Rischi informatici e outsourcing (2024)

I rischi informatici per il mercato finanziario sono rimasti elevati nel 2024. Di conseguenza, la gestione dei rischi informatici da parte degli assoggettati è stata ancora una volta un punto focale delle attività di vigilanza della SFMA.

Oltre ai controlli periodici condotti da società di revisione esterne, la SFMA ha effettuato più di una dozzina di controlli di vigilanza in loco specifici per il settore informatico. Queste revisioni si basavano principalmente sulla Circolare SFMA 2023/1 «Rischi operativi e resilienza – banche», entrata in vigore il 1° gennaio 2024. Essa contiene requisiti aggiornati sulla gestione dei rischi informatici, in particolare in relazione alla gestione degli esercizi di rischio informatico basati su scenari. La SFMA aveva già pubblicato nel 2020 la sua Guida 05/2020 sulla questione dei rischi informatici. Nella nuova Guida 03/2024 la SFMA ha preso atto dei risultati del lavoro di vigilanza sulla gestione del rischio informatico e ha precisato il processo da seguire in relazione agli incidenti informatici e la gestione degli esercizi di rischio informatico basati su scenari.

Il numero di segnalazioni ricevute alla SFMA riguardo ad attacchi informatici riusciti o parzialmente riusciti è aumentato di circa il 30% rispetto a 2023. La SFMA ha riferito ampiamente di questi attacchi nel suo Risk Monitor 2024. Sono inoltre aumentati ulteriormente gli attacchi contro i fornitori esterni di servizi delle imprese vigilate. Questi attacchi rappresentano circa il 30% degli attacchi informatici segnalati. A causa dell'intensificazione della vigilanza sugli operatori di mercato più piccoli, come gestori patrimoniali indipendenti o intermediari assicurativi non vincolati, si è registrato un numero crescente di attacchi informatici anche nei confronti di queste imprese e persone vigilate.

Focus sul rischio di concentrazione nell'ambito dell'outsourcing

Come spiegato anche nel Risk Monitor 2024, la SFMA considera l'esternalizzazione di funzioni importanti a terzi uno dei rischi più importanti per le imprese vigilate. Gli istituti finanziari dipendono sempre più dai fornitori di servizi per quanto riguarda la fornitura di funzioni importanti. Nel 2024 si è registrato un ulteriore aumento del numero di servizi esternalizzati relativi a funzioni critiche delle imprese vigilate. Anche il numero dei sub-outsourcer è aumentato in linea con l’aumento dei servizi esternalizzati, aumentando così la complessità delle catene di fornitura. Le imprese vigilate dipendono quindi fortemente da terzi per la fornitura dei loro servizi e per garantire la continuità delle loro attività commerciali.

Durante il periodo in esame, la SFMA ha raccolto costantemente dati su importanti attività di outsourcing da parte di banche, assicuratori, infrastrutture del mercato finanziario e altri partecipanti al mercato finanziario. Ha individuato i rischi di concentrazione esistenti e ha osservato una maggiore concentrazione presso singoli fornitori di servizi che forniscono funzioni significative o addirittura critiche a numerosi istituti finanziari. Un'interruzione di uno di questi fornitori di servizi o un incidente che comporti un accesso non autorizzato ai dati sensibili in loro possesso potrebbero avere ripercussioni molto gravi sul mercato finanziario svizzero. Si è verificato un aumento significativo dell’outsourcing dell’infrastruttura IT e dei dati critici nel cloud pubblico. Nel 2024, una banca o compagnia assicurativa su cinque esternalizzava già dati o funzioni significativi a fornitori di servizi cloud pubblici. La SFMA ha sensibilizzato sia le istituzioni che i fornitori di servizi sull'accresciuto rischio della situazione; L’attenzione si è concentrata sulla resilienza operativa degli istituti e del mercato finanziario svizzero nel suo insieme. La SFMA ha inoltre seguito attentamente gli sviluppi internazionali in questo ambito della gestione dei rischi verso terzi. Nel 2024, il Comitato di Basilea per la vigilanza bancaria (BCBS) ha iniziato a definire nuovi principi per garantire una sana gestione del rischio in relazione agli accordi con terzi.

Orientamenti come strumento efficace per promuovere la stabilità nel dominio informatico

I rischi informatici – e la loro gestione – rappresentano da molti anni una delle principali aree di rischio per le imprese vigilate. Di conseguenza, nel 2024 la SFMA ha intensificato la propria attività di vigilanza in questo ambito. Ciò si è riflesso soprattutto nell’aumento del numero di controlli prudenziali in loco, nonché nell’utilizzo di un’ampia gamma di strumenti di vigilanza, come analisi di scenario, esercizi tabletop o red teaming o la pubblicazione di orientamenti. Durante le esercitazioni si discutono ruoli e risposte in caso di emergenza sulla base di scenari di rischio; nel caso delle esercitazioni di red teaming, la sicurezza aziendale viene rafforzata mediante attacchi informatici simulati.

In particolare, queste linee guida si sono rivelate uno strumento efficace per gestire un rischio altamente dinamico, come il rischio informatico, e una situazione di minaccia in continua evoluzione. In questo modo è possibile condividere tempestivamente con le imprese vigilate la situazione attuale risultante dalla situazione di minaccia e i risultati critici ricavati, ad esempio, dai controlli prudenziali in loco, dalle discussioni di vigilanza o dal processo di cyber reporting. Allo stesso modo, gli sviluppi nel mercato finanziario, come l’uso di soluzioni cloud, o in ambito tecnologico, ad esempio l’uso dell’intelligenza artificiale (AI) nella gestione dei rischi informatici, sono illustrati in dettaglio nella guida. La Guida SFMA 03/2024, pubblicata nell’anno in esame, illustra i risultati dell’attività di vigilanza sui rischi informatici e fornisce inoltre ulteriori chiarimenti a integrazione della Guida SFMA 05/2020, nonché in relazione agli esercizi di rischio informatico basati su scenari. Nell’ambito dei requisiti di vigilanza esistenti, la SFMA contribuisce quindi a promuovere miglioramenti mirati e continui in termini di attuazione di tali requisiti. La pubblicazione ha fatto sì che anche nel 2024 la consapevolezza dei rischi cibernetici da parte delle imprese assoggettate si mantenga a un livello costantemente elevato. Anche dopo la pubblicazione delle prescrizioni in materia di vigilanza, la SFMA ha continuato a contribuire al costante aumento del grado di maturità delle imprese assoggettate alla gestione dei rischi cibernetici. In tal modo ha rafforzato la stabilità sia dei singoli istituti che del mercato finanziario nel suo insieme. Di conseguenza, nel 2024, il numero di attacchi informatici contro le imprese vigilate che hanno raggiunto livelli di grave criticità è stato basso. (Dal Rapporto annuale 2024)

Documenti

Grafici e informazioni visive