Banche e sicurezza

La sicurezza assume un’importanza strategica nell’attività finanziaria. Si profilano all’orizzonte importanti e crescenti rischi che vanno sotto il nome di APT, cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi. Il successivo livello di escalation può essere una seria minaccia per il sistema bancario e finanziario. Occorre passare dalla “infosecurity” alla “cybersecurity”

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

 

La sicurezza nei servizi finanziari è sempre più strategica e incide direttamente sul core business della banca. Le criticità della singola filiale, la tutela del dipendente e del cliente, le esigenze dei partner, l’autenticazione robusta, la prevenzione rispetto alle crescenti minacce, la certezza dei sistemi di incasso e pagamento, la difesa del patrimonio informativo sono solo alcuni dei principali aspetti cui dare risposte certe. L’evoluzione tecnologica rende il contesto operativo estremamente complesso. In particolare, l’accesso in mobilità e i social network, i nuovi servizi, l’esecuzione di contratti da remoto, la dematerializzazione dei processi, la filiale paperless, la connessione di dispositivi intelligenti alla rete IP (Internet delle cose), le minacce sempre più evolute e – infine – il cloud computing rappresentano gli aspetti più sfidanti di questa evoluzione. In tale quadro, la banca si trova a dover conciliare le esigenze di protezione, riservatezza e sicurezza con quelle di apertura al cliente e velocità dei flussi informativi e dispositivi.

Per affrontare e dibattere il tema, i principali attori della sicurezza in banca e nella finanza si sono incontrati a Roma, poco prima dell’estate, per l’annuale summit Banche e Sicurezza 2012. L’evento, organizzato e ospitato dall’ABI – Associazione Bancaria Italiana – (www.abi.it), in collaborazione con l’OSSIF – Osservatorio in materia di sicurezza – (www.ossif.it) e ABI Lab (www.abilab.it), rappresenta l’occasione più importante e qualificata per fare il punto sullo stato dell’arte, sulle prospettive future e sulle più innovative metodologie e tecnologie per la sicurezza nella finanza.

L’incontro annuale è unico nel suo genere, sia per la visione privilegiata sul settore, sia per il coinvolgimento istituzionale. L’obiettivo, anche quest’anno, è stato quello di rispondere alle questioni inerenti alla tutela del patrimonio aziendale, con particolare attenzione agli eventi di natura accidentale e non, potenzialmente in grado di colpire le risorse umane, finanziarie, informatiche e strumentali della banca. Data Manager era presente e – anche alla luce dei successivi rapporti e ricerche emessi dagli organi istituzionali – è ora in grado di sintetizzare compiutamente per il lettore le questioni principali.

Le banche sono il principale spender nel mercato italiano della sicurezza e – da sole – rappresentano circa il 30%, con una spesa complessiva annua di oltre 1,4 miliardi di euro. La voce principale di spesa è rappresentata dalla sicurezza fisica, in particolare dai servizi di vigilanza e gestione contante. Le banche investono, infatti, ogni anno oltre 750 milioni di euro per rendere le proprie filiali più sorvegliate e sicure.

SICUREZZA FISICA

Secondo i dati raccolti dall’OSSIF (in collaborazione con il ministero dell’Interno, Poste Italiane, ConfCommercio, Federdistribuzione, FederFarma, Federazione italiana tabaccai e Assovalori) e presentati da Marco Iaconis, dirigente ABI e coordinatore OSSIF, le rapine in banca sono diminuite in un anno di quasi il 23%. Dal 2008 a oggi, i colpi in banca si sono dimezzati ed è diminuito di oltre il 15%

il numero dei furti alle apparecchiature ATM. In calo del 20,1%, il cosiddetto indice di rischio – cioè il numero di rapine ogni cento sportelli in Italia – che è passato da 4,1 a 3,3 – il valore più basso registrato negli ultimi venti anni. Diminuisce anche il bottino medio per rapina, sotto i 23mila euro: si tratta dell’ammontare più basso mai registrato.

Il vicepresidente dell’ABI, Giovanni Pirovano ha osservato che tali risultati sono dovuti alla sempre più stretta collaborazione tra banche, istituzioni e forze dell’ordine. In occasione del summit, tra ABI e prefetture, è stato firmato un protocollo d’intesa con importanti novità, che contribuiranno a rendere ancora più sicuri gli sportelli. Pirovano ha sottolineato che in Italia circolano ancora troppe banconote e contante nei pagamenti e questa è una fonte considerevole di rischio. Gli strumenti di pagamento diversi dal contante, più sicuri, sono impiegati solo in 65 operazioni procapite l’anno, contro le 255 della Francia e le 176 della media nei Paesi dell’Eurozona.

