Banca d'Italia Circolare 285: Obblighi IT e Test di Penetrazione per le Banche Italiane
La Circolare 285 del 17 dicembre 2013 di Banca d'Italia — «Disposizioni di vigilanza per le banche» — è il testo regolamentare fondamentale che disciplina i requisiti prudenziali delle banche italiane. Il Capitolo 4 della Parte Prima (Governo societario, controlli interni, gestione dei rischi) e, più specificamente, il Titolo IV Capitolo 4 Sezione IV dedicato ai sistemi informativi, stabilisce i principi per la gestione del rischio informatico nelle banche. Con l'entrata in vigore di DORA il 17 gennaio 2025, gli obblighi in materia di test di sicurezza TIC si sono intensificati: le banche italiane devono ora soddisfare contemporaneamente i requisiti della Circolare 285 e quelli del regolamento DORA. La presente guida analizza cosa prevede la Circolare 285 in materia di sicurezza IT, come Banca d'Italia verifica la conformità nelle ispezioni di vigilanza, e come i test di penetrazione si inseriscono in questo quadro normativo.
Il quadro normativo IT per le banche italiane: Circolare 285 e DORA
La Circolare 285/2013 di Banca d'Italia, al Titolo IV Capitolo 4, definisce i principi per la gestione del sistema informativo delle banche: il modello di governo IT, la gestione del rischio informatico, la sicurezza informatica, la continuità operativa e la gestione dei dati. In materia di sicurezza informatica, la Circolare richiede che le banche adottino un framework di sicurezza informatica che includa la valutazione periodica dei rischi, misure di protezione adeguate e — aspetto fondamentale — la verifica dell'efficacia di queste misure tramite test tecnici. Le Disposizioni di vigilanza prudenziale (15° aggiornamento della Circolare 285, luglio 2023) hanno ulteriormente rafforzato i requisiti IT in linea con le linee guida EBA ICT Risk (EBA/GL/2019/04) e in anticipo sull'implementazione di DORA. In pratica, le banche italiane che vengono ispezionate da Banca d'Italia devono poter dimostrare l'esistenza di un programma strutturato di test di sicurezza IT, che include vulnerability assessment e test di penetrazione periodici. Le ispezioni tematiche IT (SREP IT Risk Assessment) di Banca d'Italia, intensificate dal 2022, verificano sistematicamente la presenza di evidenza di test tecnici recenti. L'assenza di tale evidenza è qualificata come carenza significativa nel controllo interno e può portare a requisiti patrimoniali aggiuntivi (Pillar 2) o a misure supervisive.
- Circolare 285/2013 Titolo IV Cap. 4 Sez. IV — Sistema informativo: obbligo di un framework di gestione del rischio informatico che includa la valutazione periodica dei rischi e la verifica dell'efficacia delle misure di protezione — i test di penetrazione sono lo strumento principale per questa verifica.
- EBA/GL/2019/04 — Linee guida EBA su ICT e gestione del rischio di sicurezza (recepite nella Circolare 285): le banche devono «testare e valutare regolarmente l'adeguatezza delle misure di sicurezza ICT» — include test di penetrazione e vulnerability assessment periodici.
- DORA Art. 24 (applicabile dal 17 gennaio 2025): le banche italiane soggette a DORA devono soddisfare i requisiti di test di penetrazione dell'Art. 24, che si sovrappongono e rafforzano i requisiti della Circolare 285 — la conformità DORA soddisfa anche i requisiti della Circolare 285 in materia di test IT.
- SREP IT Risk Assessment Banca d'Italia: Banca d'Italia conduce periodicamente valutazioni tematiche del rischio IT (IT SREP) che verificano la presenza di test di penetrazione recenti, la gestione delle vulnerabilità, i piani di remediation e la maturità del programma di sicurezza IT.
- Continuous monitoring e vulnerability management: la Circolare 285 e le linee guida EBA richiedono che le banche mantengano un inventario aggiornato degli asset IT e gestiscano le vulnerabilità in modo strutturato — con SLA di remediation documentati per le vulnerabilità critiche.
- Continuità operativa (Circolare 285 Titolo IV Cap. 4 Sez. V): i test di penetrazione devono includere la verifica che le procedure di continuità operativa non siano compromettibili da un attaccante — attacchi ai sistemi di backup e DRP.
- Responsabilità del CDA e funzione IT: la Circolare 285 richiede che il Consiglio di Amministrazione approvi il framework di gestione del rischio IT e sia informato dei risultati dei test di sicurezza — il report di penetration test deve essere presentato agli organi di governance.
Cosa testa un pentest conforme alla Circolare 285 / DORA per una banca italiana
- Sistemi bancari core e database clienti: sistemi CBS (Core Banking System) come Temenos T24, SAP for Banking, Finacle — accessi non autorizzati ai dati dei conti, escalation dei privilegi nei database Oracle/SQL Server, CVE-2023-21839 (Oracle WebLogic RCE).
