TIBER-EU e TIBER-IT: Threat-Led Penetration Testing per il Sistema Finanziario Italiano
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) è il framework europeo per i test di penetrazione basati sulla minaccia nel settore finanziario, sviluppato dalla BCE in collaborazione con le banche centrali nazionali e pubblicato nella sua versione definitiva nel maggio 2018. In Italia, Banca d'Italia ha implementato il framework nazionale TIBER-IT, che regola come gli istituti di rilevanza sistemica devono condurre i test Red Team richiesti dall'Art. 26 del regolamento DORA ((UE) 2022/2554). TIBER-IT non è una semplice linea guida: è il protocollo ufficiale attraverso cui Banca d'Italia coordina e supervisiona i test avanzati di resilienza operativa delle banche, degli istituti di pagamento e degli altri soggetti finanziari significativi operanti in Italia. La presente guida illustra le fasi del framework, i requisiti di accreditamento per i fornitori, il processo di coordinamento con Banca d'Italia e come un istituto finanziario si prepara a un impegno TIBER-IT.
Perché TIBER-IT è diverso da un pentest tradizionale
Un test di penetrazione tradizionale verifica se un sistema è vulnerabile a tecniche di attacco conosciute, utilizzando metodologie standardizzate come OWASP, PTES o NIST SP 800-115. TIBER-IT va molto oltre: il test è progettato attorno a una vera Threat Intelligence (TI) specifica per l'istituto target, sviluppata da un Threat Intelligence Provider (TIP) accreditato. Questo significa che i vettori di attacco utilizzati dal Red Team rispecchiano le tecniche, tattiche e procedure (TTP) reali degli attori di minaccia più rilevanti per quello specifico istituto — non scenari teorici generici. Le tre caratteristiche distintive di TIBER-IT rispetto a un pentest standard sono: la proporzionalità alla minaccia reale (le TTP derivano da un'analisi della minaccia commissionata ad hoc); l'invisibilità per l'organizzazione (solo un «White Team» ristretto conosce il test; operazioni, IT e sicurezza operano normalmente durante il test); e il coordinamento regolatorio (Banca d'Italia monitora il processo, riceve il report finale e lo utilizza per valutare la resilienza dell'istituto). DORA Art. 26 ha reso obbligatorio il TLPT — di cui TIBER-IT è l'implementazione italiana — per gli istituti finanziari significativi almeno ogni tre anni. Banca d'Italia pubblica e aggiorna periodicamente l'elenco dei fornitori TIBER-IT accreditati (TIP e Red Team Provider); solo questi soggetti possono condurre un test TIBER-IT ufficiale.
- DORA Art. 26 §1: obbligo TLPT per gli istituti finanziari significativi almeno ogni tre anni — TIBER-IT è la modalità ufficiale con cui Banca d'Italia implementa questo obbligo per gli istituti sotto la propria supervisione.
- TIBER-EU Framework (BCE, 2018) — Fase 1 (Preparation): l'istituto costituisce il White Team (2-5 persone), definisce il perimetro dei «crown jewels» da proteggere, ingaggia il TIP accreditato e il Red Team Provider accreditato con il coordinamento di Banca d'Italia.
- TIBER-EU Framework — Fase 2 (Testing): il TIP produce il Targeted Threat Intelligence (TTI) report in 6-12 settimane; il Red Team utilizza le TTP identificate per attaccare i sistemi nel perimetro definito senza allertare l'organizzazione (durata tipica: 3-6 mesi).
- TIBER-EU Framework — Fase 3 (Closure): il Red Team produce il Red Team Report; l'istituto produce il Blue Team Report; si conduce un Purple Team Workshop; il report finale viene condiviso con Banca d'Italia; l'istituto riceve il «TIBER-IT Certificate» di completamento.
- Accreditamento dei fornitori TIBER-IT: i Threat Intelligence Provider e i Red Team Provider devono soddisfare i criteri di accreditamento pubblicati da Banca d'Italia (competenze tecniche, indipendenza, copertura assicurativa, referenze). La lista degli accreditati è pubblica sul sito di Banca d'Italia.
- Portabilità dei risultati TIBER-EU (Art. 26 §8 DORA): per gli istituti operanti in più Stati membri, un test TIBER condotto in un Paese può essere riconosciuto in altri Paesi UE — evitando la duplicazione dei test per i gruppi bancari transfrontalieri.
- Costo e durata tipici di un TIBER-IT: 6-18 mesi di durata totale (incluse le fasi di preparazione e chiusura); costo tipico tra 200.000 € e 500.000 € per un istituto di medie dimensioni — significativamente superiore a un pentest DORA Art. 24 standard.