RISCHIO INFORMATICO

«Il canale Internet banking è utilizzato da un numero di utenti in continua crescita, di pari passo con l’incremento della tipologia e della varietà di servizi offerti dalle banche» – ha sottolineato Romano Stasi, segretario generale ABI Lab. ABI Lab stima un numero di account retail abilitati, superiore ai 20 milioni, di cui 13,4 attivi. A fronte di un maggiore ricorso al canale Internet e mobile e all’escalation delle minacce, aumentano inevitabilmente i potenziali rischi connessi all’utilizzo, derivanti dagli attacchi informatici. Per quanto riguarda la clientela retail, a seguito di attacco e sottrazione di credenziali, l’effettiva perdita di denaro si registra, attualmente, in percentuali molto basse: un caso ogni 500mila accessi all’home banking. In questo caso, l’efficacia delle azioni di contrasto e blocco stimata è pari al 95,3% dei tentativi di frode.

Si è registrata, però, una crescente attenzione da parte dei criminali verso la clientela corporate, in termini di numerosità di tentativi fraudolenti, probabilmente per la possibilità di sottrarre somme di denaro più ingenti. Tuttavia, al momento, a fronte di un incremento nella perdita di credenziali registrata in questo caso, l’efficacia dell’azione di contrasto è pari al 97% dei tentativi di frode, con un incremento del 13% rispetto l’anno precedente. La perdita di denaro, a seguito di attacco fraudolento, si è verificata, infatti, in un caso su un milione di accessi.

Stasi ha presentato anche l’annuale rapporto “Sicurezza e frodi informatiche in banca”, cui hanno collaborato oltre 40 banche tra le principali e una decina di partner tecnologici specializzati. Quest’anno, il rapporto pone in risalto il fenomeno crescente del furto di identità e le modalità di compimento degli attacchi. Queste ultime, in particolare, sono diventate sempre più complesse, con la tendenza dei cyber criminali a concentrarsi maggiormente su target mirati. Dall’analisi, emerge che i principali strumenti tecnologici, ad oggi adottati dalle banche, sono volti al monitoraggio delle transazioni anomale (65% del segmento retail e 77% del segmento corporate), mentre è in aumento rispetto al passato l’uso di soluzioni per il monitoraggio del Web e per l’analisi automatica dei log di accesso all’Internet banking. La garanzia di elevati livelli di sicurezza è assicurata anche dall’adozione e dal continuo miglioramento di strumenti di strong authentication. Nel mobile banking, per il momento, non è stato registrato alcun fenomeno di perdita di credenziali, ma ciò, probabilmente, è dovuto all’uso ancora relativamente contenuto.

Leggi anche:  Criptovalute, Bitcoin supera la soglia dei 100mila dollari

RAPPORTO CLUSIT 2012

Secondo l’annuale rapporto Clusit (www.clusit.it) sulla “sicurezza ICT in Italia”, presentato a Roma lo scorso giugno, durante il Security Summit 2012, i furti d’identità digitale denunciati in Italia sono stati 4mila e 707 e le carte clonate 19mila e 356, a fronte di altrettante denunce presentate alla polizia postale. A livello globale, la somma più alta rubata dal cybercrime con una singola azione, da un singolo conto bancario ammonta a 14,8 milioni di dollari. L’intrusione dei cyber criminali nella rete di una primaria banca americana ha consentito il furto di 360mila profili utente contenenti informazioni personali e finanziarie, costringendo l’istituto a riemettere centinaia di migliaia di carte di credito e a sostenere notevoli spese di bonifica. In un altro incidente, una banca sudafricana ha subito perdite per oltre 40 milioni di euro a seguito di una rapina virtuale realizzata accedendo abusivamente ai sistemi informatici.

Secondo il Clusit, il nostro Paese ha ancora parecchia strada da percorrere, come ha dimostrato, nel recente passato, il modo in cui è stata gestita la violazione dei dispositivi di autenticazione RSA Security per i servizi online. Nonostante la situazione oltreoceano fosse all’attenzione del Senato, nulla di simile è accaduto in Italia. Anche a fronte di una ridotta probabilità di vedere un correntista italiano compromesso – secondo il Clusit – ci si sarebbe attesi maggiore trasparenza e migliore attenzione verso la sensibilizzazione dei clienti.