- Infrastruttura di autenticazione e Active Directory: Active Directory / Azure AD, accessi privilegiati (PAM), Kerberos (Kerberoasting, Pass-the-Ticket), trust tra domain — criticità massima per le banche con infrastruttura ibrida on-premise/cloud.
- Sistemi di pagamento e messaggistica interbancaria: interfacce SWIFT Alliance Access/Gateway, connettività SIA/COLT, sistemi Bancomat/PagoBancomat — CVE-2023-33009 (Zyxel firewall buffer overflow) come riferimento per dispositivi di rete dei sistemi di pagamento.
- Applicazioni web e mobile banking: OWASP Top 10 (2021) sulle applicazioni di home banking; autenticazione OTP e SCA PSD2; OWASP Mobile Security Testing Guide (MSTG) per le app iOS/Android; CVE-2023-4863 (WebP libwebp heap buffer overflow) per le app mobile.
- Infrastruttura cloud e ambienti ibridi: configurazioni IAM AWS/Azure, bucket S3/Azure Blob esposti, workload Kubernetes mal configurati — le banche che hanno migrato sistemi in cloud devono testare anche l'infrastruttura cloud.
- Sicurezza della rete e segmentazione: verifica che la rete SWIFT sia isolata dalla rete utenti, separazione ambienti (produzione/collaudo/sviluppo), accessi remoti (VPN, Citrix) — CVE-2023-3519 (Citrix NetScaler RCE) come riferimento critico.
- Gestione delle vulnerabilità e patch: verifica della presenza di CVE critici senza patch nei sistemi rilevanti — inventario asset aggiornato come prerequisito per un programma di vulnerability management conforme alla Circolare 285.
- Logging, SIEM e capacità di rilevamento: verifica che le attività di attacco vengano rilevate; test dei playbook di incident response; verifica della conformità ai requisiti di logging della Circolare 285 (conservazione log per almeno 12 mesi).
- Procedure di continuità operativa: test della capacità di un attaccante di compromettere i backup e i sistemi DRP; verifica che i recovery point objective (RPO) e recovery time objective (RTO) approvati siano raggiungibili anche in uno scenario di attacco avanzato.
Esempio di finding
Oracle WebLogic senza patch nel sistema CBS esposto su rete interna (CVE-2023-21839)
Il server Oracle WebLogic 14.1.1.0.0 che ospita il modulo di reporting del sistema Core Banking è privo della patch per CVE-2023-21839 (CVSS 7.5, Oracle Critical Patch Update gennaio 2023). La vulnerabilità consente a un attaccante con accesso alla rete interna — anche tramite una workstation utente compromessa — di eseguire lookup JNDI arbitrari verso server remoti, consentendo l'esecuzione di codice remoto. Il sistema WebLogic è raggiungibile dalla rete degli utenti interni (non segregato in una VLAN dedicata). La compromissione di questo sistema consente l'accesso all'intera base dati dei report finanziari della banca. La vulnerabilità era nota da gennaio 2023 e il sistema non aveva applicato alcuna patch nel periodo di 14 mesi precedente il test.
Correzione: Applicare immediatamente la patch Oracle CPU gennaio 2023 o aggiornare WebLogic alla versione 14.1.1.0.3. In attesa del patching, isolare il server WebLogic in una VLAN dedicata accessibile solo dai sistemi CBS autorizzati — nessun accesso diretto dalla rete utenti. Implementare un processo di patch management con SLA massimo di 30 giorni per le vulnerabilità critiche (CVSS ≥ 7.0) e 7 giorni per le vulnerabilità CVSS 9.0+. Condurre un'analisi di compromissione del sistema per verificare se CVE-2023-21839 è stato sfruttato prima del test. Documentare la remediation nel registro dei rischi IT come richiesto dalla Circolare 285 Titolo IV Cap. 4 e presentare il piano di remediation al CDA nella prossima relazione trimestrale sul rischio IT.
Riferimento: CVE-2023-21839 (Oracle WebLogic Server JNDI RCE, CVSS 7.5) · CWE-611 Improper Restriction of XML External Entity Reference · Circolare 285/2013 Titolo IV Cap. 4 Sez. IV §4 (gestione vulnerabilità) · EBA/GL/2019/04 §73 (patch management) · DORA Art. 24 §2 (test sicurezza TIC)
Pentest per banche: confronto delle opzioni
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Offerte di pentest per banche italiane
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sulla sicurezza IT delle banche e la Circolare 285
La Circolare 285/2013 richiede esplicitamente un test di penetrazione?
La Circolare 285 non menziona esplicitamente il «test di penetrazione» come tale, ma richiede che le banche verifichino periodicamente l'efficacia delle misure di sicurezza IT (Titolo IV Cap. 4 Sez. IV). Le linee guida EBA ICT Risk (EBA/GL/2019/04), recepite nella Circolare 285, specificano che questa verifica deve includere test tecnici, tra cui vulnerability assessment e penetration test. Nelle ispezioni IT di Banca d'Italia, la mancanza di evidenza di test tecnici periodici viene costantemente classificata come carenza significativa del controllo interno.
