Aggiornata la Guida nazionale Tiber-IT per i test avanzati di cybersicurezza nel settore finanziario

L’11 dicembre 2025 Consob, Banca d’Italia e Ivass hanno pubblicato l’aggiornamento della Guida nazionale Tiber-IT, lo strumento metodologico destinato a disciplinare lo svolgimento dei test avanzati di cybersicurezza nel sistema finanziario italiano. L’intervento recepisce le novità introdotte dal Regolamento (UE) 2022/2554, noto come Digital Operational Resilience Act (Dora), che mira a rafforzare il livello di resilienza operativa digitale degli operatori finanziari.

Dora prevede che alcune entità finanziarie, identificate dalle autorità competenti sulla base di criteri qualitativi e quantitativi, debbano effettuare obbligatoriamente, almeno ogni tre anni, test di tipo Threat-Led Penetration Testing (Tlpt) sui propri sistemi informatici. La nuova versione di Tiber-IT diventa quindi il riferimento unico per l’esecuzione di questi test, sia quando essi sono richiesti obbligatoriamente dalla normativa europea sia quando vengono svolti su base volontaria da soggetti non inclusi negli obblighi.

L’aggiornamento incorpora tutte le modifiche introdotte dal Regolamento Dora in materia di Tlpt, dal regolamento delegato adottato dalla Commissione europea e dalla nuova versione del framework Tiber-EU, assicurando così piena coerenza tra le indicazioni europee e le prassi operative nazionali.

Approfondimenti:

• Comunicazione congiunta Consob, Banca d’Italia e Ivass sull’aggiornamento della Guida nazionale Tiber-it (dicembre 2025)
• Guida nazionale Tiber-it v.2.0 (novembre 2025)