Il sistema finanziario, anche quello italiano, resta uno degli obiettivi privilegiati nel cyber spazio per i soggetti ostili. A rammentarlo in un nuovo report – che fa il punto sull’evoluzione della minaccia cibernetica in Italia, sulle nuove normative italiane ed europee che regolano il settore e sulle mosse intraprese (e da intraprendere) per metterlo in sicurezza sono Banca d’Italia e Ivass, l’Istituto per la vigilanza sulle assicurazioni, che anche in ragione delle competenze loro affidate in materia hanno istituito nel 2017 uno specifico Gruppo di coordinamento sulla sicurezza cibernetica, il Gcsc.
UN TEMA CRUCIALE
Che i cyber criminali “siano motivati dal semplice profitto o dall’intento di innescare una crisi di fiducia”, scrive nell’introduzione del documento il dg di Bankitalia Salvatore Rossi, che presiede anche il gruppo di coordinamento sulla cyber security, “respingere le aggressioni è essenziale per tutelare il risparmio e per garantire l’ordinato funzionamento dell’economia”.
IL RUOLO DI BANCA D’ITALIA E IVASS
Attualmente, si legge nel report, “la Banca d’Italia svolge diverse attività per rafforzare sia la propria sicurezza informatica (in quanto infrastruttura critica, erogatrice di servizi digitali e custode di dati sensibili), sia quella del sistema finanziario nel suo complesso, in qualità di autorità di supervisione dei sistemi di pagamento e di altre infrastrutture di mercato, nonché di autorità di vigilanza bancaria e finanziaria. Analogamente l’Ivass, in quanto autorità di vigilanza sul sistema assicurativo, conduce varie attività per monitorare e rafforzare la sicurezza informatica del sistema stesso”.
COME SI STA OPERANDO
Le due istituzioni operano mediante la costituzione di adeguati presidi difensivi interni, che includono: il Cert aziendale della Banca (CertBI), la partecipazione a tavoli tecnici internazionali ed europei delle banche centrali e del settore finanziario; l’emanazione di regolamentazione nazionale per rafforzare la governance dei processi informatici e i presidi in materia di sicurezza cibernetica, la vigilanza e la supervisione di infrastrutture di mercato e operatori finanziari nazionali; la raccolta di informazioni sulle vulnerabilità e sugli incidenti informatici; lo scambio di informazioni e di ricerche con le altre istituzioni impegnate sul fronte della difesa da attacchi cibernetici; lo stimolo alla cooperazione pubblico-privato per la condivisione delle informazioni e per la creazione di capacità difensive, anche attraverso la gestione di un Cert del settore finanziario italiano (CertFin), in collaborazione con l’Abi, l’Associazione bancaria italiana; il rafforzamento, per mezzo dell’attività di educazione finanziaria, della consapevolezza di giovani e adulti in merito all’utilizzo di servizi finanziari digitali; la raccolta e l’analisi di dati statistici sulla frequenza e sull’impatto economico degli attacchi informatici contro il settore privato italiano; e la valutazione del rischio cibernetico in ambito assicurativo con riferimento ai prodotti, come ad esempio le polizze di assicurazione specifiche (cyber insurance), e alla loro distribuzione.
Per coordinare queste attività nelle diverse sedi di lavoro, come detto, nel 2017 Bankitalia e Ivass hanno istituito il Gcsc.
L’EVOLUZIONE DELLO SCENARIO
Tali cambiamenti sono resi necessari dal fatto che le tecnologie dell’informazione e della comunicazione, si sottolinea nello studio, sono infatti “in rapida espansione, grazie ai guadagni di produttività che il loro utilizzo comporta; ne dipende ormai completamente un numero crescente di settori vitali dell’economia e della finanza. Aumenta il valore delle grandi masse di dati (cosiddetti big data), da cui l’intelligenza artificiale trae informazioni complesse. Si ampliano anche la quantità e la tipologia degli oggetti connessi a internet, come ad esempio macchinari industriali, elettrodomestici, automobili, videocamere, impianti di illuminazione (internet delle cose)”.
Alle nuove tecnologie, rileva il report, “si accompagnano però nuovi rischi; tra questi particolarmente rilevante è quello cibernetico (cyber risk), legato ad azioni che sfruttano le vulnerabilità di un dispositivo Ict o del codice che ne consente il funzionamento, per interromperne l’operatività, per ottenere un indebito accesso ai dati che custodisce o per comprometterne l’integrità”.
L’ESPANSIONE DEL RISCHIO CYBER
Fino a qualche anno fa, commenta l’analisi, “il rischio cibernetico era di fatto circoscritto a pochi specifici settori, come la difesa, sia perché le tecnologie avanzate erano per lo più concentrate nei grandi centri di elaborazione di dati, sia perché sferrare attacchi informatici era molto costoso. Con l’espansione dell’accesso alle reti telematiche e con la diffusione di strumenti di attacco a basso costo, alle intrusioni cibernetiche con finalità politico- militari si sono affiancate quelle motivate dal profitto”.