Perimetro e crown jewels in un test TIBER-IT
- Identificazione dei «crown jewels» (Fase 1): sistemi che, se compromessi, causerebbero danni gravi alla stabilità finanziaria o ai clienti — core banking, sistemi di pagamento interbancari, piattaforme di custodia titoli, infrastrutture di autenticazione.
- Sistemi di pagamento critico: accesso a TARGET2 (sistema di regolamento lordo in tempo reale dell'Eurosistema), SWIFT, SIA/COLT, Bancomat/PagoBancomat — vettori di attacco alle infrastrutture di pagamento nazionali.
- Autenticazione privilegiata e accessi amministrativi: Active Directory / Azure AD, accessi PAM (CyberArk, BeyondTrust), account di servizio con privilegi elevati — tecniche di credential dumping e lateral movement.
- Segmentazione di rete e perimetro cloud: accessi ibridi cloud/on-premise, configurazioni IAM in AWS/Azure, istanze di gestione esposte, tunnel VPN con credenziali deboli — CVE-2024-3400 (Palo Alto PAN-OS command injection) come riferimento.
- Vettori di ingegneria sociale mirati: spear phishing basato sulle TTP identificate dal TIP per questo istituto specifico (es. gruppi APT noti per il settore bancario europeo: APT28, Lazarus Group, TA505); vishing verso personale operativo.
- Sicurezza fisica e badge cloning: accesso fisico a datacenter, server room, workstation non presidiate — rilevante per istituti con infrastruttura on-premise critica.
- Rilevamento e capacità di risposta: il test TIBER verifica anche la capacità del Blue Team di rilevare l'intrusione — il Purple Team Workshop finale analizza dove il rilevamento ha funzionato e dove no.
- Sistemi di continuità operativa: attacco ai sistemi di backup e disaster recovery, verifica della robustezza dei piani BCP/DRP, capacità di rispristino in scenari di compromissione avanzata.
Esempio di finding
Movimento laterale da workstation compromessa a sistema core banking via Kerberoasting
Nella fase Red Team del test TIBER-IT, a partire da una workstation utente compromessa tramite spear phishing (email con documento Word malevolo che sfrutta CVE-2023-36884, CVSS 8.8), il Red Team ha eseguito un attacco Kerberoasting riuscito ottenendo il ticket TGS per l'account di servizio «svc_corebanking». L'account, con una password di 8 caratteri impostata 4 anni prima e non ruotata, è stato craccato offline in 12 minuti. L'account aveva accesso diretto al database del sistema core banking (IBM AS/400 con IBM Db2). Il Red Team ha dimostrato la capacità di estrarre l'intera tabella dei conti clienti — 2,3 milioni di record — senza attivare alcun alert nel SIEM. Il test è stato condotto nell'ambito del perimetro approvato dal White Team TIBER-IT.
Correzione: Implementare password lunghe (almeno 25 caratteri) e rotazione automatica per tutti gli account di servizio Kerberos, utilizzando strumenti PAM (CyberArk, BeyondTrust, Delinea) con rotazione automatica. Abilitare il rilevamento Kerberoasting nel SIEM (pattern: volume anomalo di richieste TGS per account di servizio in breve tempo). Applicare il principio del minimo privilegio agli account di servizio: l'account svc_corebanking non deve avere accesso diretto al DB in lettura bulk — utilizzare stored procedure con controllo fine dei permessi. Patching di CVE-2023-36884 (aggiornamento Office/Windows Security Update KB5027231). Documentare la remediation nel report finale TIBER-IT per Banca d'Italia.
Riferimento: CVE-2023-36884 (Microsoft Office HTML RCE, CVSS 8.8) · MITRE ATT&CK T1558.003 Kerberoasting · CWE-521 Weak Password Requirements · DORA Art. 26 §4 (requisiti TLPT) · TIBER-EU Framework BCE 2018 Fase 3
TIBER-IT vs pentest standard: confronto
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Preparazione al TIBER-IT con Matproof
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti su TIBER-EU e TIBER-IT
Chi deve effettuare un test TIBER-IT in Italia?
TIBER-IT è obbligatorio per gli istituti finanziari di rilevanza sistemica sottoposti alla supervisione diretta di Banca d'Italia, come definito dal quadro DORA Art. 26 e dal framework TIBER-IT. In pratica: le banche significative (supervised entities BCE), gli istituti di pagamento sistemici, e altri soggetti identificati da Banca d'Italia come rilevanti per la stabilità finanziaria. La designazione è comunicata individualmente da Banca d'Italia all'istituto interessato.
Qual è la differenza tra TIBER-EU e TIBER-IT?
