TLPT Italia: Threat-Led Penetration Testing secondo DORA Art. 26
Il Threat-Led Penetration Testing (TLPT) è la forma più avanzata di test di resilienza operativa per gli enti finanziari: a differenza di un pentest convenzionale, il TLPT utilizza vera Threat Intelligence specifica per il soggetto target per simulare attacchi realistici condotti da attori di minaccia sofisticati. Il regolamento DORA (regolamento (UE) 2022/2554), all'articolo 26, rende il TLPT obbligatorio per gli istituti finanziari di rilevanza sistemica, con una cadenza minima di una volta ogni tre anni. In Italia, Banca d'Italia è l'autorità competente che designa gli istituti obbligati, coordina i test e riceve i risultati. Il framework operativo è TIBER-IT, la declinazione italiana di TIBER-EU sviluppata dalla BCE. La presente guida analizza in dettaglio i requisiti dell'Art. 26 DORA, i criteri con cui Banca d'Italia designa gli istituti soggetti al TLPT, i requisiti per i fornitori e come un istituto si prepara a questo test impegnativo.
DORA Art. 26 e il quadro normativo del TLPT in Italia
L'Art. 26 del regolamento DORA introduce un regime di test avanzato — il TLPT — distinto e più impegnativo rispetto ai test di penetrazione generali richiesti dall'Art. 24. L'Art. 26 §1 stabilisce che le autorità competenti identificano gli enti finanziari tenuti a eseguire il TLPT, tenendo conto del profilo di rischio dell'ente, della sua rilevanza per la stabilità finanziaria sistemica e del grado di interconnessione con altri soggetti. In Italia, Banca d'Italia applica questi criteri e notifica individualmente gli istituti designati. L'Art. 26 §2 definisce che il TLPT deve coprire i sistemi TIC che supportano le funzioni critiche e importanti dell'ente, con un perimetro determinato congiuntamente dall'ente e dall'autorità competente. Le norme tecniche di regolamentazione DORA (Regolamento delegato (UE) 2024/1773) specificano ulteriormente i requisiti per i tester, il processo di condivisione delle informazioni e il riconoscimento transfrontaliero. Un elemento chiave del TLPT è il «White Team»: solo un gruppo ristretto di persone nell'istituto conosce il test; il resto dell'organizzazione — inclusi i team IT e di sicurezza — opera normalmente, rendendo il test un vero banco di prova per le capacità di rilevamento e risposta.
- DORA Art. 26 §1: il TLPT è obbligatorio per gli istituti designati dall'autorità competente (Banca d'Italia in Italia) in base al profilo di rischio, alla rilevanza sistemica e all'interconnessione — la designazione avviene per notifica individuale.
- DORA Art. 26 §3: frequenza minima del TLPT — almeno una volta ogni tre anni; l'autorità competente può richiedere una frequenza maggiore per istituti con profili di rischio elevati o dopo incidenti significativi.
- DORA Art. 26 §4 e §5: requisiti per i tester — i TLPT devono essere condotti da tester esterni certificati che soddisfano i requisiti stabiliti nelle RTS DORA; i tester devono essere indipendenti dall'ente testato e non devono aver fornito servizi correlati nei 12 mesi precedenti.
- DORA Art. 26 §6: il processo TLPT inizia con la preparazione del «Scope Document» e del «Target Threat Intelligence» (TTI), prosegue con la fase di test Red Team e si conclude con il Purple Team Workshop e la relazione finale.
- RTS DORA (UE) 2024/1773 — requisiti per i tester TLPT: almeno 3 anni di esperienza nel Red Team avanzato; referenze di almeno 3 TLPT o test comparabili nei 5 anni precedenti; copertura assicurativa professionale; assenza di conflitti di interesse.
- TIBER-IT come framework operativo TLPT in Italia: Banca d'Italia ha adottato TIBER-IT come modalità ufficiale per l'implementazione del TLPT richiesto da DORA Art. 26 — gli istituti designati devono seguire il processo TIBER-IT per il loro TLPT.
- Responsabilità personale dei dirigenti (DORA Art. 5): il consiglio di amministrazione è responsabile dell'approvazione del TLPT e della supervisione dei risultati — la mancata esecuzione del TLPT quando designati costituisce inadempienza normativa con possibili sanzioni personali.
Perimetro e aree di test in un TLPT DORA Art. 26
- «Crown jewels» e funzioni critiche (DORA Art. 26 §2): i sistemi TIC che supportano le funzioni essenziali dell'istituto — core banking, sistemi di pagamento, piattaforme di investimento, infrastruttura di autenticazione — identificati congiuntamente con Banca d'Italia.
