Digest Network Come funziona
Digest / Comunicato

Stress test di resilienza informatica - BCE - Format Research

Compatibilità
Salva(0)
Condividi

 10 marzo 2025

Stress test di resilienza informatica da una prospettiva macroprudenziale – Pubblicato come parte del Bollettino Macroprudenziale, marzo 2025.

Di  Robert Vermeulen, Matthias Sydow, Claire Brousse, Fernando Cascão, Jose Fique, Carla Marques, Juho Nyholm and Fleurilys Virel

Rischio per la stabilità finanziaria

Gli attacchi informatici rappresentano un rischio maggiore per la stabilità finanziaria rispetto al passato, poiché sono aumentati sia in numero che in portata.

Prospettiva macroprudenziale

È necessaria una prospettiva macroprudenziale sui test di stress della resilienza informatica, poiché gli incidenti informatici possono avere un impatto sistemico diffondendosi nel settore finanziario attraverso meccanismi operativi, finanziari e di fiducia.
Sebbene i principi generali dei test di stress si applichino anche ai test di stress informatici, chi esegue questi test deve concentrarsi in particolare sulla chiara definizione degli obiettivi generali, sulla determinazione del perimetro istituzionale, sull’identificazione dei canali di propagazione del rischio materiale, sull’attenzione ai rischi estremi, sulla considerazione delle risposte comportamentali rilevanti e sulla combinazione dei risultati di esercizi bottom-up e top-down.
Basandosi su questi principi, i test di stress sulla resilienza informatica possono essere eseguiti sia con un approccio bottom-up che top-down. I modelli top-down possono integrare i risultati bottom-up fornendo una modellizzazione armonizzata delle interconnessioni finanziarie a livello di sistema, delle risposte comportamentali e degli effetti di secondo ordine.

Introduzione

La crescente digitalizzazione dei servizi finanziari e la natura in rapida evoluzione delle minacce informatiche, in particolare in un contesto di tensioni geopolitiche accresciute, hanno portato il rischio informatico in primo piano per le banche centrali, le autorità di vigilanza finanziaria e le istituzioni finanziarie. Un recente rapporto sugli strumenti macroprudenziali per la resilienza informatica, redatto dal Comitato europeo per il rischio sistemico (ESRB, 2024), indica che la varietà e il numero di attacchi informatici sono aumentati significativamente nel 2023.
Nel sondaggio sul rischio sistemico condotto dalla Banca d’Inghilterra per il primo semestre del 2024, il 70% degli intervistati ha citato gli attacchi informatici come una fonte di rischio per il sistema finanziario del Regno Unito. Questi attacchi sono stati il secondo fattore di rischio più frequentemente menzionato, dopo il rischio geopolitico.

Resilienza informatica

La Banca Centrale Europea (BCE) definisce la resilienza informatica come la capacità di proteggere i dati elettronici e i sistemi dagli attacchi informatici e di riprendere rapidamente le operazioni aziendali in caso di attacco riuscito. Al di là delle vulnerabilità specifiche di ciascuna istituzione, gli incidenti informatici possono innescare instabilità e avere ripercussioni sistemiche sul sistema finanziario. Queste ripercussioni includono l’interruzione delle funzioni critiche del mercato finanziario e la perdita di fiducia una volta superata una soglia critica, con possibili conseguenze come una forte volatilità dei prezzi degli asset e corse agli sportelli bancari. Inoltre, gli incidenti informatici possono estendersi oltre il sistema finanziario, poiché gli attacchi possono colpire altre infrastrutture critiche, ad esempio i fornitori di terze parti che supportano sia il settore finanziario che altri settori.

Le violazioni della sicurezza informatica nel settore finanziario sono inevitabili; tuttavia, l’imprevedibilità del momento in cui si verificano e dei metodi utilizzati sottolinea l’importanza cruciale della resilienza del sistema finanziario. Questa resilienza riflette la capacità del sistema non solo di resistere agli shock, ma anche di adattarsi alle minacce in evoluzione. Finora non abbiamo ancora sperimentato una crisi informatica sistemica, sebbene anche un singolo incidente potrebbe rapidamente trasformarsi in una crisi sistemica se minasse la fiducia del pubblico nelle infrastrutture finanziarie (si veda, ad esempio, ESRB, 2020). Rafforzare la resilienza del nostro sistema finanziario è quindi di estrema importanza.

La natura intrinsecamente sistemica delle minacce informatiche implica che esse debbano essere integrate nel quadro macroprudenziale come una nuova categoria di rischio. Regolatori, supervisori e responsabili politici riconoscono l’urgenza di sviluppare un solido approccio macroprudenziale per i rischi informatici e sono attivamente impegnati in iniziative volte a sviluppare tale quadro. I loro sforzi in corso sono essenziali per modellare un panorama finanziario resiliente, in grado di resistere e rispondere alle sfide dinamiche poste dalle minacce informatiche.