TIBER-EU è il framework sviluppato dalla BCE per armonizzare i test Red Team nel settore finanziario europeo — definisce la metodologia comune, le fasi del test, i requisiti per i fornitori accreditati. TIBER-IT è la declinazione nazionale italiana di TIBER-EU, implementata da Banca d'Italia: stabilisce i requisiti specifici di accreditamento per i fornitori operanti in Italia, le procedure di coordinamento con Banca d'Italia, i template di report e le modalità di condivisione dei risultati. I principi metodologici sono identici; le specificità operative e regolamentari sono adattate al contesto italiano.
Quanto tempo richiede un test TIBER-IT completo?
Un test TIBER-IT completo richiede tipicamente 9-18 mesi dall'ingaggio iniziale alla chiusura: Fase 1 (Preparazione): 2-3 mesi — costituzione White Team, selezione fornitori accreditati, definizione perimetro. Fase 2 (Testing): 3-6 mesi — produzione del TTI report da parte del TIP (6-12 settimane), test Red Team (2-4 mesi). Fase 3 (Chiusura): 2-4 mesi — redazione report, Purple Team Workshop, condivisione con Banca d'Italia, emissione certificato. La durata varia in funzione della complessità dell'istituto e della disponibilità dei fornitori accreditati.
Matproof può condurre un test TIBER-IT ufficiale?
Un test TIBER-IT ufficiale richiede fornitori accreditati da Banca d'Italia (TIP e Red Team Provider). Matproof non è (ancora) nella lista degli accreditati TIBER-IT. Tuttavia, Matproof Sentinel è la soluzione ideale per la preparazione al TIBER-IT: baseline delle vulnerabilità prima del test, gap analysis rispetto ai requisiti TIBER-IT, remediation delle vulnerabilità critiche per massimizzare il beneficio del test TIBER. Per il test TIBER-IT ufficiale, La indirizziamo verso i fornitori accreditati.
I risultati di un test TIBER-IT sono portabili in altri Paesi UE?
Sì — DORA Art. 26 §8 e il framework TIBER-EU prevedono la portabilità transfrontaliera: un test TIBER condotto in Italia secondo il framework TIBER-IT può essere riconosciuto da altri supervisori UE (ad esempio BaFin, ACPR) per gli istituti che operano in più Paesi. Questo evita la duplicazione dei test costosi per i gruppi bancari transfrontalieri. La portabilità richiede un accordo tra i supervisori interessati e la verifica che il test sia stato condotto secondo gli standard TIBER-EU.
Cosa succede ai risultati di un test TIBER-IT: chi li vede?
I risultati del test TIBER-IT sono rigorosamente confidenziali. Il report finale viene condiviso solo con: il White Team dell'istituto; Banca d'Italia (supervisore); la BCE (per gli istituti significativi sotto supervisione diretta BCE). I risultati non vengono mai pubblicati o condivisi pubblicamente. Banca d'Italia utilizza i risultati per valutare la resilienza dell'istituto nel contesto della supervisione DORA e può richiedere un piano di remediation per le vulnerabilità critiche identificate.
Cos'è il Purple Team Workshop nel framework TIBER-IT?
Il Purple Team Workshop è la fase finale del test TIBER-IT in cui Red Team (attaccanti) e Blue Team (difensori dell'istituto) si riuniscono per analizzare insieme l'intera catena di attacco. L'obiettivo è duplice: trasferire conoscenza delle TTP utilizzate al team di difesa, e verificare dove e perché il rilevamento ha funzionato o fallito. Il workshop produce raccomandazioni concrete per migliorare le capacità di rilevamento e risposta dell'istituto. È una componente obbligatoria del framework TIBER-IT e produce output preziosi per il team di difesa.
Come si differenzia TIBER-IT da un Red Team engagement standard?
Un Red Team engagement standard è commissionato autonomamente da un'organizzazione, senza supervisione regolamentare, con un perimetro e obiettivi definiti bilateralmente con il fornitore. TIBER-IT è strutturalmente diverso: il supervisore regolamentare (Banca d'Italia) è coinvolto fin dall'inizio; solo fornitori accreditati possono condurre il test; la metodologia è standardizzata dal framework TIBER-EU; il report finale ha valore regolamentare. Il costo è significativamente superiore a un Red Team engagement standard, ma il risultato ha rilevanza ufficiale per la conformità DORA Art. 26.
Approfondisci — articoli correlati dal blog
Si prepari al TIBER-IT con Matproof
Prima di un test TIBER-IT ufficiale, è essenziale avere una baseline chiara delle vulnerabilità critiche. Matproof Sentinel identifica e prioritizza le vulnerabilità che un Red Team TIBER sfrutterebbe — consentendo di remediarle prima del test e massimizzare il valore dell'investimento TIBER-IT.
Prepara il TIBER-IT