380° <[email protected]> writes: [...]
> Per favore qualcuno in lista sa se la PSD2 o qualche altra norma ha > delle previsioni in merito a come deve essere gestito un incidente del > genere? Ho trovato questo articolo di AgendaDigitale.it https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/banche-e-incidenti-di-sicurezza-informatica-aspetti-legali-obblighi-e-responsabilita/ «Banche e incidenti di sicurezza informatica: aspetti legali, obblighi e responsabilità» (30 Gennaio 2019) --8<---------------cut here---------------start------------->8--- Gli incidenti di sicurezza informatica nelle banche hanno ricadute ad ampio spettro, tecnici, organizzativi e legali, come è possibile ricavare dal combinato disposto di alcune disposizioni: * Circolare n. 285/2013 di Banca d’Italia * Direttiva UE 2015/2366 (PSD2) * Orientamenti attuativi di EBA (incidenti di sicurezza e outsourcing) * Regolamento UE 679/2016 (GDPR) [...] L’elemento differenziante sono i diversi impatti correlati al rischio individuato o da individuare. L’integrità, la disponibilità, la riservatezza, l’autenticità e/o la continuità delle risorse ICT, dei servizi di pagamento e dei dati personali sono parte del medesimo processo valutativo finalizzato all’individuazione e alla classificazione di un incidente di sicurezza, tenuto conto delle specificità previste dalle normative di riferimento. [...] Banca d’Italia con Circolare n. 285 recante «Disposizioni di Vigilanza per le banche» definisce gli incidenti di sicurezza informatica come ogni evento che implica la violazione o l’imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet, malfunzionamenti e disservizi). [...] In particolare, nel 2018, l’European Banking Autority in attuazione dell’art. 96, Direttiva UE 2015/2366 recante disposizioni relative ai «servizi di pagamento nel mercato interno» definisce gli incidenti operativi o di sicurezza come singoli eventi o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti. [...] L’incidente di sicurezza non si limita ai modelli di minaccia in cui un attacco a un’organizzazione viene effettuato da una fonte esterna, ma include gli incidenti derivanti da fonti interne in violazione ai principi di sicurezza. Inoltre, tali fenomeni includono sia eventi dolosi sia eventi accidentali. La classificazione degli incidenti di sicurezza si fonda per Banca d’Italia sulle conseguenze economiche ed organizzative che derivano dall’evento e in considerazione degli impatti sull’attività bancaria nonché sulla capacità della stessa di conformarsi alle disposizioni di vigilanza, considerata anche la necessità di rispettare i principi sull’esternalizzazione di funzioni operative importanti. [...] obblighi di comunicazione immediata alle rispettive autorità competenti da parte dell’intermediario, quindi alla necessità di mantenere il controllo dei rischi in caso di esternalizzazione. Nello specifico, l’intermediario deve: * Per la Circolare n. 285, con l’invio di un rapporto sintetico a Banca d’Italia recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela; * Per gli orientamenti EBA, con l’invio di un rapporto iniziale, intermedio e finale a Banca d’Italia recante una descrizione dettagliata dell’incidente; [...] [...] la responsabilità della tempestiva segnalazione ricade esclusivamente in capo all’intermediario, --8<---------------cut here---------------end--------------->8--- L'articolo poi si concentra sull'esternalizzazione di (parte dei) servizi informatici degli intermediari (tra cui banche), ma non dice nulla sui diritti dei "consumatori". Boh?!? Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list [email protected] https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
