Il segretario generale Stefano De Polis e il Vice Capo del Servizio Studi e Gestione Dati IVASS Pietro Franchini sono intervenuti la scorsa settimana ina una delle Tavole rotonde che si sono tenute nel corso del Convegno “La cooperazione pubblico-privato per la resilienza cyber del settore finanziario italiano – Le opportunità per gli operatori e il ruolo del CERTFin”.
Tavola rotonda che ha avuto come tema quello de “Il valore della cooperazione per lo scambio informativo e l’analisi delle minacce nel settore finanziario” e che è stato moderato da Pierfrancesco Gaggi, Co-Presidente CERTFin e Vice Direttore Generale Innovazione e Sistemi di pagamento ABI. Tra gli altri partecipanti Giuseppe Siani, Capo Dipartimento Vigilanza bancaria e finanziaria Banca d’Italia; Alexandra Maniati, Senior Director of Innovation & Cybersecurity EBF (European Banking Federation); Giorgio Andreoli, Direttore Generale EPC (European Payments Council); Luca Giuseppe Filippa, Direttore Generale Consob; Dario Focarelli, Direttore Generale ANIA.
In particolare, l’IVASS voluto sviluppare due punti chiave: l’importanza dello scambio di informazioni e la necessità di aggiungere un terzo attore alle nostre politiche: l’ampia base di clienti.
De Polis ha ricordato come le compagnie di assicurazione siano impegnate su un doppio fronte per quanto riguarda il rischio cyber: la gestione dei propri rischi informatici come ogni altro intermediario finanziario e l’offerta di prodotti assicurativi volti a coprire, almeno in parte, i costi di riparazione e i danni economici subiti a seguito di attacchi informatici. Sullo stato del mercato italiano in questo comparto l’Istituto ha pubblicato a fine dello scorso anno un report.
Finora, la maggior parte delle segnalazioni di attacchi informatici ricevute dall’Authority è servita solo a valutare gli impatti sulle aziende colpite e a verificare il ripristino di condizioni operative affidabili, senza tuttavia portare benefici al sistema.
Le varie entità del settore assicurativo e finanziario dovrebbero poter trarre beneficio dalle esperienze passate per reagire tempestivamente e adottare misure preventive o correttive efficaci, grazie ad un sistema che deve essere reattivo e proattivo allo stesso tempo, in modo da prevenire gli attacchi futuri.
Secondo i dati Clusit infatti, nel 2023, si è registrato un peggioramento della sicurezza informatica in Italia, con un aumento significativo degli incidenti gravi, soprattutto nel settore finanziario/assicurativo, ma nonostante questi dati allarmanti il numero di segnalazioni ricevute dall’IVASS è stato esiguo: solo 5 nel 2022 e 4 nel 2023, di cui solo due classificate dalle aziende segnalanti come incidenti gravi. Nel primo semestre del 2024 non ci sono state segnalazioni di incidenti informatici; solo grazie alla collaborazione di CERTFin siamo venuti a conoscenza di incidenti che hanno coinvolto outsourcer ICT.
IVASS si augura che questa situazione cambi con la nuova normativa DORA, che richiede la segnalazione degli incidenti da parte delle compagnie assicurative e dei fornitori di tecnologia, con criteri e tempistiche di segnalazione più stringenti.
La condivisione strutturata delle informazioni dovrebbe infatti consentire di mitigare costantemente e più efficacemente il rischio informatico a livello nazionale ed europeo, sottolinea De Polis, per il quale la condivisione delle informazioni dovrebbe coinvolgere tutta la catena del valore assicurativo (ad esempio, includendo fornitori, agenti, broker ecc.).
In Italia, un esempio positivo di collaborazione è rappresentato dalla rete per la condivisione in tempo reale di informazioni e competenze tra i membri del CERTFin, a cui però finora hanno partecipato solo sei imprese di assicurazione (circa il 10% dei membri). È essenziale migliorare la collaborazione e le procedure con l’Agenzia nazionale per la sicurezza informatica (ACN), sottolinea ancora De Polis.
Anche i cittadini svolgono un ruolo cruciale nella prevenzione e nella gestione dei rischi informatici secondo l’Autorità di vigilanza, rappresentando la prima linea di difesa contro le minacce digitali. Per questo motivo diventano fondamentali la consapevolezza e l’educazione, che permette ai privati di comprendere i rischi online, adottare buone pratiche di igiene digitale e proteggere attivamente i propri dati.
“È fondamentale far capire alle persone che la sicurezza online è una responsabilità condivisa. Ogni individuo contribuisce alla resilienza dell’intero ecosistema digitale”.
A riprova dei risultati che la diffusione di informazioni e la conseguente sensibilizzazione sui rischi informatici possono dare, IVASS segnala la propria attività nel contrastare le truffe messe in atto attraverso siti web non autorizzati che offrono ai cittadini false polizze assicurative. All’inizio gli uffici dell’IVASS avevano il compito di individuare i siti sospetti, con i limiti dovuti alla scarsa disponibilità di risorse; oggi, grazie al lavoro dell’Ufficio Comunicazione e alla capillare informazione su stampa, radio, tv e social media sui rischi e le modalità di queste truffe, il 95% delle segnalazioni di siti sospetti proviene da imprese, intermediari e dagli stessi cittadini che, insospettiti, decidono di contattare il call-center dedicato.
De Polis conclude sostenendo la convinzione che “La cooperazione, l’adeguata diffusione delle informazioni e il pieno coinvolgimento dei clienti possano rafforzare la resilienza in modo più che proporzionale. Possiamo garantire un elevato livello di sicurezza informatica e mantenere la fiducia nel nostro sistema finanziario e assicurativo attraverso un approccio coordinato e collaborativo. La conoscenza diffusa della gravità della minaccia informatica, anche da parte dei clienti, è un ulteriore fattore chiave per la resilienza del sistema”.
© Riproduzione riservata