento o dato considerato pertinente e svolgere ispezioni o indagini in loco. 

Autore: Elena Mena Agresti

_________________

1. Art.9, 5. B REGOLAMENTO (UE) 2022/2554
2. Art. 8 REGOLAMENTO DELEGATO (UE) 2024/1772 del 13 marzo 2024

L'articolo Regolamento DORA e gestione degli incidenti connessi alle TIC proviene da Rivista Cybersecurity Trends.

Dal 17 gennaio 2025 scatta ufficialmente il Regolamento Dora (Digital Operational Resilience Act), una normativa europea destinata a rivoluzionare la gestione della resilienza digitale nel settore finanziario. Questo provvedimento, pubblicato in Gazzetta Ufficiale UE il 27 dicembre 2022 ed entrato formalmente in vigore il 16 gennaio 2023, introduce nuovi standard per garantire la sicurezza informatica e la resilienza operativa in tutta l’Unione Europea, mettendo fine a regole frammentarie tra i vari Stati membri. Una delle principali novità è l’eliminazione del divieto di esternalizzare funzioni operative essenziali ai fornitori di servizi ICT, aprendo la strada a maggiore flessibilità e innovazione.

Nuovi obblighi per la gestione del rischio ICT e le entità coinvolte

Dal 17 gennaio cessa di essere valido il divieto, previsto dalla normativa italiana, di esternalizzare servizi ICT relativi a funzioni aziendali operative essenziali. Gli intermediari finanziari potranno quindi sfruttare fornitori esterni per queste funzioni, semplificando i processi contrattuali e garantendo comunque conformità al nuovo quadro normativo europeo. Questa novità è stata comunicata dalla Banca d’Italia agli intermediari finanziari sottoposti alla sua vigilanza, come indicato nel Regolamento Dora alla voce “entità finanziarie”.

Il regolamento non si limita alle banche: coinvolge imprese di investimento, gestori di fondi, istituti di pagamento, istituti di moneta elettronica, emittenti di token collegati ad attività, fornitori di servizi per le cripto-attività e piattaforme di crowdfunding. Con queste misure, Dora si propone di armonizzare i requisiti di resilienza digitale per l’intero settore finanziario europeo.

Quadro di gestione dei rischi informatici

Secondo l’articolo 6 del Regolamento Dora, tutte le entità finanziarie devono dotarsi di un sistema per la gestione dei rischi informatici solido e documentato. Questo sistema deve essere continuamente aggiornato e permettere di rispondere a eventuali minacce in modo rapido ed efficace, garantendo una strategia di resilienza operativa digitale.

Funzione di controllo indipendente

Le entità finanziarie, escluse le microimprese, dovranno affidare la gestione dei rischi ICT a una funzione di controllo con un’adeguata indipendenza, così da evitare conflitti di interesse. Sebbene Dora non imponga regole specifiche sull’organizzazione interna di questa funzione, la Banca d’Italia consiglia di integrarla nei meccanismi di governance e controllo già adottati, adattandoli alle nuove disposizioni.

Penetration test obbligatori ogni tre anni

Un’altra novità introdotta da Dora riguarda i test avanzati di penetrazione basati su minacce (Threat-Led Penetration Test). Gli intermediari finanziari identificati dai criteri stabiliti da un apposito atto delegato dovranno eseguire tali test almeno una volta ogni tre anni.

I risultati dei penetration test verranno utilizzati dalla vigilanza per rafforzare i processi di supervisione, garantendo che le vulnerabilità siano individuate e risolte in anticipo. Per gli intermediari vigilati direttamente dalla Banca d’Italia, è in corso il processo di identificazione, seguito dalla definizione di una pianificazione per l’esecuzione dei test.

Nuove regole per la segnalazione degli incidenti

Dal 17 gennaio 2025, le entità finanziarie saranno obbligate a segnalare alla Banca d’Italia tutti i gravi incidenti ICT e, su base volontaria, le principali minacce informatiche. Inoltre, banche, istituti di pagamento e di moneta elettronica dovranno segnalare anche incidenti operativi o relativi alla sicurezza dei pagamenti.

Tutte le segnalazioni dovranno essere effettuate tramite la piattaforma Infostat della Banca d’Italia. A partire dalla stessa data, il quadro normativo attuale in materia di incidenti operativi e di sicurezza sarà abrogato e sostituito dalle nuove regole previste dal Regolamento Dora.

Un cambiamento per l’intero settore finanziario

Con il Regolamento Dora, l’Unione Europea mira a creare un settore finanziario più resiliente e sicuro, capace di affrontare le minacce digitali in modo armonizzato. La possibilità di esternalizzare servizi ICT, l’obbligo di test avanzati e le nuove regole di segnalazione rappresentano un passo significativo verso un sistema finanziario più moderno e protetto.

https://www.corrierecomunicazioni.it/cyber-security/cloud-e-cybersecurity-il-17-gennaio-scatta-dora-cosa-cambia-per-le-aziende-italiane/

L'articolo DORA al via il 17 gennaio: cosa cambia per le aziende italiane proviene da Rivista Cybersecurity Trends.