Cyber-rischi (2024)
La piazza finanziaria svizzera rimane nel mirino della cyber-criminalità internazionale, fra l’altro di noti ruppi internazionali di ransomware, come PLAY, AKIRA e Lockbit 3.0. Nel contempo, intensificando la vigilanza sui piccoli partecipanti al mercato, come i gestori patrimoniali indipendenti o gli intermediari assicurativi non vincolati, la FINMA ha registrato un incremento dei cyber-attacchi perpetrati nei confronti di questi assoggettati.
Gli assoggettati di tutte le categorie di vigilanza hanno notificato un numero crescente di cyber-incidenti in relazione con il cosiddetto Business E-Mail Compromise (BEC; truffa basata sulla manipolazione di fatture) e sotto varie forme di cyber-truffe, come quella del CEO (richiesta fraudolenta di pagamento in cui i criminali si spacciano per una persona con funzione di responsabile in seno all’azienda). Alcuni degli incidenti hanno comportato danni elevati per gli istituti interessati e i loro clienti. Alla FINMA sono stati notificati anche attacchi SIM-Swapping (forma di furto di identità in cui viene aggirata l’autentificazione a due fattori, il che consente di ordinare o di rubare una scheda SIM digitale).
Lo scambio di e-mail si conferma il vettore più frequente di infezione durante un cyber-incidente presso gli assoggettati di minori dimensioni. Dai rapporti sulle cause pervenuti emerge che le misure di protezione contro i cyber-attacchi adottate da tali assoggettati alla vigilanza erano meno estese o presentavano un minore grado di maturità, per quanto concerne sia la sensibilizzazione sia le misure tecniche di protezione.
Processi inadeguati per l’individuazione e la tempestiva rimozione delle vulnerabilità dei software all’interno dell’infrastruttura tecnologica come pure lacune nella gestione della configurazione hanno costituito ulteriori porte di ingresso per gli autori degli attacchi. Ad esempio, l’autenticazione a più fattori ha potuto essere aggirata a causa di errori di configurazione oppure gli istituti interessati non disponevano di un’autenticazione completa a due fattori.
Più volte e per lunghi periodi di tempo, gli istituti colpiti non si sono accorti dei cyber-attacchi. Tali attacchi sono stati perpetrati su un’infrastruttura tecnologica obsoleta o non oggetto di interventi regolari di manutenzione, oppure i fornitori esterni non hanno informato tempestivamente gli istituti interessati. Da un lato, ciò indica notevoli lacune nella gestione del ciclo di vita dell’infrastruttura informatica, dall’altro mostra carenze nel sistema di cyber-sicurezza in relazione ai fornitori di servizi. La capacità di individuazione e di reazione degli istituti rimane un fattore decisivo per una gestione efficace dei cyber-attacchi. Ciò è corroborato già dal fatto che un quarto degli incidenti segnalati costituisce infezioni da malware.
Lo scorso anno si sono nuovamente verificate varie ondate di attacchi alla disponibilità dell’infrastruttura tecnologica, i cosiddetti attacchi di interruzione distribuita del servizio (Distributed Denial of Service, DDoS; attacchi alla disponibilità dell’infrastruttura tecnologica), che hanno comportato limitazioni temporanee per i partecipanti svizzeri al mercato e la rispettiva clientela. Gli attacchi avevano per lo più una motivazione di carattere finanziario ed erano accompagnati da lettere di estorsione. Infrastrutture critiche in Svizzera sono state colpite anche da ondate di DDoS motivate da ragioni ideologiche.
Gli attacchi alle catene di approvvigionamento e i cyber-incidenti in relazione con servizi e funzioni esternalizzati permangono rilevanti e continuano a costituire circa un terzo di tutti i cyber-incidenti notificati. Si prevede che i cyber-attacchi alle catene di fornitura delle tecnologie dell’informazione e della comunicazione continueranno ad aumentare. Occorre pertanto adottare misure tecniche e organizzative per proteggere i processi operativi essenziali e i dati critici.
(Dal Monitoraggio dei rischi 2024)
