Il progresso tecnologico nel campo delle reti e degli strumenti di comunicazione consente di creare nuove opportunità rilevanti di crescita e di sviluppo, richiedendo allo stesso tempo un maggiore impegno per garantire le esigenze di sicurezza.Negli ultimi anni, infatti, le minacce e gli attacchi cyber sono notevolmente aumentati, soprattutto nel settore finanziario, in considerazione sia delle ingenti risorse economiche che mobilita, sia dell’incremento nell’uso di strumenti finanziari digitalizzati.
All’interno di uno scenario in continua e rapida evoluzione in tema di cyber security, il Dipartimento del Tesoro partecipa ai lavori in ambito nazionale ed internazionale finalizzati alla predisposizione ed attuazione di strumenti volti a garantire la sicurezza e la resilienza cibernetica.
A livello nazionale, il decreto legislativo del 18 maggio 2018, n. 65 ha dato attuazione alla direttiva europea 2016/1148 (Nis- Network and Information Security), che individua misure per un elevato livello comune di sicurezza delle reti e dei sistemi di informazione in tutta l’Unione.
Il Csrit (Computer Security Incident Response Team) italiano istituito presso il Dipartimento delle Informazioni per la Sicurezza (Dis) della Presidenza del Consiglio dei Ministri, monitora gli incidenti di sicurezza a livello nazionale, mentre il Ministero dell’Economia e delle Finanze, in collaborazione con Banca d’Italia e Consob, è stato individuato quale Autorità competente Nis per il settore bancario e delle infrastrutture dei mercati finanziari ai fini dell’individuazione degli Operatori di Servizi Essenziali (Ose), tenuti ad adottare adeguate misure di sicurezza per la prevenzione e la gestione dei rischi informatici, nonché a notificare gli incidenti informatici che possono interrompere la continuità dei servizi.
Attualmente in ambito europeo il Dipartimento del Tesoro partecipa ai lavori sulla proposta di regolamento Digital Operational Resilience, presentata a settembre 2020 dalla Commissione europea, volta ad approvare un quadro normativo da applicare, garantendo la proporzionalità, pressoché a tutto il settore finanziario, compresi i soggetti terzi fornitori di servizi critici di tecnologie dell’informazione e della comunicazione (Tic), al fine di armonizzare all’interno dell’Ue le disposizioni normative sui sistemi di informazione e sulla sicurezza informatica nell’ambito dei servizi finanziari.Il Dipartimento del Tesoro partecipa, inoltre, ai lavori del G7- Cyber Expert Group (Ceg), un gruppo di esperti di sicurezza informatica, presieduto da Regno Unito e Stati Uniti, istituito a novembre 2015 con lo scopo di identificare i rischi cibernetici nel settore finanziario e di rafforzare la cooperazione in materia di cyber security in ambito internazionale.
Il Ceg svolge un lavoro di coordinamento su diversi temi quali l’identificazione delle vulnerabilità, i penetration test, i rischi di contagio derivanti dai rapporti con i soggetti terzi, la cooperazione tra il settore pubblico e privato.
Sono stati già pubblicati diversi documenti:G7 Fundamental Elements for third party cyber risk management in the financial sector (ottobre 2022);G7 Fundamental Elements of ransomware resilience for the financial sector (ottobre 2022);G-7 Fundamental Elements of Cyber Exercise Programmes (ottobre 2020);G7- Fundamental Elements for Third Party Cyber Risk Management in the financial sector (ottobre 2018);G-7 Fundamental Elements for Threat-Led Penetration Testing (ottobre 2018);G-7 Fundamental Elements for Effective Assessment of Cybersecurity in the Financial Sector (ottobre 2017);G-7 Fundamental Elements of Cybersecurity for the Financial Sector (ottobre 2016).