Gli ultimi anni hanno visto il settore finanziario globale attraversare una vera tempesta di incidenti informatici, minando la fiducia nei sistemi bancari nei servizi digitali. In questa guerra informatica, le grandi società non sono l’unico bersaglio: anche i cittadini sono esposti direttamente, perché la sicurezza dei dati personali e l’integrità delle transazioni finanziarie sono sempre più a rischio.
Fra le violazioni più significative che hanno colpito entità finanziarie nell’UE e nel mondo ricordiamo:
- Equifax (2017): violazione attraverso una vulnerabilità priva di patch in Apache Struts, che ha portato al furto di numeri di previdenza sociale, date di nascita, indirizzi e patenti di guida di 147 milioni di persone.
- UniCredit (2018): la seconda banca italiana ha divulgato involontariamente le informazioni di identificazione personale (PII) di 778.000 clienti. Nel 2024 il Garante per la privacy italiano ha emesso una sanzione di 2,8 milioni di euro a seguito della violazione.
- Capital One (2019): è stato utilizzato per attaccare Capital One e rubare le informazioni di identificazione personale di 106 milioni di persone.
- Finastra (2023): l’azienda fintech con sede nel Regno Unito, partner di banche globali, è stata bersaglio di un attacco attraverso il suo sistema di trasferimento sicuro dei file, con conseguente furto di oltre 400GB di dati finanziari sensibili dai principali clienti bancari.
- UBS and Pictet (2025): un attacco informatico di terze parti su Chain IQ ha esposto i dati PII di oltre 130.000 dipendenti, comprese le informazioni di contatto di alti dirigenti.
- Bybit (2025): hacker nordcoreani hanno sottratto Ethereum per un valore di 1,5 miliari di dollari dal cold wallet di Bybit, segnando il più grande hack mai visto su un exchange di criptovalute.
Questi incidenti evidenziano l’importanza strategica di proteggere anche i fornitori di tecnologia finanziaria. Gli attacchi informatici contro il settore bancario includono attività come bonifici fraudolenti, hacking di bancomat, malware per dispositivi POS e furti di dati sensibili. Il furto di informazioni di identificazione personale (PII) come nomi, numeri di previdenza sociale, indirizzi e dati finanziari, può avere conseguenze ancora più gravi del semplice furto di denaro. Una volta rubati, questi dati vengono infatti venduti nei mercati darknet e utilizzati per furti d’identità, apertura di conti bancari e linee di credito fraudolente, oltre che per campagne di ingegneria sociale. La diffusione di queste informazioni ha un peso geopolitico significativo, poiché nazioni ostili e soggetti di intelligence con ambiguità giuridiche li raccolgono per attività di sorveglianza, intimidazione o peggio.
Di fronte alle crescenti minacce informatiche, l’UE ha introdotto il Digital Operational Resilience Act, (DORA), un pilastro normativo pensato per rafforzare la resilienza digitale del settore finanziario. Questo atto legislativo stabilisce regole chiare e uniformi, garantendo maggiore sicurezza, continuità operativa e fiducia sia per i consumatori che per le imprese.
In che modo OpenVAS Security Intelligence di Greenbone supporta la conformità al DORA:
- Il vulnerability management è una delle attività cardine della sicurezza informatica e rappresenta un vantaggio concreto per la resilienza operativa. OPENVAS SCAN di Greenbone è uno scanner di vulnerabilità leader di settore, con esperienza comprovata sul campo.
- Il nostro OPENVAS ENTERPRISE FEED offre una copertura senza paragoni per il rilevamento delle CVE e di altre vulnerabilità su reti ed endpoint.
- OpenVAS SCAN identifica i protocolli di crittografia utilizzati dai servizi di rete, assicurando che i dati in transito rispettino le migliori pratiche di sicurezza dei dati.
- Le nostre scansioni attestano configurazioni di sicurezza rafforzate su un’ampia gamma di sistemi operativi e applicazioni. con benchmark CIS certificati per Apache HTTPD, Microsoft IIS, NGINX, MongoDB, Oracle, PostgreSQL, Google Chrome, Windows 11 Enterprise, Linux, e molti altri [1][2].
- Tutti i componenti OPENVAS SECURITY INTELLIGENCE sono progettati per garantire l’assoluta sovranità dei dati e per assicurare che non lascino mai i confini della tua azienda.
- La nostra principale linea di prodotti è open source, è stata testata nel tempo ed è aperta a revisioni sia da parte dei clienti che i membri della community. Questa trasparenza facilita l’audit anche da parte di fornitori di servizi ICT di terze parti.
- OPENVAS REPORT di Greenbone è pensato per semplificare la raccolta di prove e la conservazione dei dati necessari per la rendicontazione della conformità.
- In quanto azienda, Greenbone è certificata ISO/IEC 27001:2022 e ISO 9001:2015, a garanzia dell’adozione dei più elevati standard di sicurezza delle informazioni e di gestione della qualità. Inoltre, la certificazione ISO:14001 per i sistemi di gestione ambientale testimonia il nostro impegno costante verso la sostenibilità e ciò che conta davvero.
