(1)

Come indicato al considerando 4 della raccomandazione CERS/2013/1 del Comitato europeo per il rischio sistemico (4), l’obiettivo ultimo della politica macroprudenziale è contribuire a salvaguardare la stabilità del sistema finanziario nel suo insieme, anche attraverso il rafforzamento della capacità di tenuta del sistema finanziario e la riduzione dell’accumulo di rischi sistemici, garantendo così un apporto sostenibile del settore finanziario alla crescita economica. Il Comitato europeo per il rischio sistemico (CERS), è responsabile della vigilanza macroprudenziale del sistema finanziario all’interno dell’Unione. Nell’assolvere il proprio mandato, il CERS dovrebbe contribuire alla prevenzione e all’attenuazione dei rischi sistemici per la stabilità finanziaria, compresi quelli relativi agli incidenti informatici, e proporre le modalità per attenuare tali rischi.

(2)

Gli incidenti informatici gravi possono rappresentare un rischio sistemico per il sistema finanziario, data la loro capacità di perturbare le operazioni e i servizi finanziari critici. L’amplificazione di uno shock iniziale può avvenire attraverso un contagio operativo o finanziario oppure attraverso un’erosione della fiducia nel sistema finanziario. Se il sistema finanziario non è in grado di assorbire questi shock, la stabilità finanziaria sarà a rischio e questa situazione può determinare una crisi informatica sistemica (5).

(3)

Il panorama delle minacce informatiche in continua evoluzione e il recente aumento dei principali incidenti informatici sono indicatori del maggiore rischio per la stabilità finanziaria nell’Unione. La pandemia di COVID-19 ha evidenziato l’importanza del ruolo svolto dalla tecnologia nel consentire il funzionamento del sistema finanziario. Le autorità e le istituzioni competenti hanno dovuto adeguare le proprie infrastrutture tecniche e i propri sistemi di gestione dei rischi a un improvviso aumento del lavoro a distanza, che ha aumentato l’esposizione complessiva del sistema finanziario alle minacce informatiche e ha consentito ai criminali di elaborare nuovi modi operativi e di adattare quelli esistenti al fine di sfruttare la situazione (6). In tale contesto, il numero di incidenti informatici segnalati alla vigilanza bancaria della BCE nel 2020 è aumentato del 54 % rispetto al 2019 (7).

(4)

La scala, la velocità e il tasso di propagazione potenzialmente di ampie dimensioni di un grave incidente richiedono una risposta efficace da parte delle autorità competenti per attenuare i potenziali effetti negativi sulla stabilità finanziaria. Un coordinamento e una comunicazione rapidi tra le autorità competenti a livello dell’Unione possono contribuire a una valutazione precoce dell’impatto di un incidente informatico grave sulla stabilità finanziaria, mantenendo la fiducia nel sistema finanziario e limitando il contagio ad altre istituzioni finanziarie, contribuendo in tal modo a evitare che un incidente informatico grave diventi un rischio per la stabilità finanziaria.

(5)

Lo shock sottostante ha origine in un modo innovativo rispetto alle tradizionali crisi finanziarie e di liquidità solitamente affrontate dalle autorità competenti. Oltre agli aspetti finanziari, la valutazione complessiva del rischio deve includere la portata e l’impatto di disfunzioni operative, in quanto queste potrebbero influenzare la scelta degli strumenti macroprudenziali. Analogamente, la stabilità finanziaria potrebbe anche influenzare la scelta dei metodi operativi di mitigazione da parte di esperti informatici. Ciò richiede uno stretto e rapido coordinamento e una comunicazione aperta al fine, tra l’altro, di sviluppare una consapevolezza della situazione.

(6)

Il rischio di un mancato coordinamento da parte delle autorità esiste e deve essere affrontato. Le autorità competenti dell’Unione dovranno coordinarsi tra loro e con altre autorità, quali l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (European Union Agency for Network and Information Security, ENISA), con le quali potrebbero non interagire di solito. Poiché un numero significativo di istituzioni finanziarie dell’Unione opera a livello mondiale, è probabile che un incidente informatico grave non sia limitato all’Unione o possa essere innescato al di fuori dell’Unione e potrebbe richiedere un coordinamento globale della risposta.

(7)

Le autorità competenti devono essere preparate a tali interazioni. Altrimenti rischierebbero di intraprendere azioni incoerenti che contraddicono o compromettono le risposte di altre autorità. Tale mancanza di coordinamento potrebbe amplificare lo shock per il sistema finanziario determinando un’erosione della fiducia nel funzionamento del sistema finanziario che, nel peggiore dei casi, comporterebbe un rischio per la stabilità finanziaria (8). Pertanto, dovrebbero essere adottate le misure necessarie per affrontare il rischio per la stabilità finanziaria derivante da un mancato coordinamento nel caso di un incidente informatico grave.

