(AGENPARL) – Fri 04 July 2025 Framework segnaletico di Vigilanza
degli incidenti operativi o di sicurezza
Analisi orizzontale 2024
Giugno 2025
Framework segnaletico di Vigilanza
degli incidenti operativi o di sicurezza
Analisi orizzontale 2024
Giugno 2025
Questo documento è stato redatto da Luca Cusmano, Valentina Cappa, Fulvio Di Stefano e
Giulia Arangio.
I dati utilizzati nelle analisi sono stati raccolti a fini di supervisione e sono stati trattati ed elaborati
in forma aggregata nel rispetto della normativa sulla privacy.
Gli autori ringraziano i colleghi del team di gestione incidenti della Divisione Supporto Statistico
e Informatico, la Direzione del Servizio Rapporti Istituzionali di Vigilanza e la Direzione del
Dipartimento di Vigilanza Bancaria e Finanziaria.
© Banca d’Italia, 2025
Indirizzo
Via Nazionale 91
00184 Roma – Italia
Sito internet
http://www.bancaditalia.it
Tutti i diritti riservati. È consentita la riproduzione a fini didattici
e non commerciali, a condizione che venga citata la fonte
Grafica a cura della Divisione Editoria e stampa della Banca d’Italia
INDICE
Introduzione
Evidenze
2.1 Le cause degli incidenti
Gli incidenti operativi
Gli incidenti cyber
Coinvolgimento dei fornitori di servizi
2.2 Gli impatti degli incidenti e le tempistiche di risoluzione
Conclusioni
1. Introduzione
Il presente report sintetizza le principali evidenze provenienti dalle segnalazioni dei
“gravi incidenti operativi o di sicurezza”1 notificati nell’anno 2024 dagli intermediari
alla Banca d’Italia in base alle previsioni della Circolare n.285, alle Disposizioni di
vigilanza per gli istituti di pagamento (IP) e gli istituti di moneta elettronica (IMEL)
e alle istruzioni operative rese disponibili sul sito internet dell’Istituto2. Le segnalazioni
vengono raccolte nell’ambito di un framework di gestione degli incidenti a cura del
Dipartimento di Vigilanza Bancaria e Finanziaria3.
Nel 2024 sono state trasmesse alla Banca d’Italia 188 segnalazioni di gravi
incidenti operativi o di sicurezza, in significativo aumento rispetto a quelle ricevute
nel 2023 (circa il 45% in più). I principali trend riguardano l’aumento generale
delle segnalazioni nel periodo considerato, con una prevalenza di incidenti operativi
(79% del totale), il forte coinvolgimento dei fornitori di servizi esterni nelle
segnalazioni (65% del totale) e una leggera crescita del numero di incidenti cyber
(+8%)4. Per questi ultimi, sono in diminuzione gli attacchi di tipo Distributed
Denial of Service (DDoS), che nel 2023 rappresentavano la tipologia prevalente. Gli
impatti economici degli incidenti continuano ad essere limitati seppur in aumento
rispetto agli anni precedenti; in pochi casi, tuttavia, gli impatti superano i € 2 mln.
È in aumento anche l’impatto sulla disponibilità dei servizi, in termini di tempo
necessario per il ripristino degli stessi.
Nel seguito del documento, il Capitolo 2 fornisce i principali trend osservati nel
2024, con un approfondimento su cause (paragrafo 2.1), impatti e tempistiche di
risoluzione (paragrafo 2.2), mentre il Capitolo 3 riporta le principali conclusioni.
La normativa definisce incidente operativo o di sicurezza “ogni evento, o serie di eventi collegati, non pianificati dalla banca che ha,
o probabilmente avrà, un impatto negativo sull’integrità, la disponibilità, la riservatezza, e/o l’autenticità dei servizi”.
Il framework si applica a banche (incluse succursali di banche extracomunitarie), IP e IMEL.
Il 2024 rappresenta l’ultimo anno in cui è stato in vigore il quadro di segnalazione dei gravi incidenti operativi o di sicurezza sopra
citato; a decorrere dal 17/01/2025, infatti, esso è stato aggiornato per essere allineato al regolamento UE 2022/2554 (Digital Operational
Resilience Act – DORA), come richiamato dalla comunicazione della Banca d’Italia del 27 dicembre 2024 (per maggiori dettagli, cfr. sul
sito della Banca d’Italia: Comunicazione di gravi incidenti ICT e delle minacce informatiche significative https://www.bancaditalia.it/
compiti/vigilanza/dora-incidenti/index.html). Il framework DORA si muove comunque in continuità con quello precedente, estendendo
l’obbligo segnaletico a nuove entità finanziarie (ad esempio imprese di investimento, gestori, emittenti di token collegati ad attività,
prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding) e introducendo un nuovo tipo di segnalazione, su base
volontaria, delle minacce informatiche significative.