L’appetibilità della moneta elettronica e dello sfruttamento fraudolento dell’home banking rispetto alla carta moneta è ormai un assunto riscontrabile. Le dimensioni del fenomeno, e soprattutto il carattere internazionale assunto dalla criminalità nel settore, fanno propendere per una vera e propria dimensione sistemica degli attacchi che può arrivare a rallentare – se non a minare – lo sviluppo economico di un intero Paese. Di conseguenza, nel prossimo futuro, le banche potrebbero essere il bersaglio principale di attività di spionaggio, di violazione dei sistemi informativi e di azioni di “hacktivism”.

LA CYBERSEC

Si profilano, infatti, all’orizzonte importanti e crescenti rischi per la banca, che vanno sotto il nome di APT (Advanced Persistent Threat), cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi. I malfattori non sono più rappresentati dal singolo hacker dilettante, ma da vere e proprie organizzazioni criminali, che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica. Nelle varie fasi dell’APT, che possono anche durare anni, sono utilizzate tecniche e tools di hacking tradizionali, ma anche realizzati tools dedicati, in sostanza, si tratta di vere e proprie azioni di spionaggio via Internet e tradizionali. Dell’argomento, ha parlato diffusamente, proprio in relazione alla finanza e alle banche, Paolo Campobasso, già group chief security officer di Unicredit e ora senior vice president and group chief security officer di Finmeccanica (www.finmeccanica.it). Campobasso ha simulato un APT proprio a una grande banca, fermandosi un attimo prima dell’ultimo click e fornendo, così, un esempio realistico di attacco complesso.

Il rischio APT nella finanza è confermato anche dall’autorevole Global Risks Report 2012 del World Economic Forum (www.weforum.org) che, analizzando le 50 principali minacce globali dei prossimi 10 anni e classificandole per impatto e probabilità, pone – al primo posto della sezione rischi tecnologici – il cybercrime. Il successivo livello di escalation può, quindi, essere una seria minaccia per il sistema bancario e finanziario di un Paese come l’Italia. Non bisogna, infatti, dimenticare che gli obiettivi di gruppi, anche piccoli ma ben organizzati, con una copertura istituzionale da parte di eventuali Paesi ostili, non sono solo i singoli conti dei clienti, ma anche le informazioni strategiche di una singola banca o di grandi manovre finanziarie, economiche e industriali. In sostanza, si sta passando dalla “infosecurity” alla “cybersecurity”.

Veri e propri clan internazionali si nascondono dietro la maggior parte degli attacchi informatici. Ma anche la mafia si sta evolvendo: ha fatto un upgrade delle proprie competenze e ha cominciato a rubare e a far transitare soldi attraverso i sistemi informatici, usando le stesse regole del sistema. D’altronde, come risulta evidente dai dati presentati, la tradizionale rapina non paga più ed è divenuta troppo rischiosa.

Secondo uno studio della London’s Metropolitan University, l’80% della criminalità online è legata oggi a bande organizzate a livello internazionale. Nel mondo, secondo i dati forniti dalla Commissione europea, ogni giorno, oltre un milione di persone sono vittime della criminalità informatica. Ragion per cui, la stessa ha proposto di istituire un centro contro il cybercrime, al fine di proteggere i cittadini e le imprese europee da queste crescenti minacce. I maggiori esperti UE ritengono, infatti, che i Paesi più esposti siano proprio quelli occidentali, perché hanno infrastrutture critiche vulnerabili. E quando si parla di infrastrutture critiche nella finanza, viene immediatamente alla mente il sistema dei pagamenti al dettaglio e all’ingrosso, con il relativo rischio sistemico a livello continentale. Insomma – all’orizzonte – c’è lo scenario della cybersecurity, con cui le banche e il sistema bancario dovranno fare i conti.

Tutto ciò è confermato anche dall’ultimo rapporto dell’osservatorio dell’Istituto Affari Internazionali (IAIwww.iai.it) “Cybersecurity: Europa e Italia”. L’interesse del cybercrime è particolarmente elevato per le frodi bancarie, il furto di identità e di informazioni (ad esempio, spionaggio industriale) e simili che, pur rappresentando casi forse poco eclatanti, arrecano danni ingenti.