Il regolamento DORA (Digital Operation Resilience Act) dell’UE
Il Digital Operational Resilience Act (DORA) è un regolamento dell’Unione Europea pubblicato nella Gazzetta Ufficiale il 16 gennaio 2023 ed entrato in vigore il 17 gennaio 2025. Parte integrante della , DORA mira a uniformare la governance della sicurezza informatica e i requisiti di gestione del rischio, rafforzando la resilienza operativa delle organizzazioni finanziarie nell’UE. Il regolamento si applica a 20 categorie di entità finanziarie, tra cui banche, compagnie assicurative, società di investimento e fornitori terzi di servizi ICT (Information and Communication Technology).
Le entità finanziarie europee non sono soggette alla direttiva NIS 2 in quanto Entità Essenziali (EE)?
Sì, tuttavia, ai sensi dell’articolo 4 della direttiva NIS 2, le società di servizi finanziari coperte da DORA come banche, società di investimento, istituzioni assicurative e infrastrutture di mercato finanziario, devono soddisfare pienamente i requisiti di DORA per la gestione del rischio di sicurezza informatica e la segnalazione degli incidenti. Inoltre, qualsiasi altro mandato UE specifico di settore relativo alla gestione del rischio o alla segnalazione degli incidenti ha la precedenza sulle disposizioni corrispondenti della NIS 2.
Chi sono le Autorità di Vigilanza europee (ESA)?
Le Autorità di Vigilanza europee (ESAs) sono tre organismi indipendenti che hanno il compito di emettere Norme Tecniche di Regolamentazione (RTS) e che forniscono linee guida interpretative e assicurano la corretta applicazione di DORA. Le entità ESA sono:
- L’Autorità Bancaria Europea (EBA) [1]
- L’Autorità europea delle assicurazioni e delle pensioni aziendali o professionali (EIOPA) [2]
- Autorità europea degli strumenti finanziari e dei mercati (ESMA)[3]
Cosa sono le Norme Tecniche di Regolamentazione (RTS)?
Come indica il nome, le RTS (Regulatory Technical Standards) stabiliscono gli standard tecnici che le entità soggette a DORA devono rispettare. I documenti RTS forniscono linee guida operative dettagliate per garantire un’applicazione coerente e uniforme di DORA in tutto il settore finanziario dell’UE.[4].
Le versioni finali delle Norme Techniche di Regolamentazione sono:
- il Quadro di gestione del rischio ICT e il Quadro semplificato di gestione del rischio ICT[5].
- Criteri per la classificazione degli incidenti correlati alI’ICT [6]
- Politica sui servizi ICT a supporto di funzioni critiche o importanti fornite da fornitori terzi (TPP) [7]
Cosa sono le Norme Tecniche di Attuazione (ITS)?
Le ITS (Implementing Technical Standards) sono regole operative dettagliate che definiscono come le entità finanziarie devono adempiere agli obblighi previsti da DORA. Traducendo le disposizioni generali del regolamento in procedure chiare e misurabili, le ITS stabiliscono standard precisi in materia di: segnalazione degli incidenti, monitoraggio delle relazioni e valutazioni dei fornitori ICT di terze parti (TPP), Threat-Led Penetration Testing (TLPT) e condivisione delle informazioni sulle minacce informatiche.
- Questa la stesura finale ITS dei template per il registro delle informazioni [8]
La portata dell’impatto di DORA sulla sicurezza IT
DORA introduce requisiti stringenti che incidono direttamente sui principali pilastri della sicurezza informatica:
- Gestione del rischio: le entità finanziarie devono adottare quadri solidi di gestione del rischio informatico (Risk Management Framework – RMF) per ridurre al minimo i rischi operativi.
- Segnalazione degli incidenti: gli incidenti di sicurezza informatica più gravi devono essere notificati alle autorità nazionali entro 24 ore seguendo un formato standardizzato. Per le entità di piccole dimensioni, non interconnesse o esenti, gli obblighi di segnalazione sono ridotti.
- Rischio di terze parti: supervisione più rigorosa e responsabilità chiare nella gestione dei rapporti con i fornitori di servizi ICT di terze parti.
- Test di sicurezza: valutazioni periodiche della sicurezza dei sistemi digitali per individuare e correggere vulnerabilità, migliorando la resilienza contro le minacce.
- Condivisione delle informazioni: maggiore scambio di informazioni tra istituti finanziari e autorità competenti. Le entità sono incoraggiate a segnalare minacce emergenti se possono essere rilevanti per altri operatori del settore.
Conclusione
Attacchi informatici di alto profilo hanno evidenziato le fragilità digitali del settore finanziario, spingendo l’Unione Europea a emanare e, dal 17 gennaio 2025, ad applicare il Digital Operational Resilience Act (DORA). In quanto partner affidabile, Greenbone supporta la conformità DORA delle entità soggette, grazie a una suite collaudata di soluzioni per la gestione delle vulnerabilità aziendali e strumenti avanzati per la rendicontazione della compliance. Le nostre tecnologie garantiscono sovranità dei dati, resilienza operativa e report di valutazione della sicurezza complet
La vera mitigazione del rischio informatico non si riduce a soddisfare requisiti formali di conformità: richiede un approccio proattivo. I difensori devono individuare e affrontare i rischi emergenti il prima possibile, rafforzando così la resilienza operativa. Con Greenbone, le entità finanziarie europee possono individuare fin da subito le vulnerabilità, permettendo ai responsabili IT di intervenire e mitigarle prima che possano essere sfruttate per attacchi informatici.