Con quale frequenza le banche italiane sono ispezionate da Banca d'Italia sul tema IT?
Banca d'Italia conduce ispezioni IT (IT SREP Assessment) con una frequenza che dipende dalla dimensione e dal profilo di rischio dell'istituto: per le banche significative (supervised entities BCE), le ispezioni IT avvengono tipicamente ogni 2-3 anni; per le banche meno significative, la frequenza è determinata da Banca d'Italia nell'ambito del ciclo SREP. Dall'entrata in vigore di DORA nel 2025, Banca d'Italia ha intensificato le valutazioni tematiche IT nell'ambito del processo di supervisione continua.
Come si articola la sovrapposizione tra Circolare 285 e DORA per le banche italiane?
DORA prevale come lex specialis per i profili coperti (test di sicurezza TIC, gestione del rischio ICT, continuità operativa digitale). I requisiti DORA sono generalmente più stringenti e specifici rispetto alla Circolare 285 in materia IT. In pratica, una banca che soddisfa integralmente DORA soddisfa anche i requisiti IT della Circolare 285. Banca d'Italia ha comunicato che non richiede adempimenti duplicati: la conformità DORA è sufficiente per i requisiti IT sovrapposti.
Cosa verifica Banca d'Italia in un'ispezione IT tematica (IT SREP)?
Un'ispezione IT di Banca d'Italia (IT SREP Assessment) verifica tipicamente: framework di governo IT e responsabilità del CDA; inventario degli asset IT e classificazione dei dati; framework di gestione del rischio IT e registri dei rischi; piani e risultati di test tecnici recenti (vulnerability assessment, penetration test); processi di patch management con evidenza di remediation; piani di continuità operativa e DR testati; gestione dei fornitori IT critici; procedure di notifica degli incidenti; conformità ai requisiti DORA (dal 2025). L'assenza di test di penetrazione recenti con evidence è segnalata sistematicamente come carenza.
Quali sanzioni può applicare Banca d'Italia per carenze nel controllo IT?
Banca d'Italia può applicare misure supervisive graduali in caso di carenze nel controllo IT: primo passo — raccomandazioni e piani di remediation con scadenze; secondo passo — misure di sorveglianza rafforzata (requisiti di reportistica aggiuntivi, visite ispettive più frequenti); terzo passo — misure vincolanti (requisiti patrimoniali aggiuntivi Pillar 2, limitazioni alle distribuzioni di dividendi); quarto passo — misure straordinarie (restrizioni operative, nomina di commissari). Con DORA, si aggiungono le sanzioni DORA (fino all'1% del fatturato giornaliero per inadempienza agli Art. 24-26).
Le banche di credito cooperativo (BCC) sono soggette agli stessi requisiti IT della Circolare 285?
Sì — le BCC sono soggette alla Circolare 285 come tutte le banche italiane, ma con il principio di proporzionalità. Per le BCC di piccole dimensioni, i requisiti IT sono applicati in modo proporzionato: ad esempio, il framework di test può essere meno formale rispetto a quello di una grande banca, ma deve comunque esistere e produrre evidenza documentata. Le BCC che aderiscono ai Gruppi Bancari Cooperativi (Iccrea, Cassa Centrale Banca) possono beneficiare di servizi IT centralizzati e test condotti a livello di gruppo.
Come Matproof supporta la conformità Circolare 285 e DORA per le banche italiane?
Matproof Sentinel automatizza la componente più gravosa della conformità IT per le banche: scansione continua delle vulnerabilità sui sistemi bancari; penetration test assistito dall'IA con report strutturato secondo i requisiti DORA Art. 24 §7 e Circolare 285; tracciamento dello stato di remediation con evidence per le ispezioni Banca d'Italia; integrazione con i sistemi di ticketing (Jira, ServiceNow); generazione automatica della documentazione per le relazioni al CDA sul rischio IT.
Il perimetro del pentest per una banca include anche i fornitori IT critici?
DORA Art. 28 e le linee guida EBA ICT Risk richiedono che le banche verifichino i requisiti di sicurezza dei loro fornitori IT critici tramite clausole contrattuali che possono includere il diritto di audit e test. In pratica, per i fornitori IT che gestiscono sistemi critici (cloud provider, outsourcer del CBS, processori di pagamento), la banca deve richiedere evidenza di test di sicurezza regolari o condurre test sul perimetro di interfaccia. Matproof supporta anche la valutazione dei fornitori IT critici nell'ambito del programma di gestione del rischio di terze parti.
Approfondisci — articoli correlati dal blog
Avvii il Suo programma di pentest conforme a Circolare 285 e DORA
Le banche italiane che dimostrano un programma strutturato di test tecnici IT superano le ispezioni Banca d'Italia con minor attrito. Matproof Sentinel produce la documentazione esatta che Banca d'Italia cerca: test di penetrazione con metodologia documentata, finding con CVSS, piano di remediation con stato aggiornato.
Avvia il pentest per la tua banca