Nuovo concetto di vigilanza per i cyber-rischi e Comunicazione sulla vigilanza

Anche nel 2020 la FINMA ha quindi ulteriormente rafforzato le sue risorse in questo settore. Il pertinente concetto in materia prevede che la vigilanza degli istituti finanziari venga effettuata in tre ambiti: analisi delle minacce, vigilanza continua e gestione degli incidenti o gestione delle crisi. Tale concetto, operativo dall’inizio del 2020, consente a tutta la FINMA un monitoraggio sistematico dei cyber-rischi presso tutti gli assoggettati.

Per quanto concerne l’implementazione del concetto di vigilanza, la priorità è stata attribuita alla definizione delle minacce attuali, alla valutazione specialistica delle richieste di autorizzazione, soprattutto nel settore fintech, e allo svolgimento di controlli in loco presso gli istituti finanziari.

La FINMA ritiene essenziale essere tempestivamente messa al corrente dei cyber-incidenti critici presso gli assoggettati. Solo così può fornire supporto agli assoggettati nelle situazioni di crisi ed eventualmente adoperarsi affinché altri istituti siano allertati di fronte ad attacchi dello stesso tipo o analoghi. Di conseguenza, gli assoggettati devono notificare alla FINMA i casi in cui funzioni critiche sono state bersaglio di cyber-attacchi di grande importanza. I requisiti concernenti tale obbligo di notifica di cui all’art. 29 cpv. 2 della Legge sulla vigilanza dei mercati finanziari (LFINMA) sono stati resi noti nel dialogo assiduo intrattenuto con gli assoggettati e con la Comunicazione sulla vigilanza 05/2020.

(Dal Rapporto annuale 2020)