Il Regolamento (UE) 2022/2554 – DORA (Digital Operational Resilience Act) rappresenta un cambio di paradigma nella gestione del rischio ICT per il settore finanziario europeo. DORA supera l’approccio frammentato alla cybersicurezza, imponendo un modello integrato di resilienza operativa digitale, che coinvolge governance, gestione del rischio, continuità operativa, gestione degli incidenti e controllo dei fornitori ICT.
In questo contesto, i Threat-Led Penetration Test (TLPT) assumono un ruolo centrale. Non si tratta di semplici esercizi di sicurezza tecnica, ma di simulazioni avanzate di attacco basate su minacce reali, progettate per valutare la capacità di un’organizzazione di prevenire, rilevare, rispondere e recuperare da attacchi cyber sofisticati.
Il framework TIBER-EU, sviluppato a livello europeo, e la sua declinazione nazionale TIBER-IT, coordinata da Banca d’Italia, costituiscono il riferimento metodologico per l’esecuzione dei TLPT nel settore finanziario italiano. Il recente aggiornamento della Guida nazionale TIBER-IT si inserisce in questo scenario di rafforzamento normativo, allineando ulteriormente le aspettative di vigilanza agli obiettivi di DORA.
Le novità introdotte con il TLPT
L’aggiornamento della guida TIBER-IT e l’entrata in applicazione di DORA rendono il TLPT un esercizio più strutturato rispetto a un VA/PT. In primo luogo, si prospetta l’integrazione tra le attività di threat intelligence e i test di sicurezza. I TLPT devono essere guidati da scenari di minaccia realistici, costruiti sulla base di attori ostili credibili, tattiche, tecniche e procedure (TTP) osservate nel mondo reale e coerenti con il profilo di rischio dell’organizzazione testata.
Cambia anche la prospettiva, il TLPT non è più focalizzato esclusivamente sulla compromissione tecnica, ma sull’impatto operativo e sistemico. L’obiettivo diventa valutare la resilienza dei processi critici, dei servizi essenziali e delle funzioni di business, includendo:
- dipendenze tecnologiche e organizzative
- terze parti ICT critiche
- catene di fornitura digitali
- capacità decisionali in condizioni di crisi
Un ulteriore elemento di evoluzione riguarda la governance del test. Le autorità si aspettano un coinvolgimento diretto del top management e delle funzioni di controllo, con una chiara responsabilità nella definizione degli obiettivi, nella gestione del rischio residuo e nell’attuazione delle azioni correttive.
Infine, i risultati dei TLPT devono tradursi in miglioramenti concreti e misurabili, entrando a far parte dei programmi di risk management, di resilienza operativa e di conformità DORA, superando la logica del test isolato o puramente dimostrativo.
Perché scegliere BDO
Il nostro team Cyber supporta le organizzazioni del settore finanziario lungo l’intero ciclo di vita dei TLPT, assicurando piena coerenza con DORA, TIBER-EU e TIBER-IT.
La nostra esperienza combina competenze in cybersicurezza avanzata, normative europee e governance del rischio, consentendoci di tradurre esercizi altamente tecnici in valore decisionale per il management.
In un contesto in cui la resilienza operativa digitale è diventata un requisito normativo e strategico, affianchiamo le organizzazioni nel trasformare la compliance in vantaggio competitivo e capacità di risposta reale alle minacce cyber.
Le nostre soluzioni
I nostri servizi includono:
- TLPT readiness assessment, per valutare il livello di maturità dell’organizzazione prima del test
- Threat intelligence strategica e operativa, finalizzata alla costruzione di scenari realistici e rilevanti
- Red Team avanzato, basato su TTP reali e orientato all’impatto sui processi critici
- Purple Teaming, per rafforzare le capacità di detection e response durante il test
- Supporto alla remediation, con priorità basate sul rischio e sull’impatto operativo.
L’approccio è modulare e adattabile a banche, assicurazioni, intermediari finanziari e infrastrutture di mercato, tenendo conto delle specificità regolamentari e operative di ciascun soggetto.