Test TLPT, c’è il regolamento delegato di DORA: tutto sul Threat-Led Penetration Testing

Il Regolamento Delegato (UE) 2025/1190, che disciplina i test TLPT (Threat Led Penetration Testing), costituisce una delle poche reali novità introdotte da DORA.

In particolare, il nuovo regolamento delegato integra il DORA con le norme tecniche di regolamentazione sul processo e la struttura dei test di penetrazione guidati dalla minaccia.

Test TLPT: cosa è necessario sapere

In precedenza, infatti, sebbene esistessero già a livello europeo iniziative dedicate ai test di resilienza operativa, in particolare TIBER-EU, un framework di per il red-teaming etico basato sulla threat intelligence (disponibile nell’adattamento italiano sul sito di Banca d’Italia), non esisteva una normativa vincolante che imponesse questo tipo di test.

TIBER EU è il modello su cui è stato redatto il nuovo regolamento.

È quindi importante conoscerlo anche perché, rispetto al regolamento delegato, è molto più esteso e articolato, ed è composto da diversi documenti (per esempio Red Team Testing, Services Procurement Guidelines, White Team Guidance… oltre che da diverse varianti nazionali dalle quali trarre spunto).

Al di fuori della UE, nel Regno Unito è stato pubblicato un analogo framework, il CBEST Threat Intelligence-Led Assessment, anch’esso utile per un confronto.

I test possono essere svolti solo da personale esterno altamente qualificato, come indicato nell’articolo 7 del regolamento delegato.

È concesso, ma non consigliato, lo svolgimento dei test da parte di personale interno, ma in questo caso devono essere rispettati i criteri previsti dall’articolo 15.

La normativa prevede, fra gli altri, che il ricorso a soggetti interni deve essere approvato dall’autorità competente.

Va considerato, inoltre, che, nel caso in cui si ricorra a fornitori esterni, questi devono essere dotati di una copertura assicurativa che tuteli l’entità finanziaria, il che ovviamente non è previsto nel caso di uso di soggetti interni.

Chi è soggetto ai test TLPT

L’ambito di applicazione dei TLPT non riguarda tutte le entità finanziarie soggette a DORA, ma solo quelle per le quali è giustificata, data la loro complessità ed i rischi connessi.

Le autorità competenti per i TLPT (TLPT Competent Authorities), valutano ‘obbligo di svolgere tali test basandosi su una serie di criteri legati all’impatto, al carattere sistemico e al profilo di rischio informatico dell’entità.

Fra i soggetti che sono generalmente obbligati a svolgere i TLPT, a meno che una valutazione globale non dimostri il contrario, compaiano le seguenti entità:

• enti creditizi identificati come G-SII o O-SII, o facenti parte di essi;
• istituti di pagamento che superano i 150 miliardi di euro in valore complessivo di operazioni negli ultimi due anni civili;
• istituti di moneta elettronica che superano i 150 miliardi di euro in operazioni o 40 miliardi di euro in moneta elettronica in circolazione negli ultimi due anni civili;
• depositari centrali di titoli e controparti centrali;
• sedi di negoziazione con un sistema elettronico di negoziazione in specifici strumenti finanziari;
• imprese di assicurazione e riassicurazione che soddisfano specifici criteri quantitativi relativi a premio lordo contabilizzato, riserve tecniche e attività totali.

Fra i criteri (fattori correlati all’impatto e al carattere sistemico) che portano a considerare applicabili gli adempimenti previsti ad una specifica entità finanziaria sono previsti fattori come la dimensione dell’entità, la sua interconnessione, la criticità e sostituibilità dei servizi, la complessità del modello aziendale e l’appartenenza a un gruppo sistemico.

Per i rischi informatici (fattori correlati ai rischi informatici) si analizzano il profilo di rischio, il panorama delle minacce, la dipendenza dai sistemi Ict, la complessità dell’architettura Ict, la dipendenza da fornitori terzi e la maturità dei piani di continuità operativa e delle misure di sicurezza Ict.

I soggetti coinvolti

Il numero di categorie di attori coinvolti in un test TLPT è rilevante ed al riguardo il regolamento delegato riporta le seguenti definizioni:

• team di controllo: il team composto dal personale dell’entità finanziaria sottoposta a test e, se pertinente in considerazione dell’ambito di applicazione del TLPT, dal personale dei suoi fornitori terzi di servizi e da qualsiasi altra parte, che gestisce il test;
• responsabile del team di controllo: il membro del personale dell’entità finanziaria responsabile della conduzione di tutte le attività relative al TLPT per l’entità finanziaria nel contesto di un determinato test. Le entità finanziarie nominano un responsabile del team di controllo che ha la responsabilità della gestione quotidiana del TLPT e delle decisioni e azioni del team di controllo;
• blue team: il personale dell’entità finanziaria e, se del caso, il personale dei fornitori terzi di servizi dell’entità finanziaria e di qualsiasi altra parte ritenuta pertinente in considerazione dell’ambito di applicazione del TLPT, e dei fornitori terzi di servizi dell’entità finanziaria, che difende l’uso dei sistemi informatici e di rete da parte di un’entità finanziaria mantenendo la propria posizione di sicurezza contro attacchi simulati o reali e che non è a conoscenza del TLPT. Fra i compiti del blue team, rientrano le attività del centro operativo di sicurezza, servizi di infrastruttura delle TIc, servizi di helpdesk, servizi di gestione degli incidenti a livello operativo;
• red team: i soggetti incaricati dello svolgimento dei test, interni o esterni, di cui ci si avvale per un TLPT o assegnati a un TLPT
• purple teaming: un’attività di test collaborativa che coinvolge sia i soggetti incaricati dello svolgimento dei test che il blue team;
• team informatico TLPT: il personale delle autorità competenti per il TLPT che ha la responsabilità delle questioni relative ai TLPT. Un’autorità competente per il TLPT attribuisce a un team informatico TLPT la responsabilità di coordinare le attività relative ai TLPT.
• responsabili dei test: il personale designato a dirigere le attività dell’autorità competente per il TLPT per uno specifico TLPT, al fine di monitorare la conformità con il presente regolamento. Un team informatico TLPT è composto da responsabili dei test incaricati di supervisionare un singolo TLPT;
• soggetti che forniscono analisi delle minacce: gli esperti, incaricati dall’entità finanziaria per ciascun TLPT, ed esterni all’entità stessa e agli eventuali fornitori intragruppo di servizi TIc, che raccolgono ed esaminano analisi mirate sulle minacce pertinenti per le entità finanziarie nell’ambito di uno specifico esercizio di TLPT e sviluppano corrispondenti scenari di minaccia pertinenti e realistici.

