(Teleborsa) - La
Banca centrale europea (BCE) ha
concluso la prova di stress sulla resilienza cibernetica, intesa a valutare la risposta e il ripristino da parte delle banche in caso di incidente di cibersicurezza grave ma plausibile. Nel complesso è emerso che "le banche
dispongono di sistemi di risposta e ripristino, ma restano aree di miglioramento", si legge in una nota. I risultati, che confluiranno nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP) 2024, hanno contribuito a sensibilizzare le banche riguardo ai punti di forza e debolezza dei rispettivi sistemi di resilienza cibernetica.
L'esercizio, avviato nel gennaio 2024, prevedeva uno scenario di prova fittizio nel cui ambito tutte le misure preventive fallivano e un attacco cibernetico si ripercuoteva gravemente sulle basi di dati dei sistemi fondamentali di ciascuna banca. La prova di stress si è quindi
incentrata sulla risposta e sul ripristino da parte delle banche in caso di attacco cibernetico, anziché sui meccanismi di prevenzione.
La prova di stress ha visto
coinvolte 109 banche vigilate direttamente dalla BCE. Tutte sono state chiamate a rispondere a un questionario e a sottoporre documentazione all'esame dei responsabili della vigilanza, mentre un
campione di 28 banche è stato selezionato per
verifiche più approfondite. A queste ultime è stato chiesto di eseguire un test di ripristino informatico a tutti gli effetti e di fornire elementi comprovanti il successo di tale test, oltre ad accertamenti in loco da parte dei responsabili della vigilanza.
Per
mettere alla prova la loro risposta allo scenario, le banche hanno dovuto dimostrare la capacità di: attivare i propri piani di risposta alle crisi, incluse le procedure interne di gestione delle crisi e i piani di continuità operativa; comunicare con tutte le parti interessate esterne, quali i clienti, i prestatori di servizi e le forze dell'ordine; effettuare un'analisi allo scopo di individuare quali sarebbero i servizi interessati e come; attuare misure di mitigazione, incluse soluzioni che aiuterebbero la banca a operare durante il periodo necessario per il pieno ripristino dei sistemi informatici.
Per
mettere alla prova la capacità di ripristino in seguito allo scenario, le banche hanno dovuto dimostrare di poter: attivare i propri piani di ripristino, anche recuperando i dati dai back-up e allineandosi con i fornitori terzi di servizi essenziali nelle modalità di risposta all'incidente; assicurare di avere provveduto al ripristino e al buon funzionamento delle aree colpite; beneficiare degli insegnamenti tratti, ad esempio mediante il riesame dei piani di risposta e ripristino.