Si confermano quindi i principali trend delineati, per il periodo 2020-23, nel documento di analisi pubblicato dalla Banca d’Italia
“Digital resilience in the Italian financial sector: evidences from the supervisory incident reporting framework” (https://www.bancaditalia.it/
media/notizia/digital-resilience-in-the-italian-financial-sector-documento-di-analisi-della-banca-d-italia/).
BANCA D’ITALIA
Incidenti operativi o di sicurezza – Report 2024
2. Evidenze
Il numero di segnalazioni di gravi incidenti operativi o di sicurezza ricevute nel
2024 è in significativa crescita rispetto agli anni precedenti (188 contro le 130 del
2023 e le 99 del 2022 – cfr. Figura 1)5. Il numero di singoli eventi segnalati6 (103)
è in lieve diminuzione rispetto al 2023 (113), indice del fatto che i singoli eventi hanno
coinvolto, in media, più intermediari.
Figura 1
SEGNALAZIONI INCIDENTI PER GIURISDIZIONE INTERESSATA
Italia
Estero
(1) Il totale delle segnalazioni comprende quelle delle controllate estere dei gruppi italiani.
Le 188 notifiche ricevute sono riferibili a 73 intermediari distinti, pari al 47%
del totale degli intermediari vigilati nel perimetro del framework. Il numero di soggetti
segnalanti risulta in significativa crescita7; tuttavia, si rileva che 29 intermediari (circa
il 40%) hanno segnalato un solo incidente nel corso dell’anno.
Tra gli incidenti segnalati nel 2024, quelli operativi sono circa il 79% del
totale (cfr. Figura 2), in deciso aumento rispetto al 2023 (148 rispetto a 93, +59%).
Gli incidenti cyber segnalati nel 2024 – circa il 21% del totale delle segnalazioni – sono
in leggero aumento rispetto all’anno precedente (40 rispetto a 37, +8%). Come nel
2023 gli incidenti cyber sono principalmente segnalati dalle banche significant, rispetto
a banche less significant e altri operatori (cfr. Figura 3).
Dopo un incremento del numero di segnalazioni di incidenti con impatti sulle controllate estere di gruppi italiani avvenuto nel 2023,
si rileva un nuovo decremento di tali casistiche nel 2024.
Ovvero contando i singoli eventi che hanno fatto scaturire diverse segnalazioni.
La percentuale di segnalanti era stata 12% nel 2020, 19% nel 2021, 29% nel 2022, 26% nel 2023.
Incidenti operativi o di sicurezza – Report 2024
BANCA D’ITALIA
Figura 2
SEGNALAZIONI INCIDENTI PER CLASSIFICAZIONE (OPERATIVO VS CYBER)
93 2023
Operativo 15
Cyber
Operativo
Cyber
% / Anno
Operativo
Cyber
Figura 3
CLASSIFICAZIONE INCIDENTI (OPERATIVI VS CYBER)
PER CATEGORIA DI INTERMEDIARI
Operativo
Cyber
Operativo
Cyber
IP/IMEL
IP/IMEL
Banche LSI
Banche LSI
IP/IMEL
IP/IMEL
Banche LSI
Banche LSI
Banche SI ed estere
Banche SI ed estere
Banche SI ed estere
Banche SI ed estere
Banche Banche
SI ed estere
BancheBanche
SI ed estere
IP/IMELIP/IMEL
IP/IMEL
IP/IMEL
Banche LSI
Banche LSI
BancheBanche
SI ed estere
SI ed estere
IP/IMELIP/IMEL
BancheBanche
SI ed estere
SI ed estere
Banche Banche
(valori percentuali)
2.1 Le cause degli incidenti
Gli incidenti operativi
Per gli incidenti operativi, in linea con gli anni passati, la causa principale
è rappresentata da malfunzionamenti, legati principalmente a problemi software,
e in parte minoritaria a problemi hardware; seguono poi errori umani ed errori dovuti
BANCA D’ITALIA
Incidenti operativi o di sicurezza – Report 2024
a processi (cfr. Figura 4). Gli incidenti operativi dovuti ai cambiamenti (cd. IT changes)
hanno rappresentato circa il 30% del totale degli incidenti operativi.
