Il report di Bankitalia include sia gli incidenti operativi sia quelli cyber. Infatti, il Framework segnaletico di Vigilanza degli incidenti operativi o di sicurezza (qui il link), nel misurare un aumento del 45% degli episodi nell’arco di 12 mesi e quindi a cavallo tra il 2023 e il 2024, tiene conto di due differenti talloni di Achille, entrambi di origine digitale.

Il primo è afferente agli incidenti dovuti ad adeguamenti hardware e software (il 79% relativo) e il secondo guarda agli incidenti cyber, in crescita dell’8% rispetto al 2023.

C’è quindi da chiedersi quale sia il grado di maturità tecnologica di un comparto vitale per il Paese, peraltro costantemente alle prese con nuove minacce.

Approfondiamo questo tema con l’ICT Security manager Enrico Morisi.

Cosa c’è nel report di Bankitalia

Il rapporto è una finestra sulla resilienza operativa e cyber del settore finanziario nostrano. Va tenuto presente che, essendo relativo all’anno 2024, il report non può essere inserito nel quadro del regolamento DORA (Digital Operational Resilience Act), entrato in vigore il 17 gennaio del 2025 e al quale abbiamo dedicato più di un approfondimento.

Il primo elemento che balza agli occhi, come detto, è l’aumento delle segnalazioni di incidenti trasmesse a Bankitalia, 188 in tutto, ossia in aumento del 45% rispetto al 2023.

Il dato va però sviscerato. Infatti, i singoli incidenti sono in realtà diminuiti (103 nel 2024 contro i 113 del 2023) ma hanno coinvolto un numero maggiore di intermediari, 73 in tutto e pari al 47% di quelli monitorati dal rapporto.

Va notato che, nel 65% dei casi segnalati, ha avuto un ruolo un fornitore esterno e questo, se mai ce ne fosse bisogno, rilancia l’annosa questione della cyber security lungo tutta la supply chain, che sarà sempre più terreno su cui cyber crimine e organizzazioni battaglieranno.

Gli incidenti operativi e quelli cyber

Gli incidenti operativi nel 2024 sono stati 148 contro i 93 del 2023 e rappresentano il 79% di tutti gli episodi annunciati.

Si è trattato per lo più di malfunzionamenti software, nel 30% dei casi diretta conseguenza di cambiamenti all’interno delle infrastrutture IT delle organizzazioni finanziarie.

Gli incidenti cyber, pure essendo stati circa il 21% del totale (1 ogni 5) e sono passati dai 37 episodi del 2023 ai 40 del 2024 con un amento dell’8%.

Meno attacchi DDoS ma maggiore esposizione a malware e ransomware

A fronte di una minore attività di attacchi Distributed Denial of Service (DDoS) che, nel corso del 2024 sono diminuiti del 75% rispetto al 2023 passando da 16 a 4, il report di Bankitalia riporta l’aumento di altri attacchi, su tuti via malware, ransomware, accessi non autorizzati e gli attacchi di social engineering.

Gli impatti degli attacchi

Gli incidenti sono occorsi soprattutto ai servizi di pagamento, ossia le app di mobile banking, i siti di e-banking e i bancomat. Questi attacchi, misurati in ragione dell’80%, sono tutto sommato stabili rispetto ai 12 mesi precedenti.

L’interruzione della disponibilità e della continuità dei servizi sono state le conseguenze più diffuse e hanno interessato circa il 70% degli incidenti.

C’è anche da tenere conto degli aspetti finanziari i quali, irrilevanti nella quasi totalità degli incidenti, hanno causato costi per oltre 2milioni di euro in sette casi specifici, in seguito ad attacchi di social engineering che hanno preso di mira le alte sfere delle organizzazioni, ma anche in seguito a errori operativi che hanno messo fuori gioco i sistemi.