(8)

La relazione del CERS (2021) «Mitigating systemic cyber risk» (9) individua la necessità di istituire un quadro paneuropeo di coordinamento sistemico degli incidenti informatici (EU-SCICF) per le autorità competenti nell’Unione. L’obiettivo dell’EU-SCICF sarebbe di aumentare il livello di preparazione delle autorità competenti per facilitare una risposta coordinata a un incidente informatico potenzialmente grave. La relazione del CERS (2021) «Mitigating systemic cyber risk» fornisce la valutazione del CERS sulle caratteristiche di tale quadro che sarebbero necessarie, a un primo esame, per affrontare il rischio di un mancato coordinamento.

(9)

L’obiettivo principale della presente raccomandazione è portare avanti uno dei ruoli previsti delle autorità europee di vigilanza (AEV) nel quadro della proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario (10) (di seguito «DORA»), ossia di consentire gradualmente una risposta efficace e coordinata a livello dell’Unione in caso di un grave incidente transfrontaliero connesso alle tecnologie dell’informazione e della comunicazione (TIC) o di una minaccia connessa che abbia un impatto sistemico sul settore finanziario dell’Unione nel suo complesso. Questo processo porterà alla creazione dell’EU-SCICF per le autorità competenti.

(10)

L’EU-SCICF non dovrebbe mirare a sostituire i quadri di riferimento esistenti, ma a colmare eventuali lacune in materia di coordinamento e comunicazione tra le autorità competenti stesse e con altre autorità dell’Unione e altri attori chiave a livello internazionale. A tale riguardo, si dovrebbe considerare il posizionamento dell’EU-SCICF nell’attuale quadro di crisi finanziaria e nel panorama del quadro dell’Unione in materia di incidenti informatici. Per quanto riguarda il coordinamento tra le autorità competenti stesse, si dovrebbero tenere in considerazione, tra l’altro, i ruoli e le attività del gruppo di cooperazione in materia di reti e sistemi informativi (NIS) per i soggetti finanziari di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (11), nonché i meccanismi di coordinamento previsti mediante l’istituzione dell’unità congiunta per il ciberspazio, unitamente al coinvolgimento dell’ENISA.

(11)

In particolare, la proposta di avviare la preparazione dell’EU-SCICF mira a promuovere i potenziali ruoli delle AEV, come previsto dalla proposta di regolamento DORA. La proposta di regolamento DORA propone che «le AEV, tramite il comitato congiunto e in collaborazione con le autorità competenti, la BCE e il CERS, possono istituire meccanismi che consentano la condivisione di pratiche efficaci tra i vari settori finanziari per migliorare la consapevolezza situazionale e identificare i rischi e le vulnerabilità informatiche comuni a tutti i settori» e «possono elaborare esercitazioni di gestione delle crisi e delle emergenze comprendenti scenari di attacchi informatici al fine di sviluppare canali di comunicazione e promuovere gradualmente una risposta efficace coordinata a livello dell’UE nel caso di grave incidente transfrontaliero connesso alle TIC o relativa minaccia aventi un impatto sistemico sull’intero settore finanziario dell’Unione» (12). Un quadro paneuropeo come l’EU-SCICF non esiste ancora e dovrebbe essere istituito e sviluppato nel contesto della DORA.

(12)

Dato il rischio per la stabilità finanziaria nell’Unione derivante dal rischio informatico, i lavori preparatori per la graduale istituzione dell’UE-SCICF dovrebbero, per quanto possibile, iniziare anche prima che il quadro giuridico e politico richiesto per la sua istituzione sia pienamente applicabile. Tale quadro giuridico e politico sarebbe interamente completato e finalizzato una volta che le pertinenti disposizioni del regolamento DORA e dei relativi atti delegati diventeranno applicabili.

(13)

Una comunicazione efficace contribuisce alla consapevolezza della situazione tra le autorità competenti ed è pertanto un prerequisito indispensabile per il coordinamento a livello dell’Unione in caso di incidenti informatici gravi. A tale riguardo, è opportuno definire l’infrastruttura di comunicazione necessaria per coordinare la risposta a un incidente informatico grave. Ciò richiederebbe di specificare il tipo di informazioni che devono essere condivise, i canali regolari da utilizzare per condividere tali informazioni e i punti di contatto con cui le informazioni dovrebbero essere condivise. La condivisione delle informazioni deve rispettare i requisiti giuridici vigenti. Inoltre, potrebbe essere necessario che le autorità competenti definiscano un piano d’azione chiaro e i protocolli da seguire al fine di garantire un adeguato coordinamento tra le autorità coinvolte nella pianificazione di una risposta coordinata a un incidente informatico grave.

