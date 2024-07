(Teleborsa) - Laha, intesa a valutare la risposta e il ripristino da parte delle banche in caso di incidente di cibersicurezza grave ma plausibile. Nel complesso è emerso che "le banche", si legge in una nota. I risultati, che confluiranno nel processo di revisione e valutazione prudenziale (Supervisory Review and Evaluation Process, SREP) 2024, hanno contribuito a sensibilizzare le banche riguardo ai punti di forza e debolezza dei rispettivi sistemi di resilienza cibernetica.L'esercizio, avviato nel gennaio 2024, prevedeva uno scenario di prova fittizio nel cui ambito tutte le misure preventive fallivano e un attacco cibernetico si ripercuoteva gravemente sulle basi di dati dei sistemi fondamentali di ciascuna banca. La prova di stress si è quindida parte delle banche in caso di attacco cibernetico, anziché sui meccanismi di prevenzione.La prova di stress ha vistodalla BCE. Tutte sono state chiamate a rispondere a un questionario e a sottoporre documentazione all'esame dei responsabili della vigilanza, mentre unè stato selezionato per. A queste ultime è stato chiesto di eseguire un test di ripristino informatico a tutti gli effetti e di fornire elementi comprovanti il successo di tale test, oltre ad accertamenti in loco da parte dei responsabili della vigilanza.Perallo scenario, le banche hanno dovuto dimostrare la capacità di: attivare i propri piani di risposta alle crisi, incluse le procedure interne di gestione delle crisi e i piani di continuità operativa; comunicare con tutte le parti interessate esterne, quali i clienti, i prestatori di servizi e le forze dell'ordine; effettuare un'analisi allo scopo di individuare quali sarebbero i servizi interessati e come; attuare misure di mitigazione, incluse soluzioni che aiuterebbero la banca a operare durante il periodo necessario per il pieno ripristino dei sistemi informatici.Perin seguito allo scenario, le banche hanno dovuto dimostrare di poter: attivare i propri piani di ripristino, anche recuperando i dati dai back-up e allineandosi con i fornitori terzi di servizi essenziali nelle modalità di risposta all'incidente; assicurare di avere provveduto al ripristino e al buon funzionamento delle aree colpite; beneficiare degli insegnamenti tratti, ad esempio mediante il riesame dei piani di risposta e ripristino.