Dall’entrata in vigore, nel settembre 2020, delle precisazioni sull’obbligo di notificare i cyber-attacchi (cfr. Comunicazione FINMA sulla vigilanza 05/2020), sino alla fine del 2022 sono pervenute complessivamente 160 segnalazioni di cyber-attacchi di grande importanza. Nel 2022 sono state registrate 63 segnalazioni, 48 delle quali hanno riguardato le banche. Più della metà dei cyber-attacchi ha colpito piccoli istituti. Circa un quarto degli attacchi è stato rivolto agli istituti delle categorie di vigilanza 3 o 4 e solo un cyber-attacco è stato messo a segno a danno di un grande istituto (cfr. grafico sottostante «Cyber-attacchi notificati alla FINMA nel 2022»). Informazioni dettagliate sulle notifiche pervenute sono disponibili nel Monitoraggio FINMA dei rischi 2022.
Anche nel Monitoraggio dei rischi pubblicato nel 2022 la FINMA ha pertanto indicato i cyber-rischi come uno dei sette rischi principali per la piazza finanziaria. Nel monitoraggio di tali rischi la FINMA si è focalizzata su due aspetti: da un lato ha osservato e valutato costantemente la situazione attuale delle minacce cyber e analizzato le notifiche di eventi rilevanti ai fini della cyber-sicurezza, dall’altro ha svolto controlli in loco specifici presso gli assoggettati come pure analisi degli scenari.
Dopo che il 2021 era stato contrassegnato da diversi attacchi compiuti con la tecnica della cosiddetta interruzione distribuita del servizio (distributed denial of service, DDoS), nel 2022 si sono registrati soprattutto attacchi perpetrati mediante malware che hanno minacciato l’integrità di componenti informatiche rilevanti. Le notifiche di eventi rilevanti ai fini della cyber-sicurezza hanno inoltre evidenziato che l’obiettivo principale degli attacchi permaneva l’accesso non autorizzato all’infrastruttura degli assoggettati. Gli attacchi sono stati condotti soprattutto tramite un fornitore esterno di servizi nell’ambito di un outsourcing, poi seguiti da attacchi basati sul web.
Nel 2022 molti degli attacchi contro le banche notificati (66%) hanno riguardato gli istituti delle categorie di vigilanza 4 e 5 . È risultato che questi istituti sono particolarmente esposti al rischio di attacchi, spesso in relazione con la tecnologia dell’informazione e della comunicazione esternalizzata a terzi (outsourcing). Inoltre, è emerso che spesso i piccoli istituti avevano posto requisiti troppo poco chiari in materia di cyber-sicurezza ai loro fornitori di servizi o non ne verificavano regolarmente il rispetto. La FINMA ha altresì constatato che spesso la gestione qualitativa del rischio operativo non considerava espressamente i cyber-rischi, pertanto non era garantita una gestione dei rischi sistematica e ad ampio raggio in ambito cibernetico.
Nel quadro della revisione totale della circolare sui rischi operativi delle banche (cfr. sezione «Revisione di circolari», pag. 69) sono state rielaborate in modo mirato anche le disposizioni del diritto in materia di vigilanza per i cyber-rischi. Ciò include, fra le altre cose, una precisazione dell’inventario delle tecnologie dell’informazione e della comunicazione (TIC), al fine di disporre di una base per l’identificazione tempestiva delle vulnerabilità e dei nessi tra minacce e rischi (la cosiddetta threat intelligence).
(Dal Rapporto annuale 2022)