Aggiornato: giugno 2026
Nel 2026, TIBER-EU è diventato un quadro di riferimento fondamentale per la resilienza informatica, in particolare per gli enti finanziari che si preparano a test di penetrazione basati sulle minacce e conformi al regolamento DORA. Sviluppato dalla Banca centrale europea e dalle banche centrali nazionali dell’UE, fornisce un approccio strutturato al red teaming etico basato sull’intelligence, utilizzando scenari di minaccia realistici per mettere alla prova persone, processi e tecnologie. Da quando il DORA è entrato in vigore, TIBER-EU è stato aggiornato per allinearsi agli standard tecnici regolamentari relativi ai TLPT. Per alcuni enti finanziari selezionati, ciò significa che i test avanzati non sono più solo una best practice, ma costituiscono parte integrante della dimostrazione della resilienza operativa in condizioni di attacco controllate e realistiche.
TIBER-EU è l’acronimo di «Threat Intelligence-Based Ethical Red Teaming for the European Union» (Red Teaming etico basato sull’intelligence delle minacce per l’Unione Europea). Si tratta di un quadro di riferimento europeo per i test di red teaming controllati e basati sull’intelligence, progettato per aiutare le organizzazioni a comprendere in che misura sono in grado di resistere ad attacchi informatici realistici.
A differenza di un test di penetrazione standard, TIBER-EU non si concentra esclusivamente sull’identificazione delle vulnerabilità tecniche in un sistema o in un’applicazione definiti. Ha un approccio più ampio, più orientato al punto di vista dell’aggressore e più incentrato sulla resilienza operativa. Utilizza le informazioni sulle minacce per simulare le tattiche, le tecniche e le procedure di attori malevoli realistici, per poi verificare in che misura un’organizzazione sia in grado di prevenire, rilevare, rispondere e riprendersi da tali attività.
Il quadro di riferimento è stato originariamente sviluppato per gli enti che forniscono infrastrutture finanziarie fondamentali e per le autorità che li supervisionano. Tuttavia, i suoi principi possono supportare anche le organizzazioni di altri settori critici che desiderano verificare la propria resilienza di fronte a scenari di minaccia sofisticati.
Un test TIBER-EU coinvolge normalmente diversi partecipanti chiave, tra cui l’organizzazione sottoposta a test, un team di controllo, fornitori di intelligence sulle minacce, tester del «red team», difensori del «blue team» e, se del caso, l’autorità competente o l’autorità TLPT che supervisiona il processo.
Le organizzazioni dei servizi finanziari subiscono una pressione costante da parte di criminali informatici, attori legati allo Stato, hacktivisti e altri gruppi di minaccia motivati. Banche, assicuratori, fornitori di servizi di pagamento, società di investimento, fintech e organizzazioni di infrastrutture di mercato detengono dati preziosi, movimentano denaro, supportano servizi critici e fanno parte del sistema economico più ampio.
Ciò rende la resilienza essenziale.
Nel 2026, la questione non sarà semplicemente se un’organizzazione disponga o meno di controlli di sicurezza. La vera domanda è se tali controlli funzionino quando messi alla prova da un attacco realistico e basato sull’intelligence. Gli aggressori riescono a passare da un punto di appoggio iniziale ai sistemi critici? I difensori riescono a rilevare l’attività con sufficiente rapidità? Le procedure di escalation funzionano sotto pressione? Le funzioni critiche per l’azienda possono continuare a funzionare durante un’interruzione?
TIBER-EU aiuta a rispondere a queste domande mettendo alla prova le capacità nel mondo reale, anziché affidarsi esclusivamente a politiche, audit o valutazioni tecniche puntuali. Fornisce un metodo strutturato per testare la resilienza, individuare le lacune e trasformare i risultati in miglioramenti concreti.
Il DORA, ovvero il Digital Operational Resilience Act, ha alimentato le aspettative in tutto il settore finanziario dell’UE. Il regolamento riguarda la gestione dei rischi ICT, la segnalazione degli incidenti, i rischi legati a terze parti, i test di resilienza e la supervisione dei fornitori terzi critici nel settore ICT.
Uno dei requisiti più importanti del DORA è l’esecuzione di test di penetrazione basati sulle minacce per determinati enti finanziari. È proprio in questo ambito che TIBER-EU ha assunto particolare rilevanza.
Il DORA non rende TIBER-EU obbligatorio per ogni organizzazione finanziaria. Introduce invece requisiti TLPT per gli enti finanziari identificati dalle autorità competenti, sulla base di fattori quali le dimensioni, l’importanza sistemica, il profilo di rischio ICT e le funzioni critiche o importanti.
