Obbligo di comunicazione a FINMA delle violazioni di sicurezza a seguito di cyber-attacchi
Giusta l’art. 29 cpv. 2 delle Legge federale sulla vigilanza dei mercati finanziari, gli assoggettati alla vigilanza (e le società di audit) devono notificare senza indugio alla FINMA tutti gli eventi di grande importanza ai fini della vigilanza.
Segnalo che proprio oggi, FINMA ha pubblicato una Comunicazione sulla sorveglianza (05/2020) che stabilisce espressamente e disciplina l’obbligo di notifica delle violazioni della sicurezza in caso di cyber-attacco.
L’attacco soggetto all’obbligo di notifica può colpire l’istituto tanto direttamente (ad esempio: attacco DDoS) quanto indirettamente (ad esempio: attacco a internet provider, fornitori di servizi IT e fornitori di elettricità). Al riguardo basta che esso abbia anche solo parzialmente raggiunto il suo scopo. Per violazione della sicurezza, s’intende la classica definizione di violazione della confidenzialità / integrità / disponibilità di beni protetti (personale, immobili, infrastrutture tecnologiche critiche e informazioni sensibili; vedi al riguardo le definizioni stabilite nell’Allegato 2).
La comunicazione va effettuata senza indugio. Occorre informare FINMA entro 24 ore dalla scoperta dopo una prima valutazione del caso. In seguito, entro 72 ore, occorre effettuare una comunicazione completa secondo i contenuti prescritti dalla Comunicazione attraverso la piattaforma EHP. Tutti i successivi sviluppi vanno comunicati entro 72 ore e un rapporto (root cause) deve essere allestito se l’attacco è di livello Elevato o Grave (secondo le definizioni stabilite nell’Allegato 1). In quest’ultimo caso, occorre dimostrare il buon funzionamento del processo di gestione della crisi.
La comunicazione deve essere implementata al più tardi entro il 1° settembre 2020 (meglio se prima, secondo best effort).
Raccomandazione: tutti gli enti assoggettati devono predisporre senza ritardo procedure / ruoli / istanze / responsabilità per poter dar seguito tempestivamente e correttamente all’obbligo di comunicazione. Dato il requisito dell’immediatezza, l’organizzazione prospettata deve essere composta di un team tecnico e legale operante sulla base di procedure chiare e di comprovata efficacia.
Il nostro approccio anticipatorio verso la gestione professionale dei “data breach” secondo la futura LPD (con una forte ispirazione al GDPR), a questo punto, ci pare del tutto pagante oltre che lungimirante.
Link alla versione inglese (quella italiana non è ancora disponibile): https://www.finma.ch/en/~/media/finma/dokumente/dokumentencenter/myfinma/4dokumentation/finma-aufsichtsmitteilungen/20200507-finma-aufsichtsmitteilung-05-2020.pdf?la=en