In sintesi: la minaccia degli attacchi informatici

Le banche svizzere devono proteggere la propria infrastruttura da diversi tipi di attacchi. Oltre al phishing, al malware e all'interruzione della disponibilità dei computer, gli scenari debilitanti che devono affrontare gli istituti finanziari svizzeri diventano sempre più sofisticati e complessi.

Nell'ambito della revisione della circolare SFMA 08/21 "Rischi operativi – banche", la SFMA ha deciso di ampliare le sue disposizioni sull'infrastruttura tecnologica includendovi aspetti critici nella gestione dei rischi informatici. La Circolare richiede alle banche e ai commercianti di valori mobiliari di adottare un approccio integrato e sistematico per contrastare le minacce provenienti dal mondo virtuale. L’approccio deve includere misure specifiche per la governance, l’identificazione, la protezione, il rilevamento, la risposta e il ripristino di sistemi e servizi minacciati in relazione a rischi e attacchi informatici. La SFMA ha inoltre effettuato una valutazione delle misure concrete adottate dalle banche per contrastare gli attacchi informatici. Ciò includeva l’ordine alle banche delle categorie di vigilanza 1 e 2 di effettuare ulteriori audit sui rischi informatici. La SFMA ha inoltre chiesto alle banche della categoria di vigilanza 3 di partecipare ad un'autovalutazione sull'attuazione delle contromisure contro gli attacchi informatici. Sia gli audit che l'autovalutazione si sono concentrati sugli aspetti critici dei rischi informatici previsti dalle disposizioni di esecuzione riviste.

Audit aggiuntivo

Gli audit aggiuntivi hanno evidenziato persistenti lacune, in particolare per quanto riguarda l'identificazione di potenziali minacce informatiche e misure di protezione. Sulla base di questi risultati, le banche interessate hanno adottato ulteriori misure per aumentare la loro resilienza.

Autovalutazione

L'obiettivo dell'autovalutazione era verificare i progressi nell'attuazione delle misure di lotta contro i rischi informatici e sensibilizzare le banche nella categoria di vigilanza 3 sugli aspetti critici. La valutazione dell'autovalutazione da parte delle banche ha evidenziato ampie differenze: alcune banche hanno valutato quasi tutte le misure come pienamente attuate, altre quasi nessuna. Per quanto riguarda gli aspetti critici, uno dei settori che necessitano di miglioramenti è soprattutto il rilevamento degli attacchi informatici. In alcuni casi mancavano misure per far fronte a scenari di minaccia più complessi; in altri è stato necessario estendere l'uso del monitoraggio tecnico. Tuttavia, è necessario agire anche sugli altri aspetti critici.

Conclusione

In sintesi, gli audit aggiuntivi e la valutazione delle autovalutazioni hanno rivelato che all'inizio del 2016 c'era ancora molto da fare per garantire un'adeguata resilienza alle minacce provenienti dal mondo virtuale. Con l'entrata in vigore delle nuove disposizioni di attuazione il 1° luglio 2017, le banche delle categorie di vigilanza da 1 a 3 hanno avviato progetti mirati specificamente a rafforzare la loro capacità di resistere a un attacco informatico. L’autovalutazione effettuata all’inizio del 2016 presso le banche della categoria di vigilanza 3 ha evidenziato la necessità di miglioramenti in tutti gli aspetti chiave della gestione dei rischi informatici. Soprattutto per quanto riguarda il rilevamento tempestivo degli attacchi informatici, la maggior parte dei partecipanti non ha implementato completamente le misure chiave, o addirittura non le ha affatto implementate.

(Dal rapporto annuale 2016)

Documenti

Grafici e informazioni visive