Figura 4
SEGNALAZIONI INCIDENTI OPERATIVI PER TIPOLOGIA
Malfunzionamento sistemi
Errore umano
Altro
Malfunzionamento processo
Evento Esterno
Gli incidenti cyber
Le 40 segnalazioni di incidenti cyber pervenute alla Banca d’Italia nel 2024
(contro le 37 del 2023, +8%) sono scaturite da 30 distinti eventi, riferibili a 28
attacchi informatici e 2 data leakage accidentali. Nel 2024 si evidenzia una importante
diminuzione degli attacchi di tipo DDoS rispetto all’anno precedente (dai 16 del 2023
ai 4 del 2024, -75%), mentre aumentano tutte le altre tipologie di attacchi, tra cui
gli attacchi di tipo malware, comprendenti anche i ransomware, gli attacchi condotti
tramite accesso non autorizzato e gli attacchi di social engineering (cfr. Figura 5).
Figura 5
SEGNALAZIONI INCIDENTI CYBER PER TIPOLOGIA – ANNO 2024
Malware
Accessi non
autorizzati
Incidenti operativi o di sicurezza – Report 2024
Social
Engineering
Altro
Data leakage
accidentale
BANCA D’ITALIA
Malware
Accessi non
autorizzati
Social
Engineering
Altro
Data leakage
accidentale
Nel corso dell’anno l’Istituto ha effettuato un’analisi di dettaglio sugli incidenti cyber
segnalati dagli intermediari tra gennaio 2023 e maggio 2024. Dagli approfondimenti
è emerso come la maggior parte degli attacchi cyber sia riconducibile a threat actor
noti e che in alcuni casi gli attacchi informatici abbiano provocato impatti economici
non trascurabili, in particolare a seguito di attacchi malware e di social engineering che
hanno colpito gli intermediari direttamente.
Coinvolgimento dei fornitori di servizi
Nel 65% degli incidenti segnalati è coinvolto un fornitore di servizi, in misura
maggiore per gli incidenti operativi rispetto a quelli cyber; il dato risulta in aumento
rispetto al 2023 (circa 45%). Il fornitore è all’origine dell’incidente nella maggior parte
degli incidenti operativi per le banche less significant e per gli IP e IMEL (cfr. Figura 6).
Figura 6
RESPONSABILITÀ PER CLASSIFICAZIONE
E CATEGORIA DI INTERMEDIARI – ANNO 2024
(valori percentuali)
Banche SI Banche
ed estere
IP/IMEL
Totale Banche SI Banche
ed estere
Cyber
IP/IMEL
Totale
Operativo
Diretta
Fornitore
L’elevato numero di incidenti che coinvolgono un fornitore di servizi conferma
come l’interconnessione tra i vari soggetti nel mercato rappresenti un rischio per gli
intermediari, data la possibilità che problemi sulle terze parti esterne al perimetro di
supervisione si ripercuotano sui soggetti vigilati.
2.2 Gli impatti degli incidenti e le tempistiche di risoluzione
Anche nel 2024 la maggior parte degli incidenti (circa l’80%) ha interessato
i servizi di pagamento (ATM8, web e mobile banking, pagamenti all’ingrosso, ecc.),
con una percentuale in linea con gli anni precedenti (cfr. Figura 7). I servizi di
pagamento continuano ad essere principalmente affetti da incidenti operativi
(cfr. Figura 8).
Automated Teller Machine.
BANCA D’ITALIA
Incidenti operativi o di sicurezza – Report 2024
Figura 7
SEGNALAZIONI CON IMPATTO SUI SERVIZI DI PAGAMENTO
(valori percentuali)
Figura 8
SEGNALAZIONI CON IMPATTO SUI SERVIZI DI PAGAMENTO PER CLASSIFICAZIONE
(valori percentuali)
Cyber
Cyber
Operativo
Operativo
Cyber
Cyber
Operativo
Operativo
Cyber
Cyber
Cyber
Cyber
Operativo
Operativo
Cyber
Cyber
Operativo
Operativo
Operativo
Operativo
L’interruzione della disponibilità e della continuità dei servizi rappresenta la
principale conseguenza degli incidenti e caratterizza tutte le tipologie di intermediari.
Complessivamente circa il 70% degli incidenti totali ha comportato l’interruzione di
un servizio (sia esso di pagamento, core banking o ad essi ancillare). In particolare,
tali incidenti hanno prodotto mediamente circa 21 ore di interruzione dei servizi, un
dato in deciso aumento rispetto alle 9 ore del 2023, principalmente a causa di eventi
operativi relativi a fornitori. Allo stesso tempo, gli incidenti che hanno impatti su servizi
Incidenti operativi o di sicurezza – Report 2024
BANCA D’ITALIA
rilevanti9 e su un significativo numero di clienti10 (il 22% del totale dei 188 incidenti
segnalati) presentano un tempo medio di ripristino mediamente minore (circa 13 ore),
seppur in aumento rispetto al 2023 (circa 5 ore).
