In uno studio pubblicato il 31 agosto scorso, i due istituti di vigilanza fanno il punto sulla stato della sicurezza informatica in Italia
Bankitalia e Ivass, i due istituti di vigilanza per il settore bancario e delle assicurazioni, hanno pubblicato il 31 agosto scorso uno studio in cui fanno il punto sull’attuale situazione in Italia per quanto riguarda la cyber security. Partendo dalle evoluzioni degli attacchi informatici e dal sempre più diffuso cyber risk per aziende e pubblica amministrazione, le due istituzioni passano in rassegna le normative europee e italiane che regolano il settore e le mosse intraprese finora per metterlo in sicurezza. A riguardo, va sottolineato che Banca d’Italia e Ivass nel 2017 hanno istituito uno specifico Gruppo di coordinamento sulla sicurezza cibernetica, il Gcsc.
Nel report infatti Bankitalia e Ivass ravvisano profondi cambiamenti dal punto di vista della cyber security nel Paese che, se fino a qualche anno fa, coinvolgeva soltanto alcuni comparti della società (vedi la Difesa), ora abbraccia tutti i settori, considerato il diffusissimo utilizzo di internet, dei dispositivi tecnologici e dello sviluppo degli stessi e della mole di dati che passa attraverso Rete. Il profitto personale è oramai il principale leitmotive degli attacchi hacker.
Sul piano normativo, l’Unione europea ha stabilito, attraverso la direttiva Nis, che “gli Stati membri devono dotarsi di un’organizzazione in grado di vincolare gli operatori di servizi ritenuti essenziali per l’economia all’adozione di stringenti misure di protezione, istituendo inoltre un gruppo di cooperazione nell’ambito della Ue per lo scambio di informazioni e migliori prassi”. Tuttavia, i requisiti di sicurezza informatica discendono anche da altre due recenti disposizioni europee: il regolamento Gdpr per la protezione dei dati personali e la direttiva sui servizi di pagamento nel mercato interno, la Psd2. Altri obblighi potrebbero derivare in futuro dall’approvazione del Cybersecurity Act, presentato nel 2017 dalla Commissione europea, che attribuirebbe all’Unione il potere di certificare la sicurezza dei dispositivi e dei relativi software.
Al momento in Italia la cyber security si basa su due principali provvedimenti: il decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 (il decreto Gentiloni) e il decreto legislativo in attuazione della direttiva Nis. Il report lamenta infine scarsa cooperazione a livello internazionale, salvo su temi specifici o in contesti in cui cooperano Paesi che condividono i principali obiettivi strategici in materia di sicurezza. Tuttavia, nel 2017 il Consiglio direttivo della Bce ha approvato la strategia di supervisione per la resilienza cibernetica delle infrastrutture di mercato europee. Tale strategia prevede tra l’altro la costituzione di un forum di cooperazione pubblico-privato, denominato European Cyber Resilience Board (Ecrb), istituito nel 2018. Inoltre, l’Unione europea sta sviluppando un quadro di riferimento in materia di test tecnici della sicurezza dei sistemi, che sarà ultimato entro quest’anno per le infrastrutture di pagamento e di mercato.