LA SICUREZZA DELLE INFORMAZIONI E DELLE RISORSE INFORMATICHE

Con l’evoluzione del concetto di sicurezza che cerca di contrastare, in modo sempre più “aggressivo” rispetto al passato, i fattori che possono causare un danno per l’intermediario, quest’ultimo ha compreso che fosse errato ritenere che la tutela delle proprie attività riguardasse esclusivamente la “protezione delle informazioni” infatti, solo possedendo un efficace ed efficiente sistema di gestione della sicurezza l’intermediario può salvaguardarsi dalle minacce sia interne sia esterne.

La sicurezza delle informazioni e delle risorse ICT è assicurata mediante misure di copertura a livello logico e fisico, la cui intensità di realizzazione è proporzionata in rapporto agli esiti della valutazione del rischio. Queste misure sono ripartite su diversi strati affinché, un possibile danno in una determinata linea di difesa, sia coperta dalla consecutiva “difesa di profondità”, ed includono63_:

 I criteri di autorizzazione e controllo e i presidi fisici di difesa per l’accesso fisico a dati e sistemi;

62_{http://www.bancaditalia.it/compiti/vigilanza/normativa/archivionorme/circolari/c285/Circ_285_17_Aggto_Testo_Inte} grale_segnalibri.pdf , data ultima consultazione 27 novembre 2017.

60

 La pianificazione dell’accesso logico a sistemi, reti, considerando le concrete esigenze operative; i diritti di accesso sono approvati solo dopo la concessione dell’autorizzazione; la lista dei soggetti abilitati è assoggettata a verifica con frequenza definita;

 I principi di autenticazione per l’accesso ai sistemi e alle applicazioni, per esempio viene assicurato a ciascun utente delle esclusive credenziali di accesso;

 La suddivisione della rete di telecomunicazione, e l’accesso ai servizi e sistemi avversi tramite i canali pubblici, per esempio il caso dell’e-banking mediante Internet, che sono presidiati in modo tale da soddisfare requisiti di sicurezza abbastanza esigenti ed offrire un livello di protezione che sia conforme ai rischi da fronteggiare;

 L’utilizzo di tecniche e metodologie che garantiscano uno sviluppo protetto del software;

 Le regole per la selezione e gestione del personale che svolge operazioni critiche ed è adibito al trattamento dei dati, considerando in particolare le sue competenze e la sua affidabilità;

 La rilevazione continuativa non solo delle minacce e delle vulnerabilità di sicurezza, ma anche delle operazioni e di tutti quegli eventi affinché l’intermediario possa prevenire e gestire gli incidenti di sicurezza informatica.

Un sistema informativo bancario può reputarsi sicuro nel momento in cui implementa appropriate misure tecnologiche, organizzative che riescano a garantire l’efficienza e la sicurezza dell’intermediario. Per raggiungere questo obiettivo la banca deve da un lato, custodire le informazioni in maniera sicura ed efficiente, dall’altro deve porre particolare attenzione al dato, quindi evidenziare quando l’informazione circola o viene comunicata all’esterno. Si è discusso in maniera approfondita sul concetto di “sicurezza”, anche se questa nozione in assoluto non sussiste poiché, è vero che esistono adeguate misure protettive che riguardano specifiche esigenze percepite per una determinata risorsa, ma queste sono riferite ad un particolare momento. Per tale motivo l’Autorità di Vigilanza invoglia l’intermediario a considerare in modo particolare tutte quelle operazioni che, se sbagliate o non realizzate, possano pregiudicare gravemente non solo il regolare funzionamento del sistema informativo ma anche i valori aziendali.

61 Per valutare la sicurezza di un sistema informativo è necessario, come primo step, considerare il soggetto che utilizza ogni singola risorsa informatica. Con l’evoluzione dell’informazione e delle tecnologie si è constatato un cambiamento delle modalità con le quali i soggetti autorizzati gestiscono le informazioni e i dati per svolgere l’attività bancaria. Ovviamente è sempre più difficile per gli utenti gestire queste informazioni infatti, l’inesperienza di questi con le tecnologie informatiche è una delle principali cause che determinano problemi di sicurezza informatica.

3.4 CERTFin

Per ostacolare e prevenire le minacce informatiche connesse all’incremento delle nuove tecnologie e dell’economia digitale, Banca d’Italia, l’Associazione Bancaria Italiana (ABI) e il Consorzio ABI Lab hanno firmato nel 2016 un accordo che prevede la costituzione di una struttura altamente qualificata, il CERTFin (Computer Emergency Response Team) che avrà il compito “di raccogliere dati, indicazioni e segnalazioni e analizzare tutti i fenomeni connessi all’universo della cybersecurity, consentendo l’efficiente scambio di informazioni tra gli operatori bancari e finanziari attivi in Italia e, allo stesso tempo, offrendo loro una serie di strumenti e servizi utili per rafforzare ulteriormente i presidi di sicurezza64”.

Fondato sul principio della collaborazione tra pubblico e privato, il CERTFin, mediante la propria attività, fa sì che, la circolazione delle informazioni sulle situazioni e sugli eventi che riguardano la sicurezza informatica sia più omogenea ed appropriata, ed inoltre rinforza la “cyber-intelligence” del settore bancario e finanziario. Tutto ciò ovviamente comporta degli effetti positivi per l’intero Sistema Paese.

Questo organismo si pone determinati obiettivi65:

 Agevolare lo scambio di informazioni tra gli operatori del settore con riferimento a potenziali minacce informatiche;

 Rappresentare il “punto di incontro” tra il settore finanziario e l’architettura istituzionale per la sicurezza informatica e la protezione cibernetica;

64

https://www.bancaditalia.it/media/comunicati/documenti/2016-02/cs20161220-bi-abi.pdf , data ultima consultazione 27 novembre 2017.

62

 Facilitare la risposta a incidenti informatici su larga scala;

 Sostenere il processo di soluzione di crisi cibernetica;

 Collaborare con le istituzioni nazionali ed internazionali analoghe e attori pubblici e privati coinvolti nella cyber security.

 Ampliare la consapevolezza e la cultura della sicurezza.

Tutti gli operatori del settore finanziario e bancario nazionale possono partecipare al CERTFin, come ad esempio: banche, prestatori di servizi di pagamento, intermediari finanziari, infrastrutture e società di mercato. Il Comitato Strategico, presieduto dalla Banca d’Italia e dall’ABI, sarà responsabile delle decisioni strategiche prese all’interno di tale organismo, mentre, per quanto riguarda i servizi, questi saranno coordinati da una direzione operativa gestita da Consorzio ABI Lab e trasmessi ai vari partecipanti su base cooperativa, mediante il coinvolgimento degli operatori finanziari italiani.

63 Capitolo Quarto