La BCE conclude degli stress test su 109 banche: i risultati

La Banca Centrale Europea (BCE) ha recentemente concluso uno stress test mirato a valutare la resilienza cibernetica di 109 banche, di cui 28 sono state analizzate in modo più approfondito. Questo test, iniziato a gennaio, aveva l’obiettivo di simulare un attacco informatico significativo per valutare la capacità delle banche di rispondere e riprendersi.

Il rapporto della BCE sullo stress test alle banche

I risultati, resi noti venerdì scorso, evidenziano che sebbene le banche dispongano di sistemi di risposta e ripristino, permangono diverse aree che richiedono ulteriori miglioramenti.

L’esercizio ha coinvolto un’ampia gamma di scenari ipotetici, inclusi attacchi che riuscivano a superare le difese preventive e colpivano i dati dei sistemi critici delle banche. Le istituzioni finanziarie hanno dovuto dimostrare la loro capacità di attivare piani di continuità operativa, comunicare efficacemente con clienti, fornitori di servizi e autorità, e adottare misure per mantenere le operazioni in attesa del completo ripristino dei sistemi. Nonostante gli sforzi dimostrati, la BCE ha sottolineato la necessità di ulteriori investimenti in risorse e tempo per rafforzare la resilienza cibernetica delle banche europee.

L’evento di luglio, causato da un aggiornamento software errato da parte di CrowdStrike, ha messo in evidenza le vulnerabilità del settore finanziario alle interruzioni tecnologiche. Questo incidente ha sottolineato l’importanza di avere sistemi robusti non solo per prevenire attacchi, ma anche per rispondere efficacemente a eventuali crisi. L’intero settore, secondo la BCE, deve continuare a evolversi per affrontare minacce sempre più sofisticate e complesse.

La situazione in Italia e l’allarme di BankItalia

In Italia, il governatore della Banca d’Italia, Fabio Panetta, ha espresso preoccupazioni crescenti riguardo al cyber-rischio nel settore finanziario. Panetta ha descritto il settore come un bersaglio attraente per i cybercriminali, data la sua elevata dipendenza dai dati digitali e il ruolo cruciale che svolge nell’economia globale. Secondo Panetta, la minaccia proviene sia da hacker individuali che da altri attori sostenuti da stati con obiettivi geopolitici.

I dati della Banca d’Italia rivelano che il numero di incidenti gravi riportati dagli intermediari finanziari è aumentato notevolmente, passando da poco più di dieci nei quattro anni precedenti a 30 solo lo scorso anno. Questo incremento evidenzia la crescente frequenza e gravità degli attacchi cibernetici, sottolineando l’urgenza di adottare misure più efficaci per proteggere le infrastrutture finanziarie.

Bankitalia ha anche identificato una preoccupante mancanza di consapevolezza tra le piccole imprese italiane riguardo ai rischi cibernetici. Solo il 14% delle aziende con 20-49 dipendenti ritiene probabile un attacco cibernetico, rispetto al 7% delle aziende più grandi. Questa percezione errata aumenta la vulnerabilità delle piccole imprese, che potrebbero non avere le risorse o le competenze necessarie per difendersi efficacemente contro i cyberattacchi.

Verso una maggiore sicurezza cibernetica nel settore finanziario

Per affrontare queste sfide, è essenziale che il settore finanziario adotti una strategia di sicurezza cibernetica più proattiva e coordinata. La collaborazione tra banche, autorità di regolamentazione e fornitori di servizi tecnologici è cruciale per sviluppare soluzioni innovative e condividere le migliori pratiche. Le istituzioni finanziarie devono investire in tecnologie avanzate di rilevamento e risposta agli attacchi, nonché in programmi di formazione per migliorare la consapevolezza del personale sui rischi cibernetici.

La BCE ha evidenziato la necessità di migliorare la comunicazione e la cooperazione internazionale per affrontare le minacce che superano i confini nazionali. Le minacce cibernetiche sono per natura globali, e solo attraverso uno sforzo congiunto è possibile mitigare efficacemente i rischi. Le banche devono essere preparate non solo a prevenire gli attacchi, ma anche a rispondere rapidamente e a riprendersi in modo efficiente in caso di violazione.