L’intensificarsi della minaccia cibernetica “ha posto gli Stati di fronte a complesse sfide di policy. I software malevoli e gli altri mezzi di attacco informatico sono in grado di provocare danni ingenti alla sicurezza e all’economia, alla stregua delle armi tradizionali. Gli ordinamenti giuridici nazionali e il diritto internazionale si stanno adattando al nuovo scenario. Fin dagli anni novanta in diversi Paesi è stato introdotto il reato di accesso abusivo ai sistemi informatici. Dai primi anni duemila le principali economie avanzate ed emergenti hanno elaborato strategie più ampie, che contemplano la definizione di un’architettura istituzionale per la prevenzione e la gestione delle crisi, misure per il potenziamento della sicurezza delle Pubbliche amministrazioni e delle infrastrutture critiche, incentivi alla formazione di specialisti e alla collaborazione pubblico-privato, schemi di certificazione della sicurezza di software e hardware”.
LA COOPERAZIONE INTERNAZIONALE
Le iniziative sul fronte della cooperazione internazionale, essenziali per fronteggiare una minaccia globale in un mondo fatto da Paesi sempre più interconnessi e interdipendenti, rimarca il rapporto, “sono ancora carenti. Si sono registrati progressi solo su temi specifici – come il coordinamento tra Forze di Polizia per la lotta ad alcuni crimini – e in contesti in cui cooperano paesi che condividono i principali obiettivi strategici in materia di sicurezza, come la Nato e il G7. Fa parziale eccezione il sistema finanziario, dove la cooperazione anche regolamentare su base allargata è favorita dall’esistenza di esperienze su altri fronti – primo tra tutti quello della stabilità finanziaria – e dalla dimensione globale di alcuni operatori chiave”.
Per quanto riguarda il Vecchio continente, nel 2017 il Consiglio direttivo della Bce “ha approvato la strategia di supervisione per la resilienza cibernetica delle infrastrutture di mercato europee. Tale strategia prevede tra l’altro la costituzione di un forum di cooperazione pubblico-privato, denominato European Cyber Resilience Board (Ecrb), istituito nel 2018”. E, accanto ai tradizionali strumenti di vigilanza e supervisione, “l’Eurosistema sta sviluppando un quadro di riferimento in materia di test tecnici della sicurezza dei sistemi, che sarà ultimato entro quest’anno per le infrastrutture di pagamento e di mercato”.
LE TECNICHE D’ATTACCO
Le tecniche di attacco, prosegue il documento di Bankitalia e Ivass, “sono in rapida evoluzione: essere aggiornati sulle vulnerabilità dei sistemi informatici e sulle modalità con le quali queste vengono sfruttate dai soggetti ostili permette di operare in anticipo nella direzione di una difesa proattiva, molto più efficace di una meramente reattiva. La condivisione tempestiva di informazioni è dunque un elemento difensivo fondamentale. Tuttavia non sempre chi ha subito attacchi o identificato debolezze è disposto a condividere quanto appreso: sono pertanto necessarie garanzie di riservatezza e di reciprocità. In alcuni casi queste condizioni si creano spontaneamente all’interno di gruppi di operatori economici particolarmente sensibili al rischio cibernetico. Più spesso interviene l’autorità pubblica, che svolge un ruolo di stimolo e di creazione di fiducia”.
I modelli di condivisione delle informazioni “di maggior successo sono due: il primo si basa sugli information and analysis centers (Isac), il secondo è fondato sui computer emergency response team (Cert) e sui computer security incident response teams”.
I RIFERIMENTI NORMATIVI ITALIANI ED EUROPEI
Il quadro normativo italiano, si pone in evidenza, “rispecchia la strategia di sicurezza cibernetica dell’Unione europea”, di cui la direttiva Nis “costituisce l’asse portante”. Il legislatore europeo “prevede che gli Stati membri si dotino di un’organizzazione in grado di vincolare gli operatori di servizi ritenuti essenziali per l’economia all’adozione di stringenti misure di protezione; istituisce inoltre un gruppo di cooperazione nell’ambito della Ue per lo scambio di informazioni e migliori prassi”.
Per una varietà di soggetti, “requisiti di sicurezza informatica discendono anche da altre due recenti disposizioni europee: il regolamento Gdpr per la protezione dei dati personali e la direttiva sui servizi di pagamento nel mercato interno, la Psd2. Altri obblighi potrebbero derivare dall’approvazione del Cybersecurity Act, presentato nel 2017 dalla Commissione europea, che attribuisce all’Unione il potere di certificare la sicurezza dei dispositivi e dei relativi software”.
Per ciò che concerne l’architettura legislativa italiana in materia di sicurezza cibernetica, ricorda lo studio, questa “si basa al momento su due provvedimenti: il decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 (cosiddetto decreto Gentiloni), che attribuisce al Dipartimento delle informazioni per la sicurezza della Presidenza del Consiglio (Dis) la responsabilità di coordinare la prevenzione e gestione delle crisi cibernetiche mediante il Nucleo per la sicurezza cibernetica (Nsc), composto in via permanente dai ministeri che siedono nel Comitato interministeriale per la sicurezza della Repubblica (Cisr): Difesa, Interno, Affari esteri, Economia e finanze, Sviluppo economico, Giustizia; e il decreto legislativo, in attuazione della direttiva Nis, che istituisce uno Csirt pubblico nazionale, attribuisce al Dis il ruolo di punto di contatto con le istituzioni dell’Unione e individua le autorità responsabili dell’attuazione delle misure previste dalla direttiva per i settori economici considerati strategici.