I tempi di interruzione dei servizi sono esplosi, raggiungendo una media di 21 ore contro le 9 ore del 2023 e, ancora una volta, concausa di questi blackout prolungati sono stati i fornitori.

Qualche considerazione

Il comparto finanziario nazionale non è esente da incidenti, siano questi di natura operativa oppure di cybersecurity. Per misurare il fenomeno occorre procedere per gradi, iniziando con il capire se questi incidenti sono da considerare naturali in un comparto altamente digitalizzato oppure sono anomali proprio per via dell’alta digitalizzazione che, in quanto tale, dovrebbe essere gestita da persone qualificate e capaci di scongiurare il peggio in qualsiasi occasione o contesto.

La riflessione di Enrico Morisi scioglie l’arcano: “L’aumento della complessità dei sistemi, spesso caratterizzati da un ricorso, talvolta ‘disinvolto’, a soluzioni ‘custom’, strategia che, tra l’altro, potrebbe rendere le richieste di change management di difficile implementazione, esponendo i sistemi stessi a rischi imprevedibili o, addirittura, eccessivi, potrebbe essere alla radice dell’aumento rilevato dal report di Banca d’Italia.

Anche i rischi associati alle terze parti che, guarda caso, sono quelli che sembrano incidere maggiormente sull’aumento, potrebbero rappresentarne la chiave interpretativa: si tratta, infatti, di rischi tipicamente fuori dal controllo delle organizzazioni, la cui gestione virtuosa, proprio perché rappresenta un impegno tanto sfidante quanto decisivo per la loro resilienza, è divenuta uno dei pilastri di alcune delle recenti normative europee, come il regolamento DORA.

Tra le sfide più impegnative che le organizzazioni del comparto finanziario devono affrontare potrebbero essere annoverate, ad esempio, anche l’adozione di sistemi di backup che garantiscano i necessari requisiti di sicurezza, la stesura di piani e la pianificazione ed effettuazione di test periodici di Business Continuity e Disaster Recovery, simulando anche scenari reali, la designazione di ruoli e la previsione di budget adeguati e dedicati allo sviluppo di opportuni programmi di Information Security”.

A questo punto è utile comprendere se il settore finanziario è sostanzialmente sicuro e se, di conseguenza, correntisti e clienti, investitori e stakeholder in genere devono preoccuparsi o meno: “Il manifestarsi di incidenti di Information Security, siano essi di natura ‘operativa’ o ‘cyber’, è da considerarsi fisiologico allo stato attuale, l’importante è che sia svolta un’accurata e periodica attività di gestione del rischio, orientata ad implementare opportune soluzioni di mitigazione che lo abbassino sotto un livello ritenuto accettabile per le organizzazioni, anche al fine di garantire determinati livelli di servizio e tempi di rientro accettabili: non deve essere l’incidente a dover preoccupare, ma l’adozione di misure predittive, preventive e proattive inadeguate e non adattate, nel tempo, alla mutevole galassia di minacce incombenti”, spiega Enrico Morisi.

Non è l’incidente in sé a dovere destare preoccupazioni ma la capacità delle organizzazioni di rimediarvi e di impedire che, in futuro, episodi simili si ripetano. Tutto ciò è possibile solo grazie a competenze in linea con le difficoltà imposte dal settore. Va quindi compreso se queste competenze ci sono e se sono facilmente reperibili: “Le competenze nel comparto finanziario non mancano e non sono certo inferiori a quelle disponibili in altri settori, considerata anche la criticità dei servizi erogati e la presenza di requisiti cogenti più severi.

Ciò su cui si deve investire maggiormente e instancabilmente è, come sempre, la promozione della cultura della sicurezza, che non può e non deve essere considerata un ‘problema’ dell’IT, ma un’opportunità per l’intera organizzazione: confidenzialità, integrità, disponibilità, autenticità e non ripudio sono presidi e garanzie preziose per lo sviluppo e il benessere delle imprese”, conclude l’esperto.