Posted by Alain De Cristofaris
Il 15 luglio 2010 il Copasir, Comitato Parlamentare per la sicurezza della Repubblica, ha reso noto la sua "Relazione sulla cyber sicurezza e la difesa delle infrastrutture critiche". Il rapporto dedica una sezione ai temi della sicurezza, continuità operativa e Business Continuity in ambito bancario, sezione di seguito riprodotta.
5.1. La protezione delle infrastrutture critiche in Italia
(…)
In linea con quanto indicato dalla Banca Centrale Europea, nel 2007 la Banca d’Italia ha emanato le disposizioni per la continuità operativa per gli operatori finanziari, definiti «processi a rilevanza sistemica», anche in caso di attacco informatico. I nuovi requisiti sono stati applicati con gradualità con l’obiettivo di raggiungere la completa conformità entro 5 anni.
I processi ad alta criticità nel sistema finanziario italiano, se intaccati o manipolati, possono provocare blocchi nei sistemi di pagamento e nelle procedure per l’accesso ai mercati finanziari, sino a colpire l’operatività dell’intera piazza finanziaria nazionale. Si tratta di un complesso strutturato di attività finalizzate all’erogazione dei servizi connessi con i sistemi di regolamento interbancario, compensazione, garanzia e liquidazione degli strumenti finanziari, servizi per l’accesso ai mercati, fino alla erogazione di denaro agli utenti.
Le disposizioni della Banca d’Italia richiedono che le banche o gli istituti finanziari nominino un responsabile per la gestione dei piani di continuità operativa e definiscano gli scenari di rischio rilevanti per la continuità operativa dei processi a rilevanza sistemica, inclusi quelli di attacco informatico, che devono essere documentati e costantemente aggiornati. Le stesse disposizioni richiedono che gli istituti finanziari si dotino di siti di recovery per la gestione di questi processi di rilevanza sistemica, situati a congrua distanza dai siti primari in modo da assicurare un elevato grado di indipendenza tra i due insediamenti. Sono stati anche previsti dei tempi di ripristino in caso di incidente contenuti nelle quattro ore, in modo da ridurre al minimo la perdita di informazioni. Si richiede infine che gli istituti finanziari coinvolti svolgano delle verifiche con frequenza almeno annuale e che partecipino attivamente ai test di sistema promossi dalle autorità, dai mercati e dalle principali infrastrutture finanziarie.
È da segnalare l’attività dell’ABI LAB , una struttura all’interno dell’Associazione Bancaria Italiana, attiva per la definizione e lo sviluppo di best practices in ambito di sicurezza informatica e continuità operativa.
Il canale dell’internet banking in Italia è ad oggi abilitato per un numero di clienti che supera i 13 milioni e che si proietta in crescita costante. Particolarmente allarmante è risultato, negli ultimi anni, il fenomeno del furto d’identità, sotto forma di due strumenti: il phishing e il crimeware (nota 61).
La Centrale d’Allarme ABI LAB effettua una rilevazione annuale del fenomeno delle frodi informatiche nel settore bancario. Nei primi mesi del 2010 sono state raccolte le evidenze relative alla diffusione del fenomeno nell’anno 2009, aggregando un campione di 162 istituti di credito, rappresentativi del 75% del sistema bancario italiano, del 78% in termini di dipendenti e dell’81,6% dei clienti online abilitati.
L’89% delle banche del campione ha dichiarato di aver riscontrato tentativi fraudolenti mirati al furto delle credenziali di autenticazione all’home banking. A fronte di una sostanziale riduzione dell’incidenza percentuale delle frodi informatiche perpetrate tramite phishing (le falle nel sistema hanno concesso lo 0,6% di casi di smarrimento di identità informatica), si assiste per contro ad un aumento degli attacchi di crimeware. Nel corso del 2009, infatti, il 37,9% degli attacchi subiti dalle banche del campione sono riferibili al fenomeno del phishing, mentre nel 47,5% dei casi essi sono riconducibili a crimeware; nel 14,6% dei casi non è stato possibile determinare la causa primaria di perdita delle credenziali da parte dei clienti.
Nella consapevolezza che quello bancario sia tra i network più sensibili rispetto alle possibili infiltrazioni delle reti criminali informatiche, vanno richiamate alcune sedi di cooperazione internazionale.
L’ABI partecipa ai seguenti forum di coordinamento:
- IT Fraud Working Group (Federazione Bancaria Europea): gruppo di lavoro della Federazione bancaria europea per lo scambio di informazioni sul fenomeno delle frodi informatiche e il confronto sulle iniziative di prevenzione e contrasto avviate dalle associazioni bancarie nazionali nei propri domini di riferimento;
- FI-ISAC: gruppo di lavoro promosso dall’Agenzia europea ENISA per la costituzione di un centro dedicato alle istituzioni finanziarie. Vi partecipano rappresentanti delle istituzioni bancarie di riferimento di 19 Paesi, i rappresentanti dei CERT nazionali e i rappresentanti delle Forze dell’ordine;
- CISEG (Cybercrime Information Sharing Expert Group): task force in staff al Gruppo di Supporto sulla Sicurezza Informatica (ISSG) attivato dallo European Payment Council, che ha l’obiettivo di favorire lo scambio di informazioni rilevanti per il fenomeno del crimine informatico.
Esistono inoltre numerosi gruppi tecnici di lavoro nelle sedi internazionali preposte alla vigilanza del sistema bancario e finanziario.
Dal 2004 la Banca d’Italia ha emanato la Normativa di Vigilanza «Continuità operativa in casi di emergenza», che impone alle 800 banche italiane di dotarsi di un Piano di Continuità Operativa (Business Continuity Plan). Nel 2007, la stessa Banca d’Italia ha emanato una Normativa di Vigilanza («Requisiti particolari per la continuità operativa dei processi a rilevanza sistemica»), volta ad accrescere gli obblighi a carico degli operatori che gestiscono processi a rilevanza strategica nel sistema finanziario italiano, con particolare riferimento al sistema dei pagamenti e alle procedure per l’accesso ai mercati finanziari. Il tavolo CODISE (Continuità Di Servizio), che riunisce gli operatori e le tre banche a rilevanza sistemica ed è coordinato dalla Banca d’Italia d’intesa con la CONSOB, rappresenta il principale punto di incontro istituzionale per la definizione di iniziative per la protezione delle infrastrutture di rete di interesse nazionale.
Un’altra organizzazione di riferimento è l’Associazione Italiana Esperti Infrastrutture Critiche, un forum che coinvolge esperti multidisciplinari in tematiche connesse con la protezione delle infrastrutture critiche. Un ruolo primario viene svolto dal CLUSIT, il club italiano per la sicurezza informatica che riunisce oltre 100 organizzazioni private, statali e fornitrici di servizi di IT security.
Note
Nota 61) Il phishing consiste nella creazione e nell’uso di messaggi e-mail o SMS che invitano a consultare siti web realizzati da truffatori per carpire informazioni personali e riservate. Con il termine crimeware si fa invece riferimento a una specifica classe di codici malevoli (malware), che si diffondono attraverso internet e che sono in grado di installarsi automaticamente sul PC del cliente, rendendo disponibili informazioni personali e codici di accesso a aree riservate.
