Nel percorso verso lo status AEOS (Sicurezza), identificare e risolvere le debolezze informatiche rappresenta un requisito documentale e operativo fondamentale per il mantenimento della sicurezza della supply chain e la protezione dei sistemi che gestiscono i dati doganali.
Il requisito normativo nel QAV: La sezione 3.7.1
Il Questionario di Autovalutazione (QAV), obbligatorio per la domanda AEO, dedica la Sotto-sezione 3.7 alla protezione dei sistemi. La domanda 3.7.1 richiede di descrivere le misure adottate per difendere il sistema da intrusioni (come firewall e antivirus) e se viene effettuata una gestione periodica delle vulnerabilità. Le note esplicative precisano che è necessario indicare sia chi esegue tale gestione sia la frequenza dei test contro accessi non autorizzati.
Perché la dogana richiede il Vulnerability Assessment
L’articolo 25, paragrafo 1, lettera j) del Regolamento di Esecuzione del CDU prevede che l’AEO debba proteggere il proprio sistema informatico da manipolazioni non autorizzate e tutelare la documentazione. Un sistema vulnerabile espone la catena logistica a rischi quali:
- Introduzione di dati falsi nelle dichiarazioni doganali.
- Perdita di integrità delle informazioni relative a spedizione e carico.
- Accessi non autorizzati che possono agevolare il traffico di merci illecite o pericolose.
Dalla rilevazione alla correzione: L’importanza delle evidenze
Superare l’audit non significa affermare l’assenza di vulnerabilità, ma dimostrare un processo attivo di monitoraggio e di remediation. Quando emergono falle durante i test, l’operatore deve documentare le misure correttive adottate. Le autorità doganali verificheranno in loco la traccia di audit e la prontezza nel rispondere a incidenti che abbiano compromesso i sistemi.
FAQ – Vulnerability Assessment e AEO
- È obbligatorio indicare chi gestisce le vulnerabilità?
Sì. Il QAV (punto 3.7.1) impone di specificare se la gestione della vulnerabilità avviene periodicamente e di identificare il responsabile della funzione. - In che modo i vulnerability test rispondono ai criteri della Sezione 3.7 del QAV?
Questi test sono la prova tecnica che l’azienda ha adottato misure contro intrusioni non autorizzate, come richiesto dall’art. 25 del RE, e monitora l’efficacia delle barriere difensive. - Qual è la differenza tra Vulnerability Assessment e Penetration Test?
Il Vulnerability Assessment è una scansione sistematica delle falle note; il Penetration Test simula un attacco reale per verificare la possibilità di sfruttarle e compromettere il sistema. - È necessario dimostrare la chiusura delle vulnerabilità?
Sì. Le note esplicative prevedono che, se i test di intrusione rilevano criticità, occorre fornire evidenze sulle misure correttive adottate. - Un certificato ISO 27001 sostituisce la gestione tecnica delle vulnerabilità?
No. La certificazione ISO 27001 attesta l’alto livello di sicurezza IT, ma l’autorità doganale può sempre verificare l’applicazione concreta dei controlli specifici sull’infrastruttura durante l’audit.
La gestione sistematica delle vulnerabilità documentata risponde a obblighi normativi e operativi fondamentali per ottenere e mantenere lo status di AEOS e garantire la sicurezza della catena logistica.