banche online: norme sulla operatività?
Buongiorno, il caso contingente è quello dei clienti di ING Direct che da ieri mattina 15 Novembre [1] non riescono ad accerere online al proprio conto (pare che via app su smartphone funzioni [2]): https://community.ing.it/t5/Conto-corrente/conto-corrente-non-accessibile-da... Nel caso di ING, tengo a sottolineare che la banca non ha provveduto ad avvisare i clienti ma si limita ad attendere che i clienti chiamino al telefono e [3] rispondere che "hanno provveduto a segnalare ai tecnici", senza fornire nessuna spiegazione in merito all'incidente e men che meno stime su quando sarà ripristinata la piena operatività ("potrebbe essere sistemato entro oggi ma non possiamo garantire, potrebbe volerci qualche giorno); l'incidente pare coinvolga anche il sistema per inviare l'OTP al cliente, per cui non è garantita (a quando riferito dall'operatore) nemmeno l'operatività del canale telefonico, che necessita anch'esso di OTP. Per favore qualcuno in lista sa se la PSD2 o qualche altra norma ha delle previsioni in merito a come deve essere gestito un incidente del genere? Grazie, 380° [1] il 16 Novembre è giorno di scadenze fiscali, pure :-( [2] ma ciclicamente pare ci siano ostacoli anche con le app https://community.ing.it/t5/Conto-corrente/Acesso-al-Conto-Corrente-Online-N... e non solo di ING [3] solo dopo aver completato /tutta/ la procedura di autenticazione telefonica, non mettono nemmeno una voce registrata che avvisa dei problemi tenici -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes: [...]
Per favore qualcuno in lista sa se la PSD2 o qualche altra norma ha delle previsioni in merito a come deve essere gestito un incidente del genere?
Ho trovato questo articolo di AgendaDigitale.it https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/banch... «Banche e incidenti di sicurezza informatica: aspetti legali, obblighi e responsabilità» (30 Gennaio 2019) --8<---------------cut here---------------start------------->8--- Gli incidenti di sicurezza informatica nelle banche hanno ricadute ad ampio spettro, tecnici, organizzativi e legali, come è possibile ricavare dal combinato disposto di alcune disposizioni: * Circolare n. 285/2013 di Banca d’Italia * Direttiva UE 2015/2366 (PSD2) * Orientamenti attuativi di EBA (incidenti di sicurezza e outsourcing) * Regolamento UE 679/2016 (GDPR) [...] L’elemento differenziante sono i diversi impatti correlati al rischio individuato o da individuare. L’integrità, la disponibilità, la riservatezza, l’autenticità e/o la continuità delle risorse ICT, dei servizi di pagamento e dei dati personali sono parte del medesimo processo valutativo finalizzato all’individuazione e alla classificazione di un incidente di sicurezza, tenuto conto delle specificità previste dalle normative di riferimento. [...] Banca d’Italia con Circolare n. 285 recante «Disposizioni di Vigilanza per le banche» definisce gli incidenti di sicurezza informatica come ogni evento che implica la violazione o l’imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet, malfunzionamenti e disservizi). [...] In particolare, nel 2018, l’European Banking Autority in attuazione dell’art. 96, Direttiva UE 2015/2366 recante disposizioni relative ai «servizi di pagamento nel mercato interno» definisce gli incidenti operativi o di sicurezza come singoli eventi o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti. [...] L’incidente di sicurezza non si limita ai modelli di minaccia in cui un attacco a un’organizzazione viene effettuato da una fonte esterna, ma include gli incidenti derivanti da fonti interne in violazione ai principi di sicurezza. Inoltre, tali fenomeni includono sia eventi dolosi sia eventi accidentali. La classificazione degli incidenti di sicurezza si fonda per Banca d’Italia sulle conseguenze economiche ed organizzative che derivano dall’evento e in considerazione degli impatti sull’attività bancaria nonché sulla capacità della stessa di conformarsi alle disposizioni di vigilanza, considerata anche la necessità di rispettare i principi sull’esternalizzazione di funzioni operative importanti. [...] obblighi di comunicazione immediata alle rispettive autorità competenti da parte dell’intermediario, quindi alla necessità di mantenere il controllo dei rischi in caso di esternalizzazione. Nello specifico, l’intermediario deve: * Per la Circolare n. 285, con l’invio di un rapporto sintetico a Banca d’Italia recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela; * Per gli orientamenti EBA, con l’invio di un rapporto iniziale, intermedio e finale a Banca d’Italia recante una descrizione dettagliata dell’incidente; [...] [...] la responsabilità della tempestiva segnalazione ricade esclusivamente in capo all’intermediario, --8<---------------cut here---------------end--------------->8--- L'articolo poi si concentra sull'esternalizzazione di (parte dei) servizi informatici degli intermediari (tra cui banche), ma non dice nulla sui diritti dei "consumatori". Boh?!? Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
380° <g380@biscuolo.net> writes: [...]