Gli impatti economici degli incidenti sono, nella maggior parte dei casi,
non rilevanti. Tuttavia in pochi casi (7 su 188) si rileva un impatto economico11
sull’intermediario superiore a € 2 mln, in particolare a seguito di attacchi di social
engineering diretti verso gli organi apicali degli intermediari, di attacchi malware diretti
ai sistemi degli intermediari, di IT change errati o di errori operativi.
Sono ritenuti rilevanti i servizi time sensitive, ad esempio online banking, ATM, ecc.
i.e. potenzialmente oltre 100.000 clienti.
Nell’ambito del framework di segnalazione incidenti, per impatto economico si intende l’intero ammontare delle perdite sia dirette che indirette
espresso in euro. Tra i costi da annoverare ci sono, a puro titolo esemplificativo, costi di sostituzione hardware e/o software, sanzioni per il
mancato rispetto di obblighi contrattuali, mancati ricavi, ecc. Nelle fasi immediatamente successive alla rilevazione dell’incidente quantificare
esattamente le perdite economiche risulta spesso complicato e pertanto l’intermediario comunica delle stime di massima. Nell’ambito dei
successivi previsti aggiornamenti dell’incidente, tali stime vengono via via perfezionate, ma in alcuni casi l’effettiva reale quantificazione avviene
molto tempo dopo la chiusura dell’incidente o può anche non avvenire (ad esempio in relazione a potenziali spese legali, mancati ricavi dovuti
alla perdita di opportunità commerciali, ecc.).
BANCA D’ITALIA
Incidenti operativi o di sicurezza – Report 2024
3. Conclusioni
Il framework di segnalazione degli incidenti operativi o di sicurezza si conferma
come uno degli strumenti di vigilanza più efficaci per il monitoraggio e l’analisi del
rischio operativo degli intermediari vigilati e dei fornitori. Esso rappresenta un valido
strumento per la valutazione tempestiva dei trend di sistema rispetto a nuove minacce
e vulnerabilità comuni al mercato finanziario italiano.
Le evidenze raccolte nel 2024 mostrano che:
• il numero totale di incidenti segnalati nel 2024 è in deciso aumento rispetto
all’anno precedente (+45%), sebbene il numero di singoli eventi a cui questi
si riferiscono risulta in diminuzione (-9%), indice del fatto che i singoli eventi
hanno coinvolto, in media, più intermediari;
• la gran parte delle segnalazioni riguarda incidenti operativi (79% del totale),
sebbene gli incidenti cyber segnalati nel 2024 siano in leggero aumento rispetto
all’anno precedente (+8%);
• nel 65% degli incidenti segnalati è coinvolto un fornitore di servizi (era circa
il 45% nel 2023), in misura maggiore i) per gli incidenti operativi rispetto a
quelli cyber (per cui rispettivamente il 72% e il 40% ha coinvolto un fornitore)
e ii) per le banche less significant (86%), IP e IMEL (71%) rispetto alle banche
significant (44%);
• in linea con gli anni passati, la causa principale di incidenti operativi è
rappresentata da malfunzionamenti, principalmente legati a problemi software;
inoltre, gli incidenti operativi dovuti ai cambiamenti (cd. IT changes) hanno
rappresentato circa il 30% del totale;
• riguardo gli incidenti cyber si evidenzia una diminuzione degli attacchi di tipo
DDoS rispetto all’anno precedente, mentre aumentano tutte le altre tipologie
di attacchi, tra cui gli attacchi di tipo malware, che comprendono anche i
ransomware, gli attacchi condotti tramite accesso non autorizzato e gli attacchi
di social engineering;
• gli incidenti che hanno impatti sulla disponibilità dei servizi rilevanti e su
un significativo numero di clienti rappresentano il 22% del totale e risultano
collegati prevalentemente a incidenti operativi occorsi presso fornitori di
servizi;
• anche gli impatti economici degli incidenti sono di norma non rilevanti;
tuttavia, 7 segnalazioni hanno riportato un impatto economico superiore a
€ 2 mln.
I principali rischi evidenziati nelle analisi qui riportate vengono confermati anche
dagli studi dell’Agenzia Europea per la Cybersicurezza (ENISA)12 e dalla BCE13,
Cfr. ENISA, Threat Landscape 2024.
Cfr. ECB, Evolving IT and cybersecurity risks, novembre 2024.
Incidenti operativi o di sicurezza – Report 2024
BANCA D’ITALIA
che indicano gli attacchi ransomware come una delle principali minacce a livello