Il Report 2024 della Banca d’Italia, crescono in maniera significativi le segnalazioni di incidenti informatici
Il report 2024 della Banca d’Italia sugli incidenti operativi e di sicurezza, dal titolo “Framework segnaletico di Vigilanza degli incidenti operativi o di sicurezza Analisi orizzontale 2024”, fornisce un’analisi dettagliata del livello di rischio informatico affrontato dagli intermediari finanziari italiani (come banche, istituti di pagamento e istituti di moneta elettronica). Il dato più evidente è il forte incremento delle segnalazioni: 188 incidenti gravi notificati nel 2024, contro i 130 dell’anno precedente, pari a un aumento del 45%.
Di questi, il 21% è rappresentato da incidenti cyber, il restante 79% da problematiche operative, spesso legate a malfunzionamenti o errori interni. Sebbene gli attacchi cyber siano ancora in minoranza, crescono in numero e soprattutto in diversità e pericolosità.
Le nuova morfologia degli attacchi cyber (uno su cinque)
Nel dettaglio, le 40 segnalazioni cyber derivano da 30 eventi distinti, di cui 28 veri e propri attacchi informatici e 2 casi di data leakage accidentale. Un dato rilevante riguarda la drastica diminuzione degli attacchi DDoS (solo 4 casi nel 2024, -75% rispetto al 2023), che fino all’anno scorso rappresentavano la tipologia prevalente.
Questa apparente buona notizia è in realtà il segnale di un’evoluzione qualitativa della minaccia: crescono le incursioni malware, compresi i ransomware, insieme a tentativi di accesso non autorizzato ai sistemi e attacchi basati su social engineering.
Che tipo di attacchi sono?
In base a quanto riportato da Bankitalia si tratta principalmente di:
- malware e ransomware, cioè infezioni mirate ai sistemi interni per bloccare dati o funzioni essenziali, spesso con richieste di riscatto in criptovaluta.
- accessi non autorizzati, che sfruttano vulnerabilità o credenziali compromesse per infiltrarsi in sistemi riservati.
- social engineering, manipolazioni psicologiche per indurre dipendenti o dirigenti a eseguire azioni dannose (es. invio fondi, apertura file infetti, divulgazione di credenziali).
Incidenti in aumento in un contesto ad alta interconnessione (e rischio)
Il 65% degli incidenti segnalati coinvolge fornitori esterni di servizi, con picchi dell’86% tra le banche di minore rilevanza (LSI) e del 71% per IP e IMEL. Questo evidenzia la fragilità dell’ecosistema bancario quando si affida a servizi terzi per attività critiche, soprattutto nel cloud, nei servizi di pagamento, e nella gestione delle infrastrutture IT.
Il rischio è amplificato dal fatto che molti fornitori non rientrano direttamente nel perimetro di vigilanza della Banca d’Italia, rendendo difficile il controllo diretto.
Colpiti gli ATM
La maggior parte degli incidenti ha colpito i servizi di pagamento (ATM, home banking, transazioni all’ingrosso), con un tempo medio di interruzione di 21 ore, più del doppio rispetto al 2023 (9 ore).
I casi più gravi, che hanno interessato oltre 100.000 clienti, hanno richiesto 13 ore medie per il ripristino dei servizi.
Impatti economici
La maggior parte degli incidenti non ha generato danni economici significativi. Tuttavia, 7 eventi hanno superato i 2 milioni di euro di perdite, in particolare:
- attacchi di social engineering contro dirigenti apicali,
- ransomware mirati ai sistemi core,
- errori umani in operazioni IT critiche.
Regolamento DORA: un nuovo capitolo
Il 2024 è stato anche l’ultimo anno di applicazione del precedente framework nazionale. Dal 17 gennaio 2025, l’Italia ha adottato il nuovo regolamento DORA (Digital Operational Resilience Act) dell’Unione Europea. Il DORA introduce:
- obblighi di segnalazione quasi in tempo reale,
- estensione del perimetro a nuove entità (es. gestori di cripto-attività, crowdfunding),
- notifiche volontarie di minacce informatiche significative.
Questo rappresenta un passo cruciale verso una resilienza digitale più sistemica e integrata a livello europeo.
Valutazione generale degli incidenti: resilienza in costruzione, ma il rischio resta alto
Il quadro tracciato dalla Banca d’Italia conferma un settore finanziario più consapevole, ma ancora esposto a minacce gravi e sofisticate. La riduzione degli attacchi DDoS lascia spazio ad aggressioni più mirate e silenziose, spesso con obiettivi economici e reputazionali.
Il crescente ruolo dei fornitori esterni rende essenziale una governance più rigorosa delle terze parti, mentre la complessità delle tecniche di attacco impone formazione continua del personale e un’integrazione stretta tra risk management e cybersecurity.
La nuova normativa europea potrà offrire strumenti più efficaci, ma la sua efficacia dipenderà dalla capacità degli operatori di interiorizzarla non solo come obbligo, ma come leva strategica per la competitività e la fiducia nel sistema finanziario.