- Threat Intelligence mirata (DORA Art. 26 §6): il Targeted Threat Intelligence (TTI) report prodotto dal TIP accreditato identifica i threat actor più rilevanti per questo specifico istituto — TTP (Tecniche, Tattiche e Procedure) reali derivate da fonti OSINT, HUMINT e CTI commerciali.
- Test di penetrazione basato sulle TTP reali: il Red Team utilizza le TTP identificate nel TTI per simulare attacchi realistici — vettori di phishing mirati, exploitation di vulnerabilità note per il settore, lateral movement verso i crown jewels.
- Test dell'infrastruttura fisica e della supply chain: accesso fisico ai datacenter, clonazione badge, attacchi alla supply chain di fornitori critici identificati dal TTI come potenziali vettori.
- Resilienza dei sistemi di pagamento: attacco alle infrastrutture TARGET2, SWIFT, SIA — verifica della capacità di rilevamento di transazioni fraudolente e di risposta a scenari di compromissione dei sistemi di pagamento.
- Capacità di rilevamento del Blue Team: il TLPT non verifica solo se i sistemi sono vulnerabili, ma anche se l'organizzazione è in grado di rilevare l'attacco — SIEM, EDR, NDR, capacità SOC messe alla prova in condizioni operative normali.
- Purple Team Workshop: sessione conclusiva in cui Red Team e Blue Team analizzano insieme la catena di attacco — quali TTP sono state rilevate, quali non lo sono state, raccomandazioni concrete per migliorare il rilevamento.
- Remediation e piano di miglioramento: il report finale TLPT include un piano di remediation prioritizzato; Banca d'Italia può richiedere aggiornamenti sull'avanzamento della remediation nelle verifiche di follow-up.
Esempio di finding
Compromissione del sistema di pagamento SWIFT tramite workstation operatore (MITRE ATT&CK T1566.001)
Il Threat Intelligence Provider ha identificato, nel TTI report, che un gruppo APT noto per attacchi al settore bancario europeo (tattiche simili al gruppo Lazarus/APT38) utilizza spear phishing mirato verso gli operatori dei sistemi di pagamento come vettore primario. Il Red Team ha replicato questa TTP: email di spear phishing personalizzata per un operatore SWIFT, con allegato PDF contenente un exploit per CVE-2023-36884 (Microsoft Office HTML RCE, CVSS 8.8). L'operatore ha aperto l'allegato; il Red Team ha ottenuto una shell sulla workstation dell'operatore e ha rilevato che la workstation aveva accesso diretto al client SWIFT Alliance Access. Il Red Team ha dimostrato la capacità di avviare transazioni SWIFT fraudolente. Il Blue Team non ha rilevato l'intrusione per 6 giorni (MTTD: 6 giorni vs. benchmark TIBER-EU: < 4 ore per minacce di questo livello).
Correzione: Isolare le workstation degli operatori SWIFT in una VLAN dedicata senza accesso diretto a Internet; implementare un jump server dedicato per l'accesso al client SWIFT Alliance Access con MFA hardware (FIDO2). Patching immediato di CVE-2023-36884. Implementare un sistema di rilevamento avanzato (EDR con comportamento analytics) sulle workstation SWIFT — regole di correlazione specifiche nel SIEM per attività anomale sulle workstation SWIFT. Formare gli operatori SWIFT con esercitazioni di spear phishing simulate trimestrali. Documentare le misure nel piano di remediation TLPT per Banca d'Italia, con milestone di verifica a 30/60/90 giorni.
Riferimento: CVE-2023-36884 (Microsoft Office HTML RCE, CVSS 8.8) · MITRE ATT&CK T1566.001 Spear Phishing Attachment · MITRE ATT&CK T1204.002 User Execution · DORA Art. 26 §4 · SWIFT CSCF v2024 Control 1.1 · CWE-494 Download of Code Without Integrity Check
TLPT vs pentest standard: confronto dettagliato
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Preparazione al TLPT con Matproof
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul TLPT DORA Art. 26 in Italia
Come si viene designati per il TLPT DORA Art. 26 in Italia?
Banca d'Italia designa gli istituti soggetti al TLPT applicando i criteri dell'Art. 26 §1 DORA: rilevanza sistemica, profilo di rischio TIC, grado di interconnessione con altri soggetti finanziari. La designazione avviene tramite comunicazione ufficiale individuale. In generale, sono candidati alla designazione le banche significative sotto supervisione BCE, gli istituti di pagamento sistemici e altri soggetti identificati da Banca d'Italia come rilevanti per la stabilità finanziaria. Non tutti gli enti soggetti a DORA Art. 24 sono necessariamente designati per il TLPT Art. 26.