Leggi anche:  Dati, machine learning e generative AI trasformano il settore finanziario-assicurativo

L’accresciuta rilevanza della cybersecurity è testimoniata anche dalle relazioni annuali del Sistema di Informazione per la Sicurezza della Repubblica (l’insieme delle istituzioni e agenzie nazionali preposte alle attività di intelligence). La cybersecurity, considerata marginale fino a qualche anno fa, è – oggi – inserita a pieno titolo tra le “sfide crescenti”. Lo stesso governo considera la minaccia cyber, non più come mero problema di criminalità, ma come questione di sicurezza nazionale. Cruciale in tal senso è la protezione delle infrastrutture critiche informatizzate (CIIP) che, o sono infrastrutture critiche di per sé o servono all’operatività di altre infrastrutture critiche.

A livello operativo, la polizia di Stato ha ora competenze anche in materia di protezione delle infrastrutture per l’informazione critiche, che vanno ad aggiungersi a quelle relative al cybercrime, nel senso più stretto del termine. Dal 2009, la polizia postale gestisce, infatti, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), il cui compito è “la prevenzione e la repressione dei crimini informatici di matrice comune, organizzata o terroristica, che hanno per obiettivo le infrastrutture informatizzate di natura critica e di rilevanza nazionale”.

La scelta italiana di investire risorse sul cybercrime appare, quindi, opportuna se non obbligata, perché si tratta di contrastare attività criminose che arrecano ingenti danni patrimoniali e che rappresentano – statisticamente – la gran parte degli eventi aggressivi cyber. 

CONTROMISURE

Al fine di massimizzare le azioni di contrasto e prevenzione, il rapporto “Sicurezza e frodi informatiche in banca” di ABI Lab mette in luce un altro elemento di riflessione: è sempre più importante e strategico dotarsi di strumenti evoluti e continuamente aggiornati, in grado di effettuare un presidio costante degli accessi, delle operazioni e della Rete. Alle soluzioni tecnologiche si affiancano le iniziative interne, volte ad accrescere il livello di conoscenza e familiarità dei dipendenti con i fenomeni fraudolenti. Si tratta di azioni di formazione destinate al personale di filiale, strutture di help desk, operatori di call center. L’attività informativa verso la clientela è effettuata attraverso tutti i principali canali e strumenti di comunicazione. Visto che l’anello debole della sicurezza è sempre la persona, quest’anno ABI ha invitato Isabella Corradini, presidente di Themis ed esperta di psicologia del lavoro e ICT, per approfondire gli aspetti psicologici e comportamentali sia in relazione all’utilizzo dei sistemi di gestione della finanza, sia del social engineering. Per quanto riguarda l’organizzazione e la tecnologia, Paolo Campobasso di Finmeccanica ha illustrato, a grandi linee, quali sono le regole per difendersi meglio. Secondo Campobasso, le azioni principali da mettere in campo all’interno della banca sono: accurato risk assessment che contempli anche il rischio APT; adozione di sistemi di cifratura e data loss prevention (DLP); continuo pathcing dei sistemi operativi; adozione di framework di sicurezza nello sviluppo software; segmentazione delle reti e separazione delle funzioni aziendali; adozione di sistemi di strong authentication; monitoraggio del traffico entrante e uscente; analisi anomalie utilizzo dei sistemi informativi; costituzione del CIRT (Computer Incident Response Team); attività di cyber-intelligence al fine di predire possibili minacce.

L’adeguata verifica della clientela è un aspetto rilevante dell’azione preventiva di contrasto. Essa richiede l’identificazione e l’autenticazione dei dati acquisiti e la verifica nei confronti del beneficiario sostanziale – titolare effettivo –, quando il cliente è una persona giuridica o effettua un’operazione per conto di altri soggetti. Il presidio migliore per la prevenzione del rischio è quello dell’”autenticazione forte a due fattori”. 

L’ABI e la CIPA (Convenzione Interbancaria per i Problemi dell’Automazione) hanno emesso, a fine luglio scorso, l’annuale “Rilevazione sullo stato dell’automazione del sistema creditizio” che fotografa i fenomeni descritti anche in termini di utilizzo dell’ICT, di investimenti, di progetti e priorità dell’intero sistema bancario. La rilevazione pone particolare attenzione ai profili tecnologici e di sicurezza e approfondisce in modo specifico il tema dello sviluppo applicativo. Tre gruppi bancari su quattro applicano un framework di sicurezza nel processo di produzione del software, mentre metà dei gruppi lo impiega sistematicamente e un gruppo su quattro vi ricorre in base all’ambito applicativo di riferimento. Mediamente, il framework di sicurezza include tutte le fasi del ciclo di vita del software, con l’unica eccezione dell’end-of-life, la cui gestione risente del modello organizzativo dell’IT.