https://www.agendadigitale.eu/cittadinanza-digitale/pagamenti-digitali/banch...
«Banche e incidenti di sicurezza informatica: aspetti legali, obblighi e responsabilità» (30 Gennaio 2019)
--8<---------------cut here---------------start------------->8---
Gli incidenti di sicurezza informatica nelle banche hanno ricadute ad ampio spettro, tecnici, organizzativi e legali, come è possibile ricavare dal combinato disposto di alcune disposizioni:
* Circolare n. 285/2013 di Banca d’Italia
[...] Mi pare di capire che è tutto scritto nella "bibbia" della Banca d'Italia intitolata «Disposizioni di vigilanza per le banche - Circolare n. 285 del 17 dicembre 2013» https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circo... Un tomo di 797 pagine in PDF, nel quale il termine "continuità operativa" è citato 151 volte Bene. (Bene?) Saluti, 380° -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Gent.mi Nella PSD2 è prevista una disposizione (art. 96) per la quale il prestatore di servizio di pagamento deve *notificare senza indugio all’Autorità competente* (Banca d’italia) poi questa autorità dovrà notificare all’Autorità Bancaria europea (ABE) e Banca centrale europea ( BCE) . Su questa base giuridica art. 96 l’ABE ha pubblicato un documento applicabile dal gennaio 2022 che descrive gli orientamenti su come comportarsi in caso di incidenti di sicurezza. Un caro saluto Mauro Alovisio Il giorno mer 16 nov 2022 alle ore 09:33 380° <g380@biscuolo.net> ha scritto:
Buongiorno,
il caso contingente è quello dei clienti di ING Direct che da ieri mattina 15 Novembre [1] non riescono ad accerere online al proprio conto (pare che via app su smartphone funzioni [2]):
https://community.ing.it/t5/Conto-corrente/conto-corrente-non-accessibile-da...
Nel caso di ING, tengo a sottolineare che la banca non ha provveduto ad avvisare i clienti ma si limita ad attendere che i clienti chiamino al telefono e [3] rispondere che "hanno provveduto a segnalare ai tecnici", senza fornire nessuna spiegazione in merito all'incidente e men che meno stime su quando sarà ripristinata la piena operatività ("potrebbe essere sistemato entro oggi ma non possiamo garantire, potrebbe volerci qualche giorno); l'incidente pare coinvolga anche il sistema per inviare l'OTP al cliente, per cui non è garantita (a quando riferito dall'operatore) nemmeno l'operatività del canale telefonico, che necessita anch'esso di OTP.
Per favore qualcuno in lista sa se la PSD2 o qualche altra norma ha delle previsioni in merito a come deve essere gestito un incidente del genere?
Grazie, 380°
[1] il 16 Novembre è giorno di scadenze fiscali, pure :-(
[2] ma ciclicamente pare ci siano ostacoli anche con le app
https://community.ing.it/t5/Conto-corrente/Acesso-al-Conto-Corrente-Online-N... e non solo di ING
[3] solo dopo aver completato /tutta/ la procedura di autenticazione telefonica, non mettono nemmeno una voce registrata che avvisa dei problemi tenici
-- 380° (Giovanni Biscuolo public alter ego)
«Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché»
Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>. _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
participants (2)
-
380° -
Mauro Alovisio