Il primo rapporto congiunto EBA‑EIOPA‑ESMA sugli incidenti ICT nel 2025 fotografa 3.383 eventi classificati come “maggiori”, pari in media a 0,18 incidenti per entità finanziaria soggetta a DORA, con una concentrazione prevalente nei settori credito e pagamenti. La lettura che ne danno le Autorità non è però allarmistica: in un contesto di forte digitalizzazione e interconnessione del sistema finanziario, un certo livello di incidenti operativi è considerato fisiologico e non indice, di per sé, di debolezze strutturali. La resilienza viene misurata piuttosto nella capacità delle entità di individuare rapidamente l’evento, gestirlo e contenerne gli effetti, e su questo fronte il quadro 2025 è giudicato complessivamente positivo. Due terzi degli incidenti hanno infatti avuto un impatto nullo o solo minore su clienti e transazioni, segno che la detection tempestiva e le misure di risposta e contenimento hanno spesso limitato i danni operativi e gli effetti di spillover.
Rischi sempre più transfrontalieri e dipendenza da terze parti
Un risultato chiave del rapporto è la conferma della natura sempre più transfrontaliero del rischio ICT: circa un terzo degli incidenti maggiori ha avuto impatti cross‑border, coinvolgendo più Stati membri, in alcuni casi oltre dieci paesi, a testimonianza dell’uso diffuso di infrastrutture condivise, servizi ICT comuni e modelli di business transnazionali. Questa interconnessione amplifica il rischio che un singolo evento – guasto infrastrutturale, blackout, malfunzionamento di una piattaforma di pagamento – si propaghi rapidamente attraverso più entità e settori. In termini di cause, gli incidenti sono dominati da failure tecniche e fattori esterni: i malfunzionamenti di sistema rappresentano il 51% dei casi, seguiti dagli eventi esterni al 27%, mentre quasi un terzo degli incidenti origina da failure di terze parti (fornitori ICT, altre entità finanziarie, infrastrutture). Questo rafforza l’attenzione di vigilanza sulla gestione del rischio di terza parte, sulla robustezza dei contratti con i fornitori e sulla necessità di coordinamento stretto durante la gestione dell’incidente.
Cybersecurity: pochi incidenti “maggiori”, ma allerta alta
Solo il 10% circa degli incidenti maggiori viene classificato come “cybersecurity‑related”, un dato che le ESAs interpretano come segnale di una certa efficacia delle misure di sicurezza e dei meccanismi di rilevazione nell’evitare che molti attacchi si traducano in eventi di gravità elevata. Dove si osservano incidenti cyber, prevalgono due famiglie di minacce: attacchi DDoS e data exfiltration/manipulation, inclusa l’usurpazione di identità, con un’elevata incidenza soprattutto nel settore creditizio, che concentra grandi volumi di dati sensibili e servizi digitali di massa. Altre tecniche – social engineering, supply‑chain attack, resource hijacking – risultano più distribuite fra i settori, mentre il ransomware appare particolarmente rilevante per l’assicurativo, considerata la natura e la sensibilità dei dati in gioco. Nonostante queste cifre relativamente contenute, il rapporto richiama esplicitamente la necessità di mantenere gli standard di cybersecurity al livello più elevato, anche in vista di possibili utilizzi malevoli di strumenti di AI sempre più potenti.
Impatti su clienti, transazioni e controparti: molto rumore, pochi danni sistemici
Sul piano degli impatti, il quadro è meno preoccupante di quanto suggerisca il numero assoluto di incidenti. Quasi il 60% degli eventi non ha colpito i clienti o ne ha interessato meno di 1.000, con pochi casi oltre il milione di clienti, concentrati soprattutto nei settori credito e pagamenti e, in misura minore, assicurativo e asset management. Anche per le transazioni, circa due terzi degli incidenti non hanno prodotto effetti o ne hanno colpito meno di 1.000, mentre solo l’1% degli eventi ha interessato più di un milione di transazioni, ancora una volta principalmente nel credito e nei pagamenti. Meno del 18% degli incidenti ha avuto impatto su controparti finanziarie e, quando presente, quest’ultimo si concentra per oltre due terzi su banche ed operatori di pagamento, coerentemente con il ruolo centrale di questi attori nelle catene di regolamento e nelle infrastrutture di pagamento. Secondo le ESAs, la combinazione tra rilevazione tempestiva, misure di risposta rapide e salvaguardie preventive spiega perché il sistema abbia assorbito eventi anche ampiamente diffusi senza conseguenze sistemiche gravi.
Interventi correttivi, costi e prospettive di vigilanza sotto DORA
Il capitolo sulle azioni correttive mostra uno schema operativo piuttosto uniforme: stabilizzazione tecnica rapida per ripristinare la continuità del servizio, seguita da interventi strutturali di più lungo periodo su monitoring, alerting, change management, testing, riconfigurazioni di sistema e ricostruzione dei dati impattati, spesso in coordinamento con i fornitori TPP.
Dal punto di vista economico, i costi dichiarati appaiono sorprendentemente bassi: circa metà degli incidenti non riporta costi diretti o indiretti, o li quantifica in meno di 1.000 euro, anche se le ESA suggeriscono che vi possano essere errori o sottostime legati a pratiche di compilazione non coerenti con le linee guida sulle perdite da incidenti ICT.
Il rapporto evidenzia inoltre che una quota rilevante di entità segnala assenza di recuperi finanziari, mentre solo il 3% circa degli incidenti riporta importi di recupero positivi, rendendo difficile una valutazione sistematica delle perdite nette. In prospettiva, le ESAs puntano su tre leve: armonizzare le pratiche di reporting tra settori e giurisdizioni, migliorare la qualità dei dati attraverso un nuovo strumento IT e controlli automatici a partire dal 2026, e collegare meglio la reportistica sugli incidenti con il DORA Register of Information per identificare concentrazioni di rischio sistemico presso fornitori ICT critici.
© Riproduzione riservata