Opzioni di ricerca
Home Media Facciamo chiarezza Studi e pubblicazioni Statistiche Politica monetaria L’euro Pagamenti e mercati Lavorare in BCE
Suggerimenti
Ordina per

Risposte alle domande più frequenti riguardo alla prova di stress sulla resilienza cibernetica 2024

Perché la BCE ha svolto una prova di stress sulla resilienza cibernetica?

La BCE conduce su base annua prove di stress a fini di vigilanza ai sensi dell’articolo 100 della direttiva sui requisiti patrimoniali e ogni due anni partecipa a una prova di stress a livello di UE coordinata dall’Autorità bancaria europea (ABE). Negli anni in cui non si tiene una prova di stress dell’ABE a livello di UE, la BCE svolge un esercizio mirato che si focalizza su una specifica tipologia di rischio. Tali esercizi si svolgono in collaborazione con le autorità nazionali di vigilanza.

Negli ultimi anni sono notevolmente aumentati gli attacchi cibernetici e le banche sono fortemente esposte a queste minacce in continua evoluzione. Nel contesto delle priorità di vigilanza per il periodo 2024-2026, la BCE chiede alle banche vigilate di compiere ulteriori progressi nella trasformazione digitale e nella realizzazione di solidi assetti di resilienza operativa, per essere preparate a resistere agli attacchi cibernetici e poter provvedere al rapido ripristino dell’operatività in caso di grave incidente.

Qual era lo scenario della prova di stress?

Lo scenario prevedeva il fallimento o l’aggiramento delle azioni preventive e delle misure di protezione, per cui un attacco cibernetico riusciva a perturbare l’operatività corrente della banca. Le banche hanno quindi messo alla prova le proprie misure di risposta e ripristino, tra cui l’attivazione di procedure di urgenza e piani di emergenza e la ripresa della normale operatività. I responsabili della vigilanza hanno poi valutato la loro capacità di affrontare tale scenario, non allo scopo di verificare la capacità di prevenzione, bensì la risposta e il ripristino in caso di attacco cibernetico.

Quale tipo di informazioni sono state segnalate alla BCE dalle banche?

È stata svolta una duplice valutazione: a livello standard e a livello approfondito, con l’aggiunta di alcuni requisiti. Alle 81 banche che hanno partecipato alla valutazione standard è stato chiesto di rispondere a un questionario e di fornire documentazione comprovante (ad esempio, notifiche degli incidenti cibernetici nell’ambito dell’MVU, documenti predefiniti quali politiche e procedure interne in materia di rischio relativo alle tecnologie dell’informazione e della comunicazione e risultati di precedenti test di ripristino informatico basati su scenari simili a quelli della prova di stress dell’MVU sulla resilienza cibernetica 2024). Oltre a ciò, le 28 banche coinvolte nella valutazione approfondita sono state anche chiamate a eseguire un test di ripristino informatico a tutti gli effetti in linea con lo scenario della prova di stress dell’MVU sulla resilienza cibernetica 2024 e a fornire elementi comprovanti la riuscita del ripristino. Queste banche sono state inoltre sottoposte ad accertamenti in loco per un ulteriore controllo di qualità.

Come sono state selezionate le banche per la valutazione approfondita?

Il campione selezionato per la valutazione approfondita include modelli imprenditoriali e paesi differenti, per fornire una rappresentazione significativa del sistema bancario dell’area dell’euro, indipendentemente dal profilo di rischio cibernetico delle banche coinvolte.

In che modo la BCE utilizzerà le conoscenze acquisite grazie all’esercizio?

L’esercizio ha avuto carattere prevalentemente qualitativo. Le conoscenze acquisite contribuiranno al più ampio processo di revisione e valutazione prudenziale (supervisory review and evaluation process, SREP) 2024. A conclusione della prova di stress le banche hanno ricevuto un rapporto individuale contenente raccomandazioni a fini di miglioramento; il seguito dato sarà verificato dai gruppi di vigilanza congiunti nell’ambito delle loro attività ordinarie. Non trattandosi di una prova di stress incentrata sul capitale delle banche, i suoi risultati non incideranno sugli orientamenti di secondo pilastro destinati a queste ultime.

Segnalazioni whistleblowing