LA SICUREZZA INTEGRATA E DI SISTEMA

Il valore strategico della sicurezza nell’attuale contesto competitivo è fuor di dubbio, ma gestire i rischi in ottica di sicurezza integrata vuol dire rispondere a una richiesta precisa e pressante che impone di acquisire una complessa visione d’insieme e di fare le scelte giuste. Occorre pianificare e implementare l’organizzazione di sicurezza, come previsto anche dalla normativa PCI (Payment Card Industry), che sia in grado di far “girare” il sistema in modo adeguato per raggiungere insieme sia gli obiettivi di business, sia quelli di sicurezza. A tal fine, è fondamentale rivedere il modello di approccio trasformandolo come elemento centrale di una strategia maggiormente focalizzata. In questo senso, la governance della sicurezza deve essere inserita all’interno di un processo direzionale.

Lo scenario delineato configura la sicurezza come un’attività sempre più trasversale, che coinvolge all’interno della banca strutture differenti e personale non sempre consapevole delle necessarie accortezze. Anche la pervasività della tecnologia suggerisce un approccio integrato, secondo una gestione per processi in grado di coinvolgere in maniera trasversale tutte le strutture interessate: sicurezza logica, business continuity, sicurezza fisica, business intelligence.

Occorre, in sostanza, avere una visione di sistema, collaborando strettamente con il sistema bancario per la soluzione di problematiche che riguardano talvolta la stabilità dell’intero sistema finanziario. Le azioni da porre in essere devono configurarsi secondo una dimensione interna (sicurezza integrata) ed esterna alla banca in grado di coinvolgere anche le istituzioni della sicurezza nazionale ed europea (sicurezza di sistema).

Secondo Giovanni Napoli, pre-sales manager EMEA South di RSA, azienda di EMC (italy.emc.com), la migliore risposta alla gestione della sicurezza della banca è l’adozione della metodologia basata sul “security management maturity model”. Come tutti i modelli “maturity model”, l’approccio si basa sul raggiungimento graduale di livelli di maturità interni, in questo caso quattro, attraverso la misurazione della propria situazione attuale e la conseguente adozione di strumenti e processi che eliminino i punti di debolezza. I livelli in ordine crescente sono: “threat defense”; “compliance and defense in depth”; “risk based security”; “business oriented”. È quindi evidente che  – oggi – il tema della sicurezza costituisce una questione di competenza dell’alta direzione, in quanto richiede necessariamente di conciliare l’efficacia della prevenzione e delle contromisure con l’ottimizzazione delle risorse da impiegare.

Leggi anche:  Forward Looking nel finance: uno sguardo strategico sul business

Andrea Agosti, vicepresidente di NTT Data (emea.nttdata.com) ha tracciato l’evoluzione dei nuovi modelli di business con cui affrontare il cambiamento in considerazione delle nuove minacce e in conformità alle nuove norme. Il settore finanziario, infatti, è uno dei settori dell’economia con il maggiore livello di regolamentazione, in particolare in tema di controlli.  A tal fine, è fondamentale rivedere il modello di approccio alla gestione della sicurezza in banca, trasformandolo come elemento centrale di una strategia di sicurezza maggiormente focalizzata.

IL CIRCOLO VIRTUOSO DELLA SICUREZZA

In sintesi, l’attivazione del circolo virtuoso “più sicurezza uguale più qualità dell’offerta e maggiore fiducia della clientela” assume importanza strategica nell’attività finanziaria, che sul trattamento delle informazioni e sulla costruzione di un rapporto di fiducia con i clienti fonda la propria operatività. Si profilano all’orizzonte importanti e crescenti rischi per la banca che vanno sotto il nome di APT, cioè attacchi prolungati nel tempo e focalizzati su specifici obiettivi, come risultato del processo di evoluzione e sofisticazione sia degli attacchi, sia dei cybercriminali. Questi, infatti, non sono più rappresentati dal singolo hacker dilettante ma da vere e proprie organizzazioni criminali che stanno abbandonando la rapina e la frode tradizionale per dedicarsi alla frode informatica e al “cyber attach”. In sostanza, si sta passando dalla “infosecurity” alla “cybersecurity”. Nelle banche quindi è in atto un mutamento radicale nella concezione della sicurezza: la realizzazione del modello di “sicurezza integrata e di sistema”. Tale nuovo approccio consente di concentrare la responsabilità delle varie direzioni in un unico punto di raccordo e di gestione al più alto livello manageriale e di gestire il fenomeno anche all’esterno con i necessari raccordi con il sistema bancario, ma anche con il sistema di sicurezza nazionale ed europeo.

