Negli ultimi anni l’Unione europea ha avviato un percorso ambizioso per rafforzare la resilienza digitale e fronteggiare le crescenti minacce informatiche. La progressiva digitalizzazione dei servizi essenziali, l’interconnessione globale delle infrastrutture e la crescente sofisticazione degli attacchi cyber hanno imposto la necessità di un approccio normativo coordinato e sistemico.
Da qui nasce un articolato ecosistema normativo che integra quattro strumenti chiave: NIS2 (la direttiva per la sicurezza delle infrastrutture critiche), Digital Operational Resilience Act (DORA, il regolamento volto a rafforzare la resilienza operativa digitale nel settore finanziario), Cyber Resilience Act (CRA, il Regolamento europeo in vigore il 10 dicembre 2024) e AI Act (il quadro normativo globale dell’Unione Europea sull’intelligenza artificiale).
Per molto tempo, la lotta contro la criminalità informatica nel settore finanziario è stata una “guerriglia”, in cui ogni banca metteva in pratica quelle misure che riteneva appropriate per proteggersi da qualsiasi minaccia emergente.
Nel corso degli anni, però, le banche e i governi hanno compreso che organizzarsi e cooperare in questa sfida continua può essere vantaggioso per tutte le parti coinvolte.
In particolare, le iniziative normative promosse dall’Unione europea come il DORA e il CRA sono esempi di regolamentazione nell’ambito della sicurezza informatica che si completano e lavorano in questa direzione.
Indice degli argomenti
L’applicazione di quadri normativi come DORA e CRA
Nello specifico, DORA richiede alle banche di istituire solidi quadri di gestione dei rischi tecnologici, redigere rapporti periodici sugli incidenti e attuare piani di ripristino efficaci.
Invece il CRA si concentra sul miglioramento della resilienza informatica di tutti i prodotti tecnologici, compresi quelli destinati a sistemi critici come gli ATM, imponendo ai produttori e ai fornitori di tecnologia di attuare misure di sicurezza informatica dalle fasi iniziali di sviluppo, per garantire che i sistemi siano resistenti alle minacce informatiche e alle vulnerabilità durante tutto il ciclo di vita del prodotto.
Dal punto di vista della sicurezza informatica, per quanto riguarda la protezione degli ATM, l’applicazione di quadri normativi come DORA e CRA è essenziale.
Entrambi i quadri normativi richiedono infatti ai fornitori di servizi finanziari di adottare misure di sicurezza informatica rigorose, che includono l’obbligo di eseguire test di sicurezza continui, anche per essere preparati contro qualsiasi attacco sconosciuto.
La sicurezza degli ATM
Inoltre, CRA sottolinea inoltre la necessità che gli istituti finanziari e i loro fornitori collaborino strettamente per garantire che tutti i componenti coinvolti nel sistema – dai software ai dispositivi fisici – soddisfino gli standard di sicurezza richiesti.
Per facilitare questa collaborazione, esistono iniziative come quella promossa dal Financial Stability Board (FSB), che ha sviluppato il quadro FIRE (Format for Incident Reporting Exchange) per standardizzare la segnalazione degli incidenti tra gli istituti finanziari, non solo all’interno dell’Unione europea, ma a livello globale.
Per la sicurezza degli ATM, questa iniziativa è fondamentale, poiché le violazioni o gli attacchi hanno spesso implicazioni internazionali. La segnalazione coordinata e la trasparenza tra tutti i soggetti coinvolti consentono risposte più rapide e piani di ripristino migliori.
Per mitigare in modo efficiente i rischi operativi, è infatti necessario uno sforzo collettivo per coordinare tutte le normative globali esistenti, che contribuirà senza dubbio a stabilire un quadro di protezione comune che renderà molto più difficile l’azione dei criminali informatici.
La conformità normativa per le banche
Per il settore bancario, queste normative implicano un ripensamento profondo della gestione Ict, richiedendo risk management continuo su tutte le infrastrutture digitali, esercitazioni di resilienza, e rigorosi controlli sui fornitori tecnologici.
Il nuovo quadro rappresenta un importante passo avanti nel regolamentare l’attivazione di policy di sicurezza, un’evoluzione necessaria e stimolante.
Si tratta di una duplice opportunità: la possibilità di integrare security-by-design nei prodotti e servizi e l’opportunità di posizionarsi come partner strategico per supportare i clienti bancari nei percorsi di compliance, detection & response e innovazione sicura.
A sua volta, la conformità normativa per le banche non deve rappresentare un vincolo ma un’opportunità per rafforzare fiducia, sostenibilità operativa e vantaggio competitivo nel lungo periodo.
Rischi e problematiche
Nonostante la spinta positiva nell’adozione di policy più stringenti per favorire una maggiore sicurezza, non mancano le criticità.
Una prima considerazione riguarda la complessità normativa, perché il coordinamento tra più normative può generare ambiguità o sovrapposizioni nei requisiti, e le tempistiche, soprattutto per le realtà più piccole, possono rappresentare un ostacolo.
Inoltre, l’obbligo di controllo anche su fornitori e subappaltatori introduce nuove responsabilità operative, rendendo il processo molto più complesso. Infine, c’è il rischio di privilegiare l’adempimento documentale, data la forte burocrazia richiesta, anziché l’effettivo rafforzamento della resilienza.
I principali ostacoli alla resilienza digitale europea
Rispetto ad altri Paesi Europei, l’Italia presenta un buon livello di compliance, dal momento che l’ecosistema bancario italiano è tra i più regolati e ha già avviato percorsi di implementazione delle misure previste dalle normative.
Però, data la non uniformità della maturità digitale, ci sono differenze significative tra i grandi gruppi bancari e realtà territoriali più piccole.
I principali ostacoli sono rappresentati dalla frammentazione delle competenze, dalla limitata diffusione della cultura organizzativa orientata alla cyber resilienza e alla necessità di accelerare la cooperazione pubblico-privato per la condivisione di best practice e della segnalazione delle minacce.
Prospettive future
L’Europa sta costruendo un modello di resilienza digitale tra i più avanzati al mondo.
Chi saprà investire tempestivamente in cultura cyber, tecnologie sicure e compliance normativa potrà trarre vantaggio competitivo nel nuovo mercato digitale europeo.