Informazioni e rischi

L’entità finanziaria deve mettere in atto misure atte a garantire la riservatezza delle informazioni attinenti al test.

L’accesso alle informazioni relative a qualsiasi TLPT deve essere limitato, in base alla necessità di sapere, al team di controllo, all’organo di gestione, ai soggetti incaricati dello svolgimento dei test, al soggetto che fornisce analisi delle minacce e all’autorità competente per il TLPT.

Devono essere predisposte disposizioni relative alla segretezza del TLPT, applicabili al personale dell’entità finanziaria, al personale dei fornitori terzi di servizi TIc interessati, ai soggetti incaricati dello svolgimento dei test e al soggetto che fornisce analisi delle minacce.

Anche la valutazione dei rischi derivanti dalla conduzione del test deve essere definita.

Durante la fase di preparazione, il team di controllo valuta i rischi associati al sottoporre a test i sistemi di produzione attivi di funzioni essenziali o importanti dell’entità finanziaria, compresi i potenziali impatti sul settore finanziario e sulla stabilità finanziaria a livello dell’Unione o nazionale.

Il team di controllo deve mantenere costantemente esaminati questi rischi durante la durata di tutto il test.

Le fasi del test TLPT

Gli articoli dal 9 al 13 del regolamento delegato si snodano come un flow molto dettagliato che descrive ogni singolo passo del processo di test.

Questo ha inizio con una notifica, da parte dell’autorità competente, circa la necessità di condurre un TLPT.

Successivamente vi è una fase di preparazione del test, nella quale l’entità finanziaria deve presentare la documentazione inerente il test e i dettagli del team di controllo.

Deve anche definire l’ambito del test, scegliendo funzioni essenziali o importanti in base a criteri come l’impatto sul settore e la stabilità finanziaria.

La selezione e la convalida dei fornitori di TLPT avvengono in questa fase. Il test vero e proprio parte con l’analisi delle minacce.

Test TLPT: analisi delle minacce

Il soggetto che fornisce l’analisi delle minacce esamina le analisi delle minacce generiche e settoriali pertinenti per l’entità finanziaria, riferendosi eventualmente al panorama delle minacce generico per il settore finanziario di uno Stato membro fornito dall’autorità competente per il TLPT.

Il soggetto che fornisce analisi delle minacce individua le minacce informatiche nonché le vulnerabilità esistenti o potenziali riguardanti l’entità finanziaria, raccoglie informazioni in merito ad analisi delle minacce e dei bersagli riguardanti l’entità finanziaria che siano concrete, fruibili e contestualizzate e provvede ad esaminarle, anche consultando il team di controllo e i responsabili dei test.

La relazione sull’analisi mirata delle minacce deve essere approvata dall’autorità.

Fase di test

Nella fase di test red team, i soggetti incaricati dello svolgimento dei test preparano un piano dettagliato basato sulle analisi delle minacce.

Se il piano relativo al test red team è completo e garantisce lo svolgimento di un TLPT efficace, il team di controllo e l’autorità competente per il TLPT approvano il relativo piano e l’autorità competente ne informa il responsabile del team di controllo.

La fase attiva di test dura almeno 12 settimane.

Il team di controllo può fornire “leg-up” (ovvero gli aiuti o le informazioni forniti dal team di controllo ai soggetti incaricati dello svolgimento dei test per consentire a questi ultimi di proseguire l’esecuzione di un percorso di attacco qualora non siano in grado di avanzare da soli e non esistano altre alternative ragionevoli, anche in caso di tempo o risorse insufficienti in un dato TLPT).

Fase di chiusura

Nella fase di chiusura, il blue team viene informato dell’avvenuto TLPT.

Entro quattro settimane, il red team presenta una relazione sul test, seguita entro dieci settimane da una relazione del blue team.

Entro 10 settimane dalla fine della fase attiva di test red team, il blue team e i soggetti incaricati dello svolgimento dei test replicano le azioni offensive e difensive eseguite durante il TLPT.

Il team di controllo esegue inoltre un esercizio di purple teaming su temi individuati di concerto dal blue team e dai soggetti incaricati dello svolgimento dei test, sulla base delle vulnerabilità individuate durante il test e, se del caso, su questioni che non hanno potuto essere sottoposte a test durante la fase attiva di test red team.

Al termine degli esercizi di replica e di purple teaming, il team di controllo, il blue team, i soggetti incaricati dello svolgimento dei test e i soggetti che forniscono analisi delle minacce scambiano reciprocamente riscontri sul processo di TLPT.

Terminato il test l’entità finanziaria deve presentare un piano correttivo entro otto settimane dalla notifica delle risultanze, dettagliando le carenze, le misure proposte, le cause profonde e le responsabilità.

Al termine del processo, l’autorità competente per il TLPT rilascia un attestato che riassume gli aspetti chiave del test.