TIBER-EU è stato aggiornato per allinearsi ai requisiti TLPT del DORA e può essere utilizzato come metodologia riconosciuta per condurre test conformi al DORA in modo controllato, sicuro e coerente. Per le organizzazioni che hanno già familiarità con TIBER-EU, ciò garantisce continuità. Per le organizzazioni che rientrano per la prima volta nell’ambito di applicazione, fornisce una struttura chiara per la pianificazione e l’esecuzione di test avanzati.
I test di penetrazione basati sulle minacce, o TLPT, sono una forma avanzata di test di resilienza che utilizza le informazioni sulle minacce per simulare attacchi informatici realistici contro le funzioni critiche o importanti di un’organizzazione.
Ai sensi del DORA, gli enti finanziari selezionati devono effettuare i TLPT almeno ogni tre anni. Il test dovrebbe coprire diverse o tutte le funzioni critiche o importanti e dovrebbe essere eseguito su sistemi di produzione attivi che supportano tali funzioni. Ciò rende i TLPT molto più significativi rispetto a un test di penetrazione di routine o a una valutazione delle vulnerabilità.
L’obiettivo non è semplicemente quello di identificare le vulnerabilità tecniche. Lo scopo è comprendere in che modo un vero e proprio aggressore potrebbe prendere di mira i servizi critici, fino a che punto potrebbe spingersi, se verrebbe individuato e con quale efficacia l’organizzazione sarebbe in grado di reagire.
Poiché il TLPT può coinvolgere sistemi di produzione attivi, è essenziale una solida governance. Il test deve essere attentamente pianificato, autorizzato e controllato attraverso chiare regole di ingaggio, misure di protezione dai rischi e canali di comunicazione.
I test di penetrazione tradizionali rimangono importanti, ma hanno uno scopo diverso rispetto a TIBER-EU.
Un test di penetrazione si concentra solitamente su una risorsa, un'applicazione, una rete, un ambiente cloud o un sistema ben definiti. Aiuta a identificare le vulnerabilità tecniche e a verificare se queste possano essere sfruttate. Viene spesso utilizzato a fini di garanzia, conformità o verifica delle misure correttive.
TIBER-EU ha un ambito più ampio. Parte dall’intelligence sulle minacce, definisce scenari di attacco realistici, prende di mira le funzioni critiche e verifica i meccanismi di rilevamento, risposta e resilienza, oltre ai controlli tecnici.
| Test di penetrazione tradizionali | Test TIBER-EU basati sulle minacce |
|---|---|
| Verifica sistemi, applicazioni o ambienti specifici | Verifica la resilienza di fronte a comportamenti realistici degli autori delle minacce |
| Spesso incentrati sulle vulnerabilità tecniche | Si concentrano su funzioni critiche, percorsi di attacco e impatto operativo |
| Di solito si concentra su risorse note | Utilizza le informazioni sulle minacce per definire scenari di attacco realistici |
| Spesso noti ai difensori | Può testare il rilevamento e la risposta in condizioni di sorpresa controllata |
| Produce risultati tecnici | Fornisce risultati relativi a prevenzione, rilevamento, risposta e resilienza |
| Utile per la verifica periodica | Utile per la validazione della resilienza ad alto impatto |
Entrambe le forme di test sono importanti. I test di penetrazione aiutano le organizzazioni a identificare e correggere specifiche vulnerabilità tecniche. TIBER-EU aiuta a valutare se l’organizzazione è in grado di difendere i servizi critici da attacchi realistici.
Una valutazione TIBER-EU è strutturata con cura per garantire che il test sia realistico, sicuro e controllato. Sebbene l’implementazione nazionale e i requisiti allineati al DORA possano influenzare alcuni dettagli specifici, il processo si articola tipicamente in preparazione, intelligence sulle minacce, test del red team, purple teaming, chiusura e correzione.
La fase di preparazione definisce l’ambito, la governance, i ruoli, gli obiettivi e le misure di controllo per il test. Ciò include l’identificazione delle funzioni critiche o importanti da testare, la selezione dei fornitori, la costituzione del team di controllo e la garanzia che siano affrontate le considerazioni legali, operative e relative al rischio.
La preparazione è fondamentale perché i test TIBER-EU possono coinvolgere sistemi di produzione attivi. Senza una solida governance, controlli di comunicazione e misure di sicurezza, un test realistico potrebbe creare rischi operativi evitabili.
