Nuovo approccio e orientamenti in materia di vigilanza informatica
Nel 2020 la dipendenza dalle tecnologie dell'informazione e della comunicazione ha continuato ad aumentare. Ciò è stato favorito dalle strategie di digitalizzazione perseguite dagli istituti assoggettati ed è stato ulteriormente accentuato dal massiccio spostamento verso il lavoro da casa, provocato dalla pandemia. Questa dipendenza ha reso le istituzioni finanziarie sempre più vulnerabili agli attacchi informatici. La SFMA ha quindi valutato questo rischio ancora più elevato rispetto all’anno precedente. Lo considera uno dei sette rischi principali per la piazza finanziaria svizzera.
Per questo motivo nel 2020 la SFMA ha aumentato ulteriormente le proprie risorse in questo ambito. Le risorse verranno impiegate sulla base di un approccio di vigilanza in base al quale gli istituti saranno monitorati in tre ambiti: analisi della minaccia, sorveglianza continua e gestione degli incidenti o, eventualmente, gestione delle crisi. Questo approccio è stato introdotto all’inizio dell’anno in esame e consente un monitoraggio coerente a livello di tutta la SFMA dei rischi informatici di tutte le imprese assoggettate. Per quanto riguarda l’attuazione operativa dell’approccio di vigilanza, l’attenzione si è concentrata sull’identificazione della minaccia, sulla valutazione da parte di esperti delle domande di autorizzazione – in particolare nel settore Fin-Tech – e sull’esecuzione di controlli di vigilanza in loco degli istituti finanziari. Per la SFMA è di vitale importanza essere informati il prima possibile quando le aziende vigilate subiscono incidenti informatici critici. Ciò le consente di assistere le imprese vigilate in situazioni di crisi e, se necessario, di adottare misure affinché altri istituti siano avvisati di attacchi identici o simili. Le imprese assoggettate sono pertanto tenute a segnalare alla SFMA eventuali attacchi informatici di rilievo contro le loro funzioni critiche. I requisiti in relazione a questo obbligo di comunicazione ai sensi dell'articolo 29 cpv. 2 della legge sulla vigilanza dei mercati finanziari (legge SFMA) sono stati precisati in stretto contatto con le imprese assoggettate e comunicati nella guida SFMA 05/2020. (Dal Rapporto annuale 2020)