Il partner di Symbolic, leader nelle soluzioni per la firma elettronica, ha aggiornato la propria gamma di soluzioni nShield HSM e ha ottenuto anche una importante approvazione di OCSI, che si aggiunge a numerosi altri riconoscimenti internazionali

di Camillo Lucariello

La firma digitale rappresenta un elemento di assoluta criticità per qualsiasi transazione online che debba avere il crisma dell’ufficialità. Così Thales – attore di primo piano nel mercato della security, con l’aiuto del partner Symbolic (www.symbolic.it) – ha deciso di intraprendere anche in Italia un percorso che l’ha portata, tra le altre cose, a ottenere un’importante certificazione. Data Manager ha intervistato Mark Knight, director del product management di Thales e-security (www.thales-esecurity.com).

Data Manager: Thales ha una forte reputazione legata alla sua offerta nel campo della e-security, specialmente per quanto riguarda la firma digitale e remota. Quali sono i punti forti dell’offerta?

Mark Knight: I prodotti Thales vengono usati in molte parti del mondo, da oltre due decenni, allo scopo di rendere sicure applicazioni critiche di firma elettronica, on line banking, trasferimento fondi e fatturazione. Thales nShield HSM (Hardware Security Module) è una soluzione di primissimo livello che si contraddistingue per: (1) la gestione e il controllo di chiavi crittografiche all’interno di un perimetro sicuro certificato, che impedisce il furto e l’uso improprio delle stesse; (2) la flessibilità d’uso grazie all’astrazione del Security World, che semplifica la definizione delle policy e permette di ridurre i costi di gestione; (3) la componentistica di qualità che garantisce alta affidabilità ed elevate prestazioni hardware.

Qual è la situazione in Italia rispetto alle certificazioni e alle norme necessarie per la “firma qualificata”?

I governi e le organizzazioni commerciali devono affrontare la duplice sfida di aumentare l’efficienza e combattere le minacce informatiche sempre più impegnative. In questo scenario, la capacità di fornire firme elettroniche sicure – usate per autenticare e proteggere fatture e documenti – gioca un ruolo sempre più importante nelle infrastrutture critiche sia in Italia, sia nel resto del mondo.

La famiglia di HSM nShield di Thales è in regola con le attuali norme italiane per l’emissione di firme elettroniche avanzate, compreso il decreto più recente, datato 20 luglio 2012. Thales ha avviato la procedura di assessment della conformità HSM, in anticipo rispetto alla scadenza OCSI (Organismo di Certificazione della Sicurezza Informatica del ministero dello Sviluppo economico) del primo novembre 2011. Thales ha inoltre ricevuto un pronunciamento positivo dall’OCSI, il quale ha approvato il target di sicurezza common criteria dell’nShield (www.ocsi.isticom.it).

Quali sono i passaggi che Thales sta facendo, con l’aiuto di Symbolic, per adeguarsi al contesto normativo?

Quale vendor leader di soluzioni per la gestione di chiavi IT, Thales continua a lavorare a stretto contatto con le autorità italiane per assicurare ai propri clienti i livelli di sicurezza, compliance, disponibilità ed efficienza più elevati, seguendo la continua evoluzione degli standard e delle leggi. Symbolic è il nostro principale distributore in Italia e gioca un ruolo fondamentale nell’aiutarci a sviluppare in loco il mercato HSM della firma digitale. Symbolic ha moltissima esperienza, che utilizza per aiutare i nostri comuni clienti a implementare soluzioni di firma digitale sicure, efficienti e aderenti alle norme italiane.

I prodotti Thales – nShield Connect e nShield Solo – sono già certificati con numerose normative internazionali, compresi i Common Criteria EAL4+, FIPS 140-2 level 3 e ICP-Brazil. La gamma attuale nShield è stata inoltre sottoposta all’OCSI per la verifica della sua aderenza alle leggi sulla firma elettronica italiana ed europea.