L’intelligence sulle minacce è una delle caratteristiche distintive di TIBER-EU. Il fornitore di intelligence sulle minacce sviluppa una visione degli avversari più rilevanti, dei probabili percorsi di attacco, delle minacce specifiche del settore, delle tattiche attuali e degli scenari realistici.
Ciò garantisce che l’attività del red team non sia generica, ma si basi sui tipi di attacchi che l’organizzazione è più probabile che debba affrontare.
Il red team utilizza gli scenari basati sull’intelligence per simulare il comportamento degli aggressori. L’obiettivo è verificare se l’organizzazione è in grado di rilevare, rispondere e contenere l’attività prima che le funzioni critiche ne siano compromesse.
Questa attività è controllata, pianificata e circoscritta da regole di ingaggio concordate. Tuttavia, dovrebbe comunque essere sufficientemente realistica da mettere alla prova la resilienza operativa sotto una pressione significativa.
Nell’ambito del quadro TIBER-EU aggiornato, il Purple Teaming è un elemento obbligatorio. Riunisce i tester del Red Team, i difensori del Blue Team e il team di controllo per esaminare quanto accaduto, rafforzare la logica di rilevamento, migliorare i processi di risposta e trasformare l’attività di test in apprendimento pratico.
È qui che l’organizzazione passa dalla fase di test a quella di miglioramento. Il valore non sta solo nell’identificare ciò che ha funzionato o non ha funzionato, ma nel migliorare la capacità di rispondere ad attività simili in futuro.
La fase di chiusura comprende la rendicontazione, le lezioni apprese, la pianificazione delle misure correttive e, ove applicabile, il coinvolgimento delle autorità competenti. I risultati dovrebbero tradursi in miglioramenti concreti, con chiare responsabilità, priorità e tempistiche.
Un test TIBER-EU non dovrebbe concludersi con un rapporto. Il suo vero valore deriva dalla correzione, dalla messa a punto del rilevamento, dal miglioramento dei controlli e dall’apprendimento operativo.
TIBER-EU è particolarmente rilevante per gli enti finanziari e le organizzazioni che operano nel settore dei servizi finanziari critici o che li supportano. Ciò include banche, assicuratori, fornitori di servizi di pagamento, società di investimento, fornitori di infrastrutture di mercato, società di tecnologia finanziaria e alcuni fornitori di tecnologia di terze parti che supportano funzioni critiche o importanti.
Per gli enti finanziari selezionati per il DORA TLPT, il quadro è particolarmente importante perché fornisce un approccio strutturato per soddisfare aspettative di test avanzate. Per gli enti non direttamente interessati, TIBER-EU può comunque fornire un solido modello per testare i rischi informatici ad alto impatto.
I suoi principi sono rilevanti anche al di là dei servizi finanziari. Le organizzazioni operanti in settori critici possono avvalersi di attività di “red teaming” basate sull’intelligence per comprendere in che modo attività realistiche da parte di avversari potrebbero influire sui servizi essenziali, sulla continuità operativa e sulla resilienza.
TIBER-EU si distingue perché integra intelligence sulle minacce, attività di red teaming, test su sistemi live, capacità di rilevamento, maturità della risposta e misure correttive in un unico processo controllato.
L’obiettivo non è produrre un lungo elenco di risultati tecnici. L’obiettivo è capire se le funzioni critiche siano in grado di resistere a scenari realistici di attacchi informatici.
Ciò rende l’esercizio prezioso per i team di sicurezza e i dirigenti di alto livello. Un test TIBER-EU ben condotto può mettere in luce lacune nella governance, nell’escalation, nelle comunicazioni, nel monitoraggio, nelle dipendenze da terze parti, nei controlli delle identità, nella visibilità del cloud, nella segmentazione della rete e nei processi di risposta agli incidenti.
In altre parole, mette alla prova l’organizzazione, non solo lo stack tecnologico.
Uno degli aspetti più importanti del TLPT allineato a DORA è l’attenzione ai sistemi di produzione attivi che supportano funzioni critiche o importanti.
Questo è importante perché gli ambienti di test raramente riflettono la complessità completa dell’organizzazione reale. I sistemi di produzione includono identità attive, processi aziendali reali, dipendenze operative, strumenti di monitoraggio, integrazioni di terze parti, percorsi di accesso privilegiato e processi di risposta umana.
I test sui sistemi in produzione devono essere gestiti con attenzione, ma forniscono una visione più accurata della resilienza. Mostrano se i controlli funzionano nell’ambiente che gli aggressori prenderebbero effettivamente di mira.
