La Banca d’Italia ha pubblicato a inizio luglio il report annuale “Framework segnaletico di Vigilanza degli incidenti operativi o di sicurezza – Analisi orizzontale 2024“, che analizza le principali tendenze legate alle segnalazioni di “gravi incidenti operativi o di sicurezza” ricevute nel 2024 da intermediari finanziari italiani (banche, istituti di pagamento e istituti di moneta elettronica). In sostanza si osserva: un generale incremento delle segnalazioni ricevute nel periodo considerato; una prevalenza di incidenti operativi; il forte coinvolgimento dei fornitori di servizi esterni e una leggera crescita del numero di incidenti cyber. Con riferimento a questi ultimi, nel 2024 si evidenzia una importante diminuzione degli attacchi di tipo DDoS rispetto all’anno precedente (dai 16 del 2023 ai 4 del 2024, -75%), mentre aumentano tutte le altre tipologie di attacchi, tra cui gli attacchi di tipo malware, comprendenti anche i ransomware, gli attacchi condotti tramite accesso non autorizzato e gli attacchi di social engineering.
Tendenze generali sugli incidenti
Il rapporto evidenzia un aumento complessivo delle segnalazioni rispetto all’anno precedente. Nel 2024, la Banca d’Italia ha registrato 188 incidenti gravi notificati, rispetto ai 130 dell’anno precedente, con un aumento del 45%. Questo incremento è stato notevole, e il numero di soggetti segnalanti è risultato in significativa crescita, con 73 intermediari distinti che hanno effettuato notifiche, pari al 47% del totale degli intermediari vigilati nel perimetro del framework.
Un dato particolarmente rilevante è che il 65% degli incidenti segnalati ha coinvolto fornitori esterni di servizi. Questo dato raggiunge picchi più alti tra le banche di minore rilevanza (LSI), dove il coinvolgimento dei fornitori esterni è stato dell’86%, e per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL), al 71%.
Principali evidenze legate agli incidenti operativi
Gli incidenti operativi hanno rappresentato la maggior parte delle segnalazioni, circa il 79% del totale. C’è stato un deciso aumento rispetto al 2023 (+ 59%), con 148 incidenti operativi nel 2024 rispetto ai 93 precedenti. La principale causa degli incidenti operativi è stata attribuita ai “malfunzionamenti”, legati principalmente a problemi software e, in misura minore, a problemi hardware. A seguire, il peso rilevante degli “Eventi esterni”.
Andamento degli incidenti cyber
Gli incidenti cyber hanno costituito circa il 21% del totale delle segnalazioni e hanno mostrato una leggera crescita del numero (+8%) rispetto all’anno precedente. Nel 2024, sono state 40 le segnalazioni di incidenti cyber pervenute alla Banca d’Italia, contro le 37 del 2023. Come nel 2023, gli incidenti cyber sono stati principalmente segnalati dalle banche “significant“. Le 40 segnalazioni di incidenti cyber sono scaturite da 30 distinti eventi, di cui 28 riferibili ad attacchi informatici e 2 a data leakage accidentali.
La statistica pubblicata da Banca d’Italia permette di trarre alcune considerazioni importanti sull’evoluzione delle tipologie di attacco:
Diminuzione degli attacchi DDoS. Si è evidenziata una importante diminuzione degli attacchi di tipo Distributed Denial of Service (DDoS) rispetto all’anno precedente, passando da 16 nel 2023 a 4 nel 2024, con un calo del 75%.
Aumento di altre forme di attacco. Sono aumentate tutte le altre tipologie di attacchi, tra cui:
- Malware e Ransomware. Infezioni che mirano a colpire i sistemi interni per bloccare dati o funzioni essenziali, spesso con richieste di riscatto in criptovaluta.
- Accessi non autorizzati. Sfruttano vulnerabilità o credenziali compromesse per infiltrarsi in sistemi riservati.
- Social engineering. Manipolazioni psicologiche per indurre dipendenti o dirigenti a eseguire azioni dannose.
Gli impatti degli incidenti e le tempistiche di risoluzione
Anche nel 2024 la maggior parte degli incidenti (circa l’80%) ha interessato i servizi di pagamento (ATM8, web e mobile banking, pagamenti all’ingrosso, ecc.), con una percentuale in linea con gli anni precedenti. I servizi di pagamento continuano ad essere principalmente affetti da incidenti operativi.
L’interruzione della disponibilità e della continuità dei servizi rappresenta la principale conseguenza degli incidenti e caratterizza tutte le tipologie di intermediari. Complessivamente circa il 70% degli incidenti totali ha comportato l’interruzione di un servizio (sia esso di pagamento, core banking o ad essi ancillare). In particolare, tali incidenti hanno prodotto mediamente circa 21 ore di interruzione dei servizi, un dato in deciso aumento rispetto alle 9 ore del 2023, principalmente a causa di eventi operativi relativi a fornitori.
Considerando gli impatti economici degli incidenti (che nella maggior parte dei casi non sono rilevanti) va evidenziato che quelli più gravi possono dipendere da incidenti cyber. In pochi casi (7 su 188) si rileva infatti un impatto economico sull’intermediario superiore a 2 milioni di euro, in particolare a seguito di attacchi di social engineering diretti verso gli organi apicali degli intermediari, di attacchi malware diretti ai sistemi degli intermediari, di IT change errati o di errori operativi.
Peso dei fornitori esterni negli incidenti
Il ruolo dei fornitori esterni di servizi negli incidenti segnalati dalla Banca d’Italia è particolarmente rilevante. Secondo il report annuale “Framework segnaletico di Vigilanza degli incidenti operativi o di sicurezza – Analisi orizzontale 2024” della Banca d’Italia, una percentuale significativa degli incidenti ha coinvolto entità esterne. Nello specifico:
- Il 65% degli incidenti segnalati ha coinvolto fornitori esterni di servizi. Questo indica che oltre due terzi degli incidenti hanno avuto, in qualche misura, un collegamento o una dipendenza da servizi erogati da terze parti.
- Il coinvolgimento dei fornitori esterni mostrava picchi ancora più elevati per determinate categorie di intermediari:
- 86% tra le banche di minore rilevanza (LSI).
- 71% per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL).
Questo dato evidenzia che la gestione dei rischi operativi e di sicurezza nel settore finanziario italiano è fortemente influenzata dalla resilienza e dalla sicurezza della catena di fornitura di servizi, rendendo i fornitori esterni un fattore cruciale nel panorama degli incidenti.
In conclusione
Il framework di segnalazione degli incidenti operativi o di sicurezza di Banca d’Italia si conferma come uno degli strumenti di vigilanza più efficaci per il monitoraggio e l’analisi del rischio operativo degli intermediari vigilati e dei fornitori. Esso rappresenta un valido strumento per la valutazione tempestiva dei trend di sistema rispetto a nuove minacce e vulnerabilità comuni al mercato finanziario italiano.
Accedi al Report completo sul sito di Banca d’Italia.