Qual è la frequenza minima del TLPT DORA?
DORA Art. 26 §3 impone almeno una volta ogni tre anni per gli istituti designati. Banca d'Italia può richiedere una frequenza maggiore in caso di: incidenti significativi verificatisi dall'ultimo TLPT; modifiche rilevanti all'infrastruttura TIC o al modello di business; identificazione di nuove minacce sistemiche rilevanti. Il conteggio dei tre anni decorre dal completamento del Purple Team Workshop del TLPT precedente.
Un TLPT condotto in Italia è riconosciuto in altri Paesi UE?
Sì — DORA Art. 26 §8 prevede il reciproco riconoscimento transfrontaliero: un TLPT condotto in Italia secondo il framework TIBER-IT può essere riconosciuto da altri supervisori UE (BaFin, ACPR, AFM, ecc.) per gli istituti operanti in più Paesi. Questo riconoscimento richiede un accordo tra le autorità competenti coinvolte. Per i gruppi bancari transfrontalieri, questo meccanismo può evitare la duplicazione di test estremamente costosi.
Qual è il costo tipico di un TLPT in Italia?
Un TLPT completo secondo il framework TIBER-IT costa tipicamente tra 200.000 € e 600.000 €, a seconda della complessità dell'istituto, del perimetro definito, del numero di sistemi testati e della durata del test. I componenti di costo principali sono: Threat Intelligence Provider (50.000–150.000 €), Red Team Provider (100.000–300.000 €), coordinamento interno e White Team (costi interni). La preparazione al TLPT tramite Matproof Sentinel (baseline vulnerabilità, gap analysis) può ridurre i costi del Red Team evitando che il team scopra vulnerabilità «facili» che avrebbero potuto essere corrette prima.
Cosa succede dopo un TLPT: Banca d'Italia richiede remediation?
Sì — il report finale TLPT viene condiviso con Banca d'Italia, che valuta i risultati e può richiedere un piano di remediation per le vulnerabilità critiche identificate, con scadenze specifiche e obblighi di rendicontazione sull'avanzamento. Banca d'Italia può anche richiedere un follow-up test per verificare la remediation delle vulnerabilità più critiche. La mancata remediation può portare a misure supervisive, incluse limitazioni operative.
Il TLPT è un obbligo anche per le filiali italiane di banche straniere?
Dipende dalla struttura del gruppo. Le filiali italiane di banche europee supervisionate dalla BCE potrebbero rientrare in un TLPT coordinated group a livello europeo. Le filiali italiane di banche extra-UE (succursali) sono soggette alla supervisione di Banca d'Italia e potrebbero essere designate autonomamente. I dettagli dipendono dalla struttura di supervisione specifica del gruppo. Banca d'Italia valuta caso per caso.
Come Matproof aiuta a prepararsi a un TLPT?
Matproof Sentinel è lo strumento ideale di pre-TLPT: esegue una baseline completa delle vulnerabilità nei sistemi che rientrano nel perimetro TLPT atteso; identifica le vulnerabilità che un Red Team TIBER sfrutterebbe certamente (es. sistemi senza patch critiche, configurazioni errate note); consente di remediarle prima del test — riducendo il numero di finding critici e aumentando il valore dell'investimento TLPT; produce documentazione strutturata del programma di vulnerability management che dimostra a Banca d'Italia la maturità del programma di sicurezza.
Il TLPT è obbligatorio anche per gli istituti di piccole dimensioni?
No — il TLPT è riservato agli istituti di rilevanza sistemica designati da Banca d'Italia. Le piccole banche, i piccoli istituti di pagamento e le imprese di assicurazione di dimensioni ridotte non sono tipicamente designati per il TLPT. Sono però soggetti agli obblighi di pentest regolare dell'Art. 24 DORA. Per questi soggetti, Matproof Sentinel è la soluzione adatta: pentest assistito dall'IA con report strutturato secondo i requisiti DORA Art. 24 §7, a una frazione del costo di un engagement manuale.
Approfondisci — articoli correlati dal blog
Si prepari al TLPT DORA con Matproof
Una baseline solida delle vulnerabilità è il primo passo per un TLPT di successo. Matproof Sentinel identifica le vulnerabilità critiche prima che lo faccia il Red Team TIBER — consentendoLe di presentarsi al TLPT con un profilo di sicurezza robusto e un piano di remediation documentato per Banca d'Italia.
Prepara il tuo TLPT