(14)

Una crisi informatica sistemica richiederà l’avvio di una piena cooperazione a livello nazionale e dell’Unione. Pertanto, la designazione di punti di contatto per le AEV, la BCE e ciascuno Stato membro tra le rispettive autorità nazionali competenti, che dovrebbero essere comunicati alle AEV, può essere prevista per stabilire i principali interlocutori nel sistema di coordinamento dell’EU-SCICF da informare in caso di incidente informatico grave. La necessità di designare punti di contatto dovrebbe essere valutata durante lo sviluppo dell’EU-SCICF, tenendo conto del punto di contatto unico designato ai sensi della direttiva (UE) 2016/1148 che gli Stati membri hanno istituito in materia di sicurezza delle reti e dei sistemi informativi per garantire la cooperazione transfrontaliera con gli altri Stati membri e con il gruppo di cooperazione NIS (13).

(15)

Lo svolgimento di esercitazioni di gestione delle crisi e delle emergenze potrebbe facilitare l’attuazione dell’EU-SCICF e consentire alle autorità di valutare la propria prontezza e preparazione per una crisi informatica sistemica a livello dell’Unione. Tali esercitazioni fornirebbero degli insegnamenti alle autorità e consentirebbero un miglioramento e un’evoluzione continui dell’EU-SCICF.

(16)

Per lo sviluppo dell’EU-SCICF è essenziale che le AEV svolgano congiuntamente il lavoro preparatorio rilevante al fine di prendere in considerazione i potenziali elementi chiave del quadro di riferimento, le risorse richieste e le necessità per procedere con il suo sviluppo. In seguito, le AEV potrebbero iniziare a lavorare a un’analisi preliminare di eventuali ostacoli che potrebbero compromettere la capacità delle AEV e delle autorità competenti di istituire l’EU-SCICF e di condividere le informazioni pertinenti attraverso i canali di comunicazione in caso di incidente informatico grave. Tale analisi costituirebbe un passo importante a sostegno di qualsiasi ulteriore azione, sia di natura legislativa che di altra tipologia di sostegno, che la Commissione europea potrebbe intraprendere nella fase di attuazione post-DORA,

1.

2.

(a)

per «informatico» si intende relativo alla, interno alla o per mezzo della infrastruttura informatica interconnessa alle interazioni tra persone, processi, dati e sistemi informativi (14);

(b)

per «incidente informatico grave» si intende un incidente connesso alle TIC con un impatto avverso potenzialmente elevato sulla rete e sui sistemi informativi che sostengono funzioni critiche delle entità finanziarie (15);

(c)

per «crisi informatica sistemica» si intende un incidente informatico grave che causa un livello di perturbazione del sistema finanziario dell’Unione che potrebbe comportare gravi conseguenze negative per il buon funzionamento del mercato interno e per il funzionamento dell’economia reale. Una crisi di questo tipo potrebbe derivare da un grave incidente informatico che provoca shock in una serie di canali, tra cui quelli operativi, di fiducia e finanziari;

(d)

per «Autorità europee di vigilanza» o «AEV» si intendono l’Autorità europea di vigilanza (Autorità bancaria europea) istituita dal regolamento (UE) n. 1093/2010 del Parlamento europeo e del Consiglio (16), insieme all’Autorità europea di vigilanza (Autorità europea delle assicurazioni e delle pensioni aziendali e professionali) istituita dal regolamento (UE) n. 1094/2010 del Parlamento europeo e del Consiglio (17) e all’Autorità europea di vigilanza (Autorità europea degli strumenti finanziari e dei mercati) istituita dal regolamento (UE) n. 1095/2010 del Parlamento europeo e del Consiglio (18);

(e)

per «Comitato congiunto» si intende il comitato congiunto delle autorità europee di vigilanza istituito dall’articolo 54 del regolamento (UE) n. 1093/2010, del regolamento (UE) n. 1094/2010 e del regolamento (UE) n. 1095/2010;

(f)

per «autorità nazionale competente» si intende:

(g)

per «autorità competente» si intende:

(a)

si dovrebbe prestare la debita attenzione al principio della necessità di conoscere e al principio di proporzionalità, tenendo conto degli obiettivi e dei contenuti di ciascuna raccomandazione;

(b)

dovrebbero essere soddisfatti i criteri specifici di conformità stabiliti nell’allegato in relazione a ciascuna raccomandazione.

1.

Raccomandazione A

2.

Raccomandazione B

Entro il 30 giugno 2023, ma non prima di sei mesi dall’entrata in vigore del regolamento DORA, le AEV sono tenute a presentare al Parlamento europeo, al Consiglio, alla Commissione e al CERS una relazione sull’attuazione della sotto-raccomandazione A(2).

3.

Raccomandazione C

1.

Il segretariato del CERS:

2.

Il Consiglio generale valuterà le azioni e le motivazioni comunicate dai destinatari e, se del caso, può decidere che la presente raccomandazione non sia stata rispettata e che un destinatario abbia omesso di fornire adeguate motivazioni per la propria inerzia.