Cyber-rischi e outsourcing (2024)

Oltre alle regolari verifiche svolte dalle società di revisione esterne, la FINMA ha effettuato più di una dozzina di controlli in loco incentrati sul tema cyber. A tal scopo la FINMA si è basata prevalentemente sulla Circolare FINMA 23/1 «Rischi operativi e resilienza – banche», entrata in vigore il 1° gennaio 2024 e contenente i requisiti aggiornati per la gestione dei cyber-rischi, con riferimento in particolare ai cyber-esercizi basati su scenari. Già nel 2020 la FINMA aveva pubblicato la Comunicazione sulla vigilanza 05/2020 in materia di cyber-rischi. Nella sua nuova Comunicazione sulla vigilanza 03/2024, la FINMA espone le conoscenze emerse dall’attività di vigilanza sulla gestione dei cyber-rischi e precisa i processi legati ai cyber-incidenti come pure la gestione dei cyber-esercizi basati su scenari.

Il numero delle segnalazioni pervenute alla FINMA in merito ai cyber-attacchi andati a buon fine o parzialmente a buon fine è aumentato di circa il 30% rispetto al 2023. La FINMA ne riferisce dettagliatamente nel suo rapporto «Monitoraggio dei rischi 2024». Ancora una volta gli attacchi hanno riguardato in misura sempre maggiore i fornitori esterni degli istituti assoggettati, contro i quali è stato rivolto circa il 30% dei cyber-attacchi segnalati. Anche i partecipanti al mercato di minori dimensioni, come i gestori patrimoniali indipendenti o gli intermediari assicurativi non vincolati, essendo stati assoggettati a un’intensificata attività di vigilanza, hanno comunicato un numero crescente di cyber-attacchi.

Attenzione rivolta al rischio di concentrazione nell’ambito delle esternalizzazioni

Secondo la FINMA, l’esternalizzazione di funzioni essenziali a terzi costituisce uno dei rischi più rilevanti per gli assoggettati, come indicato anche nel rapporto «Monitoraggio dei rischi 2024». Gli istituti finanziari dipendono in misura sempre maggiore da fornitori di servizi esterni per l’erogazione di funzioni critiche. Anche nel 2024 le esternalizzazioni correlate a una funzione critica per gli assoggettati sono aumentate. Con l’aumento delle esternalizzazioni è aumentato anche il numero di subappaltatori, accrescendo in questo modo la complessità della catena di fornitura. Pertanto gli assoggettati dipendono in larga misura da terzi per l’erogazione dei propri servizi e per il proseguimento della propria attività.

Nel 2024 la FINMA ha continuamente rilevato informazioni sulle principali esternalizzazioni di banche, imprese di assicurazione, infrastrutture del mercato finanziario e altri partecipanti al mercato finanziario. Ha identificato i rischi di concentrazione esistenti e constatato una maggiore concentrazione presso alcuni fornitori che svolgono funzioni essenziali o addirittura critiche per numerosi istituti finanziari. Un’interruzione dei servizi presso uno di questi fornitori o l’accesso non autorizzato a dati sensibili può avere pesanti ripercussioni sul mercato finanziario svizzero. Le esternalizzazioni dell’infrastruttura informatica e dei dati critici su una piattaforma cloud pubblica hanno registrato un incremento considerevole: nel 2024 già il 20% delle banche o delle imprese di assicurazione esternalizzava dati o funzioni essenziali a fornitori di servizi cloud pubblici.

La FINMA ha richiamato l’attenzione degli istituti e dei fornitori di servizi sulla accresciuta situazione di rischio e si è concentrata sulla resilienza operativa dei singoli istituti e del mercato finanziario svizzero nel suo complesso. Ha inoltre osservato gli sviluppi internazionali nell’ambito della gestione del rischio di terze parti (Third Party Risk Management). Nel 2024 il Comitato di Basilea per la vigilanza bancaria (BCBS) ha cominciato a definire nuovi principi per garantire una solida gestione dei rischi in relazione ad accordi con parti terze.

Le comunicazioni sulla vigilanza quali strumento efficace per promuovere la stabilità in ambito cyber

Ormai da anni i cyber-rischi e la loro gestione costituiscono uno dei rischi principali per gli assoggettati. Di conseguenza la FINMA ha intensificato la vigilanza in questo ambito nel corso del 2024. Tale intensificazione si è concretizzata in un numero più elevato di controlli in loco e nel ricorso a una vasta gamma di strumenti di vigilanza, tra cui analisi di scenario, esercizi tabletop o di red teaming e la pubblicazione di comunicazioni sulla vigilanza. Negli esercizi tabletop si discutono ruoli e reazioni durante un’emergenza sulla base di scenari di rischio; gli esercizi di red teaming servono a migliorare il livello di sicurezza di un’impresa mediante la simulazione di cyber-attacchi.

Proprio le comunicazioni sulla vigilanza si sono dimostrate uno strumento efficace per gestire rischi molto dinamici come i cyber-rischi e una situazione di minaccia in continua evoluzione. Esse consentono di condividere tempestivamente con gli assoggettati le attuali caratteristiche e criticità della situazione di minaccia acquisite, unitamente ai controlli in loco, i colloqui di vigilanza o i processi di segnalazione dei cyber-attacchi. Le comunicazioni sulla vigilanza precisano anche gli sviluppi del mercato finanziario, come l’uso di soluzioni cloud, o in ambito tecnologico, come l’utilizzo dell’intelligenza artificiale (IA) nella gestione dei cyber-rischi.

La Comunicazione sulla vigilanza 03/2024, pubblicata nel 2024, espone le evidenze emerse dalla vigilanza sui cyber-rischi e contiene precisazioni concernenti la Comunicazione FINMA sulla vigilanza 05/2020 e i cyber-esercizi basati su scenari. La FINMA promuove così un miglioramento mirato e continuo dell’attuazione di tali requisiti nel quadro delle disposizioni prudenziali vigenti.

Anche nel 2024 la pubblicazione ha contribuito a mantenere elevato il livello di consapevolezza dei cyber-rischi da parte degli assoggettati. Anche dopo la pubblicazione delle esigenze prudenziali, la FINMA ha contribuito al costante aumento della consapevolezza degli assoggettati nella gestione dei cyber-rischi. Ciò ha favorito la stabilità dei singoli istituti e del mercato finanziario nel suo complesso. Nel 2024, il numero di cyber-attacchi con un livello elevato di criticità presso gli assoggettati è dunque risultato contenuto.

(Dal Rapporto annuale 2024)