The Italian supervisory authorities Bank of Italy, CONSOB (Italian Stock Exchange Authority), IVASS (Italian Insurance Supervisory Authority) and UIF (Italian Financial Intelligence Unit) issued on March 8^th a joint press release requesting the supervised entities to comply with the restrictive measures adopted by the European Union, through Regulations and Decisions, in response to the Russian military aggression in Ukraine.

Supervised entities are also invited to exercise the utmost care, in particular with reference to cyberattacks risks, and to intensify monitoring and defense activities in relation to possible malware activity, as well as to carefully consider the business continuity plans by ensuring the correct functioning and prompt restoration of backups.

The measures are available on the websites of European Union Official Journal, on that of the European Council, of the Financial Intelligence Unit – UIF and of the Financial Security Committee.

IL FATTO:

Con tale Comunicato, le Autorità hanno evidenziato che le misure – adottate dall’Unione europea mediante Regolamenti e Decisioni e consultabili sui siti della Gazzetta ufficiale dell’Unione europea, del Consiglio europeo, dell’UIF e del Comitato di Sicurezza Finanziaria (CSF) – sono vincolanti nella loro totalità e sono direttamente e immediatamente applicabili in ciascuno degli Stati Membri.

I soggetti vigilati sono tenuti, pertanto, a rispettarle, mettendo in atto i controlli e i dispositivi necessari, monitorando costantemente l’aggiornamento delle misure in questione. Essi, inoltre, dovranno tenere in considerazione le indicazioni fornite dalla UIF con il Comunicato del 4 marzo 2022, ai fini dell’adempimento degli obblighi di comunicazione delle misure di congelamento applicate ai soggetti designati.

Le Autorità raccomandano, inoltre:

• di esercitare la massima attenzione con riferimento al rischio di attacchi informatici;
• di intensificare le attività di monitoraggio e difesa in relazione a possibili attività di malware;
• di adottare tutte le misure di mitigazione dei rischi che si rendano necessarie;
• di considerare attentamente i piani di continuità aziendale (business continuity plan) e garantire il corretto funzionamento e il pronto ripristino dei backup;
• di garantire la separazione dell’ambiente di backup da quello di esercizio, valutando la possibilità di prevedere soluzioni di backup offline (ossia che non siano fisicamente o logicamente collegati alla rete) dei sistemi e dei dati essenziali.

I soggetti vigilati sono, infine, invitati a prestare attenzione nel continuo agli aggiornamenti forniti dal Computer Security Incident Response Team – Italia (cfr. https://csirt.gov.it/contenuti?tags=Ucraina).

PERCHÈ È IMPORTANTE:

Tramite la nota congiunta le autorità di vigilanza di settore, Banca d’Italia, Ivass, Consob e Uif, invitano i soggetti vigilati al pieno rispetto delle misure restrittive decise dall’Unione europea nei confronti della Russia. Esse inoltre, raccomandano ai soggetti vigilati di prestare la massima attenzione con riferimento al rischio di attacchi informatici, di intensificare le attività di monitoraggio e difesa in relazione a possibili attività di malware, di adottare tutte le misure di mitigazione dei rischi che si rendano necessarie, nonché di considerare attentamente i piani di continuità aziendale (business continuity plan) e garantire il corretto funzionamento e il pronto ripristino dei backup.