Penetration Test DORA obbligatorio per enti finanziari

L’entrata in vigore del Digital Operational Resilience Act ha trasformato i test di sicurezza da una best practice consigliata a un obbligo normativo stringente per il settore finanziario. Sebbene parte del dibattito si sia concentrata sui test avanzati Red Teaming, la conformità richiede innanzitutto un solido programma di penetration test DORA nell’ambito delle verifiche ordinarie previste dall’Articolo 25.

Penetration test ordinario vs TLPT

DORA traccia una distinzione netta tra i test di sicurezza convenzionali e i test avanzati.

• Pentest ordinario (Art. 25): Si concentra sulla valutazione dettagliata delle vulnerabilità tecniche e di configurazione, spesso analizzando singoli sistemi o ambienti in isolamento. Questi test rientrano nel programma generale di test che le entità finanziarie devono condurre regolarmente.
• TLPT (Threat-Led Penetration Testing – Art. 26): È un test avanzato guidato dall’intelligence (Red Teaming) che simula scenari reali di attacco contro l’intera entità, coinvolgendo persone, processi e tecnologie. Il TLPT deve essere eseguito obbligatoriamente su sistemi di produzione reali e operativi.

Casi d’uso del penetration testing in DORA

• Convalidare i controlli di sicurezza dopo cambiamenti significativi all’infrastruttura.
• Identificare debolezze prima della messa in produzione di nuovi sistemi o pacchetti software.
• Soddisfare i requisiti di test annuali per le entità finanziarie non soggette a TLPT, garantendo comunque la resilienza dei sistemi ICT.

Scope corretto: Internet-facing, internal, cloud, app, IAM

Il perimetro di un DORA penetration testing deve essere basato sul rischio e includere:

• Sistemi esposti (Internet-facing): Per prevenire intrusioni esterne.
• Applicazioni e software: Testando sia il codice sorgente che le interfacce utente.
• Cloud e infrastrutture terze: Poiché il perimetro DORA include esplicitamente i servizi ICT forniti da terzi.
• Gestione degli accessi (IAM): Verificando la robustezza delle politiche di autenticazione e i rischi di escalation dei privilegi.

Evidenze e remediation

Non è sufficiente eseguire il test; DORA esige un processo documentale rigoroso. Dopo l’attività di testing, l’entità deve produrre un report che includa:

• Una descrizione dei shortcoming (carenze) identificati.
• Un’analisi delle cause profonde (root cause analysis) degli attacchi riusciti.
• Un remediation plan (piano di rimedio) che indichi come verranno risolte le vulnerabilità, assegnando priorità e tempistiche certe.
• L’evidenza dei retest per confermare l’efficacia delle azioni correttive.

Quando ha senso farlo con tester esterni

DORA consente l’uso di risorse interne (sotto strette condizioni di indipendenza e competenza), ma l’uso di tester esterni è raccomandato e talvolta obbligatorio. I tester esterni garantiscono:

• Indipendenza totale e assenza di conflitti di interesse.
• Competenze specialistiche e certificazioni riconosciute dal mercato.
• Conformità per le entità sistemiche: le istituzioni creditizie significative sono obbligate a usare tester esterni per i test avanzati e devono comunque alternare tester interni ed esterni ogni tre test.

Errori tipici nei pentest “compliance only”

• Testare solo in ambienti di staging: per i TLPT, DORA impone test su sistemi “live”, poiché gli ambienti di test non replicano fedelmente i rischi operativi.
• Escludere le terze parti: i contratti con i fornitori ICT devono prevedere l’obbligo di cooperare ai test di sicurezza dell’entità finanziaria.
• Considerare il test un “pass/fail”: il fine ultimo deve essere l’aumento della maturità cyber, non solo l’ottenimento di un “bollino”.

FAQ

• Pentest e TLPT sono equivalenti? No. Il pentest è una verifica tecnica di vulnerabilità, mentre il TLPT è una simulazione d’attacco avanzata e completa basata su threat intelligence.
• Il pentest è sempre obbligatorio? Sì, per tutte le entità in ambito DORA è obbligatorio un programma di test periodico che includa verifiche di tipo penetration test.
• Si può fare internamente? Sì, ma con forti limitazioni. È necessaria l’approvazione dell’autorità, l’uso di threat intelligence esterna e, per le banche significative, il ricorso obbligatorio a tester esterni.

Non farti trovare impreparato: sviluppa oggi il tuo piano annuale di penetration testing basato sul rischio per allineare i tuoi sistemi critici ai requisiti tecnici del DORA.