Il rischio informatico all’interno del sistema finanziario

Il primo, cruciale, passo nel quadro macroprudenziale dovrebbe essere quello di comprendere il rischio informatico all’interno del sistema finanziario e il livello di resilienza presente nel sistema stesso – i test di stress sono strumenti utili in questa fase. A livello microprudenziale, l’annuncio della BCE nel 2024 che 109 banche sotto la sua supervisione sarebbero state testate per valutare la loro capacità di rispondere e riprendersi dopo un attacco informatico riuscito ha rappresentato un’innovazione significativa.
Sebbene l’approccio della BCE fosse allineato al quadro concettuale sviluppato dall’ESRB per testare la resilienza informatica sistemica, l’attenzione era rivolta alla resilienza delle singole banche (cioè non è stata adottata una prospettiva sistemica più ampia).

Un quadro per i test di stress delle banche da una prospettiva macroprudenziale sarebbe un’aggiunta auspicabile per valutare i livelli di resilienza da una prospettiva sistemica, prendendo in considerazione le istituzioni di importanza sistemica e i corrispondenti meccanismi di trasmissione e amplificazione. Lo scenario di test sulla resilienza informatica sistemica presentato dall’ESRB fornisce un quadro concettuale per un approccio bottom-up che potrebbe essere integrato da un approccio top-down. Tale quadro considererebbe anche fattori di amplificazione come interconnessioni, dipendenze comuni e vulnerabilità condivise.

Scopo della politica macroprudenziale

Lo scopo della politica macroprudenziale è rafforzare la resilienza del sistema finanziario nella gestione dei rischi, garantendo un’adeguata intermediazione finanziaria. Per raggiungere questo obiettivo, un quadro macroprudenziale utilizza analisi dei rischi e delle vulnerabilità per determinare le misure di politica necessarie a minimizzare la probabilità che i rischi sistemici si concretizzino, migliorando la resilienza. Una “cassetta degli attrezzi” macroprudenziale può essere vista come un insieme di strumenti sviluppati e implementati dalle autorità macroprudenziali per prevenire il concretizzarsi di tali rischi.

Gli attuali strumenti macroprudenziali sono calibrati per affrontare i rischi derivanti dalle attività finanziarie, come il credito eccessivo, ma non sono specificamente progettati per mitigare il rischio informatico (operativo). L’ESRB ha sostenuto che, per coprire esplicitamente il rischio informatico sistemico, il quadro macroprudenziale dovrebbe essere modificato in tre aree principali:

  1. l’inclusione degli aspetti del rischio informatico sistemico tra gli obiettivi intermedi;
  2. lo sviluppo di un quadro analitico e di indicatori di monitoraggio;
  3. la creazione di strumenti specifici per il rischio informatico sistemico (ESRB, 2022).

Analisi dello scenario di resilienza informatica

L’analisi dello scenario di resilienza informatica contribuirebbe al quadro analitico, con l’obiettivo di accrescere la conoscenza e identificare punti di miglioramento sia per le istituzioni sia per le autorità.

I test di stress informatici top-down potrebbero colmare il divario negli strumenti analitici fornendo una prospettiva quantitativa. Questi test potrebbero essere utilizzati in combinazione con esercizi bottom-up per sviluppare un test di stress macroprudenziale globale sulla resilienza informatica. I test potrebbero essere progettati per coprire i principali meccanismi di trasmissione, i canali di propagazione e le risposte comportamentali all’interno del loro perimetro istituzionale. La modellizzazione della propagazione di uno shock informatico attraverso diversi canali e i relativi effetti di retroazione potrebbe fornire informazioni quantitative sul livello di resilienza informatica del sistema finanziario.

(Foto da Unsplash)

Fonte: https://formatresearch.com/2025/03/10/stress-test-di-resilienza-informatica-bce/
Recapiti
redazione

Comunicati correlati

Press Release cover image
24/01/2025
Sicurezza dei sistemi
Sicurezza delle informazioni
Information Technology
Telecomunicazioni
Salute
Il settore sanitario è il principale bersaglio degli attacchi informatici. Dalla Commissione UE un piano d'azione per la cybersecurity - I-Com, Istituto per la Competitività
Fonte
I-COM - ISTITUTO PER LA COMPETITIVITA'
Scopri affinità
0
Press Release cover image
15/07/2025
Sicurezza dei sistemi
Informatica/Web/Information Technology
Information Technology
Ingegneria informatica
Reti informatiche
Sicurezza delle informazioni
Telecomunicazioni
Come effettuare una valutazione del rischio informatico secondo la Direttiva NIS2
Fonte
Optimamente Srl
Scopri affinità
0
Press Release cover image
27/05/2025
Web e Social Network
Information Technology
Telecomunicazioni
Software
AI e Cybersecurity: scenari, governance e strategie per un uso sicuro dell’AI
Fonte
CEFRIEL
Scopri affinità
0