Opzioni di ricerca
Home Media Facciamo chiarezza Studi e pubblicazioni Statistiche Politica monetaria L’euro Pagamenti e mercati Lavorare in BCE
Suggerimenti
Ordina per
  • COMUNICATO STAMPA

La BCE conclude la prova di stress sulla resilienza cibernetica

26 luglio 2024

  • La prova di stress è intesa a valutare la risposta e il ripristino da parte delle banche in caso di incidente di cibersicurezza grave ma plausibile
  • Sono state messe alla prova 109 banche, 28 delle quali in modo più approfondito
  • I risultati confluiranno nel processo di revisione e valutazione prudenziale della BCE per il 2024

La Banca centrale europea (BCE) ha concluso oggi la prova di stress sulla resilienza cibernetica, intesa a valutare la risposta e il ripristino da parte delle banche in caso di incidente di cibersicurezza grave ma plausibile. Nel complesso è emerso che le banche dispongono di sistemi di risposta e ripristino, ma restano aree di miglioramento. I risultati, che confluiranno nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP) 2024, hanno contribuito a sensibilizzare le banche riguardo ai punti di forza e debolezza dei rispettivi sistemi di resilienza cibernetica.

L’esercizio, avviato nel gennaio 2024, prevedeva uno scenario di prova fittizio nel cui ambito tutte le misure preventive fallivano e un attacco cibernetico si ripercuoteva gravemente sulle basi di dati dei sistemi fondamentali di ciascuna banca. La prova di stress si è quindi incentrata sulla risposta e sul ripristino da parte delle banche in caso di attacco cibernetico, anziché sui meccanismi di prevenzione.

Individuare e affrontare le carenze nei sistemi di resilienza delle banche vigilate sul piano operativo, anche a seguito di rischi cibernetici, è una delle priorità di vigilanza dell’MVU per il periodo 2024-2026, alla luce del recente forte incremento degli incidenti cibernetici segnalati dai soggetti vigilati alla BCE, in parte riconducibile alle crescenti tensioni geopolitiche e alle sfide poste dalla digitalizzazione del settore bancario.

La prova di stress ha visto coinvolte 109 banche vigilate direttamente dalla BCE. Tutte sono state chiamate a rispondere a un questionario e a sottoporre documentazione all’esame dei responsabili della vigilanza, mentre un campione di 28 banche è stato selezionato per verifiche più approfondite. A queste ultime è stato chiesto di eseguire un test di ripristino informatico a tutti gli effetti e di fornire elementi comprovanti il successo di tale test, oltre ad accertamenti in loco da parte dei responsabili della vigilanza. Il campione includeva modelli imprenditoriali e aree geografiche differenti per essere rappresentativo del sistema bancario dell’area dell’euro in senso più ampio e assicurare un sufficiente coordinamento con altre attività di vigilanza.

Per mettere alla prova la loro risposta allo scenario, le banche hanno dovuto dimostrare la capacità di:

  • attivare i propri piani di risposta alle crisi, incluse le procedure interne di gestione delle crisi e i piani di continuità operativa;
  • comunicare con tutte le parti interessate esterne, quali i clienti, i prestatori di servizi e le forze dell’ordine;
  • effettuare un’analisi allo scopo di individuare quali sarebbero i servizi interessati e come;
  • attuare misure di mitigazione, incluse soluzioni che aiuterebbero la banca a operare durante il periodo necessario per il pieno ripristino dei sistemi informatici.

Per mettere alla prova la capacità di ripristino in seguito allo scenario, le banche hanno dovuto dimostrare di poter:

  • attivare i propri piani di ripristino, anche recuperando i dati dai back-up e allineandosi con i fornitori terzi di servizi essenziali nelle modalità di risposta all’incidente;
  • assicurare di avere provveduto al ripristino e al buon funzionamento delle aree colpite;
  • beneficiare degli insegnamenti tratti, ad esempio mediante il riesame dei piani di risposta e ripristino.

Anche in futuro la BCE si impegna a collaborare con le banche su cui vigila per il rafforzamento dei loro sistemi di resilienza cibernetica. A tal fine, le incoraggerà ulteriormente a continuare a lavorare per soddisfare le aspettative di vigilanza, assicurandosi tra l’altro che dispongano di piani di continuità operativa, comunicazione e ripristino adeguati, con una gamma sufficientemente ampia di scenari di rischio cibernetico. Le banche dovrebbero inoltre essere in grado di conseguire i propri obiettivi di ripristino, valutare correttamente la dipendenza da fornitori terzi di servizi essenziali di tecnologia dell’informazione e della comunicazione (TIC) e stimare adeguatamente le perdite dirette e indirette derivanti da un attacco cibernetico.

I risultati dell’esercizio confluiranno nello SREP 2024, inteso alla valutazione dei profili di rischio individuali delle banche. Poiché la prova di stress sulla resilienza cibernetica non è incentrata sul capitale delle banche, i suoi risultati non incideranno sugli orientamenti di secondo pilastro rivolti a queste ultime. I responsabili della vigilanza hanno fornito riscontri individuali a ciascuna banca e ne verificheranno il seguito dato. In alcuni casi, le banche hanno già mostrato miglioramenti o prevedono di rimediare alle carenze emerse nel corso dell’esercizio.

Per eventuali richieste gli organi di informazione sono invitati a contattare Clara Martín Marqués(tel. +49 69 1344 17919).

Nota

CONTATTI

Banca centrale europea

Direzione Generale Comunicazione

La riproduzione è consentita purché venga citata la fonte.

Contatti per i media
Segnalazioni whistleblowing