Le ESAs (le Autorità di vigilanza europee, ovvero EBA, EIOPA ed ESMA) hanno pubblicato il rapporto 2025 con la prima analisi annuale dei principali incidenti informatici nel settore finanziario dell’UE, basata sul meccanismo di segnalazione istituito dal Digital Operational Resilience Act (DORA).
L’art. 22, par. 2, del Digital Operational Resilience Act (DORA) impone infatti alle ESAs di presentare annualmente una relazione sugli incidenti informatici di maggiore rilevanza, indicando almeno:
- il numero di incidenti informatici di maggiore rilevanza
- la loro natura
- il loro impatto sulle operazioni degli enti finanziari o dei clienti
- le azioni correttive intraprese
- i costi sostenuti.
Si ricorda che, ai sensi di DORA, per incidente informatico di maggiore rilevanza si intende un singolo evento o una serie di eventi concatenati non pianificati dall’ente finanziario che compromettono la sicurezza della rete e dei sistemi informativi e hanno un impatto negativo sulla disponibilità, l’autenticità, l’integrità o la riservatezza dei dati o sui servizi forniti dall’ente finanziario.
Un incidente informatico di maggiore rilevanza è in sostanza un incidente informatico che ha un impatto negativo elevato sulla rete e sui sistemi informativi che supportano funzioni critiche o importanti di un ente finanziario.
L’analisi evidenzia come i rischi informatici siano sempre più transnazionali e interconnessi: inoltre, nel rapporto si sottolinea che la recente evoluzione di strumenti basati sull’intelligenza artificiale altamente performanti dovrebbe incoraggiare gli enti finanziari a rafforzare le misure di cybersicurezza per mantenere la propria resilienza nel tempo.
Con l’obiettivo di armonizzare e semplificare il regime di segnalazione dei principali incidenti informatici, DORA introduce requisiti uniformi per gli enti finanziari in materia di gestione, classificazione e segnalazione di tali incidenti: garantendo che i principali incidenti informatici siano correttamente notificati a tutte le autorità competenti coinvolte, questo meccanismo consente una risposta più rapida e coordinata in caso di incidenti informatici transnazionali e interconnessi, contribuendo in ultima analisi alla resilienza del sistema finanziario europeo.
Il rapporto sugli incidenti informatici del 2025 delle ESAs, in estrema sintesi, indica che:
- circa un terzo dei 3.383 incidenti gravi segnalati dagli enti finanziari nell’UE (ovvero 0,18 per ogni ente soggetto a DORA) ha avuto un impatto transfrontaliero, sottolineando la crescente interconnessione attraverso infrastrutture e servizi condivisi
- l’impatto diretto su clienti e transazioni è stato generalmente limitato: i guasti di sistema e gli eventi esterni sono stati i principali fattori scatenanti, evidenziando la necessità di una solida gestione del rischio di terze parti, di un’efficace supervisione dei servizi esternalizzati e di uno stretto coordinamento con i fornitori di servizi durante la risposta e la risoluzione degli incidenti
- solo il 10% degli incidenti segnalati è correlato alla sicurezza informatica; è tuttavia fondamentale che gli enti finanziari si attengano ai più elevati standard di sicurezza informatica per poter stare al passo con il potenziale utilizzo di strumenti basati sull’intelligenza artificiale altamente performanti.
Questi risultati illustrano la crescente dimensione sistemica del rischio ICT, nonché l’importanza della resilienza e della supervisione per rafforzare la capacità del settore finanziario di prevenire, assorbire e riprendersi da futuri incidenti.