La chiave è il controllo. I test sui sistemi in produzione devono essere condotti secondo rigide regole di ingaggio, con adeguate misure di salvaguardia, percorsi di escalation e processi di gestione del rischio ben definiti.
La preparazione per TIBER-EU può risultare complessa, specialmente per le organizzazioni che effettuano questo tipo di valutazione per la prima volta.
Le sfide più comuni includono la definizione dell’ambito corretto, l’identificazione delle funzioni critiche, il coordinamento dei team interni, la selezione di fornitori qualificati, la preparazione di misure di salvaguardia legali e operative, la gestione del rischio aziendale, la garanzia di una registrazione e un monitoraggio adeguati e la creazione di un processo di correzione chiaro.
Le organizzazioni potrebbero inoltre scoprire che i propri processi interni non sono pronti per questo tipo di test. Ad esempio, potrebbero mancare percorsi di escalation chiari, una visibilità centralizzata delle risorse, controlli maturi sull’identità, piani di risposta agli incidenti collaudati o visibilità sui servizi esternalizzati.
Ecco perché la preparazione dovrebbe iniziare con largo anticipo rispetto alla finestra di test. Il TIBER-EU non dovrebbe essere considerato come un progetto di conformità una tantum, ma dovrebbe far parte di un programma di resilienza più ampio.
Le organizzazioni dovrebbero innanzitutto capire se rientrano nell’ambito di applicazione e quali sono le aspettative dell’autorità competente. Dovrebbero quindi valutare il loro attuale livello di maturità in materia di test, le funzioni critiche, le dipendenze da terze parti e la capacità di supportare un test controllato sul sistema live.
| Area di preparazione | Perché è importante |
| Mappatura delle funzioni critiche | Definisce cosa deve essere testato e perché è importante per l’azienda |
| Visibilità delle risorse e delle dipendenze | Identifica i sistemi, i dati, le identità, i fornitori e le tecnologie a supporto delle funzioni critiche |
| Preparazione in materia di intelligence sulle minacce | Garantisce che i test si basino su comportamenti degli avversari rilevanti e credibili |
| Copertura della registrazione e del rilevamento | Determina se l’organizzazione è in grado di rilevare e indagare sulle attività del red team |
| Preparazione alla risposta agli incidenti | Garantisce che i team siano in grado di segnalare, indagare e rispondere in condizioni di pressione realistiche |
| Governance legale e dei rischi | Controlla la sicurezza, le autorizzazioni e i limiti del test |
| Selezione dei fornitori | Garantisce che i fornitori di intelligence sulle minacce e di red team dispongano delle competenze richieste |
| Pianificazione delle misure correttive | Trasforma i risultati in miglioramenti misurabili |
Questa preparazione migliora la qualità del test e riduce il rischio di interruzioni evitabili.
Un test TIBER-EU di successo non è necessariamente quello in cui l’organizzazione blocca immediatamente ogni azione. I test realistici spesso rivelano delle lacune, e questo fa parte del loro valore.
Tra i risultati positivi figurano una comprensione più chiara dei percorsi di attacco, una logica di rilevamento migliorata, procedure di risposta più solide, processi di escalation ottimizzati, interventi correttivi prioritari, una maggiore visibilità sui rischi legati a terze parti e una comprensione più approfondita della resilienza operativa da parte del consiglio di amministrazione.
Le migliori organizzazioni utilizzano i risultati di TIBER-EU per rafforzare il proprio programma di sicurezza in senso lato. Mettono in relazione i risultati con MDR, CTEM, risposta agli incidenti, sicurezza delle identità, sicurezza del cloud, gestione delle vulnerabilità, continuità operativa e governance.
Integrity360 supporta le organizzazioni con i servizi e le competenze necessarie per prepararsi, eseguire e trarre insegnamenti dai test avanzati di sicurezza informatica.
I nostri specialisti in test di sicurezza informatica possono fornire supporto per test di penetrazione, esercitazioni red team, ingegneria sociale, test di sicurezza nel cloud, test di sicurezza delle applicazioni e revisioni delle configurazioni. Aiutiamo inoltre le organizzazioni a rafforzare le capacità più ampie necessarie per il TLPT allineato a TIBER-EU e DORA, tra cui intelligence sulle minacce, MDR, risposta agli incidenti, consulenza sui rischi informatici, gestione dei rischi di terze parti e gestione dell’esposizione alle minacce.
Per gli enti finanziari, la priorità non è solo superare un test, ma costruire un programma di sicurezza e resilienza in grado di resistere al comportamento realistico degli autori delle minacce.