DORA impone il TLPT: TIBER-EU come mappa operativa per le PMI finanziarie

Dal 17 gennaio 2025 DORA è pienamente applicabile. Tra i suoi obblighi c'è il Threat-Led Penetration Testing: un test di resilienza cyber che non somiglia ai classici penetration test. TIBER-EU — il framework della Banca Centrale Europea — è la mappa operativa per eseguirlo. Ecco cosa significa concretamente per una PMI nel settore finanziario.
Cosa chiede DORA all'art. 26
Il Regolamento (UE) 2022/2554 — DORA — è applicabile dal 17 gennaio 2025 a banche, istituti di pagamento, istituti di moneta elettronica, imprese di investimento, fornitori di servizi per cripto-attività, controparti centrali e molte altre entità finanziarie. L'art. 26 introduce per le entità significative — individuate dall'autorità competente — l'obbligo di condurre un Threat-Led Penetration Testing (TLPT) almeno ogni tre anni.
Il TLPT non è un pentest tradizionale. Deve coprire i sistemi in produzione reale, essere guidato da threat intelligence specifica sull'entità testata, e seguire un framework riconosciuto dall'autorità competente. TIBER-EU — aggiornato nel 2024/2025 per allinearsi ai Regulatory Technical Standards DORA — è il riferimento operativo per la maggior parte dei paesi europei.
TLPT ≠ Penetration test: la differenza che conta
Un pentest tradizionale parte da un perimetro tecnico definito, usa metodologie standardizzate (OWASP, PTES) e cerca vulnerabilità note. È utile, ma racconta solo parte della storia.
Il TLPT parte da una domanda diversa: quali attori di minaccia reali prenderebbero di mira questa specifica organizzazione, e come? La risposta la fornisce un CTI provider accreditato (Cyber Threat Intelligence), che costruisce uno scenario d'attacco su misura — non generico. Solo allora un Red Team provider accreditato esegue la simulazione, su sistemi di produzione reali, cercando di compromettere le funzioni critiche dell'entità. Il Blue Team — i difensori interni — non sa che il test è in corso (o lo sa solo parzialmente).
Il risultato non è una lista di CVE da patchare: è una valutazione della resilienza operativa reale, che copre persone, processi e tecnologia insieme.
Le tre fasi di TIBER-EU
Il framework TIBER-EU struttura il test in tre fasi principali:
- Preparazione. L'entità testate costituisce un White Team (referenti interni a conoscenza del test), definisce il perimetro con l'autorità competente, e seleziona i provider CTI e Red Team tramite procedure di procurement documentate.
- Testing. Il CTI provider produce un Targeted Threat Intelligence Report — un'analisi delle minacce specifiche all'entità. Su questa base il Red Team pianifica ed esegue la simulazione d'attacco sulle funzioni critiche in produzione. Il Blue Team opera normalmente, senza sapere che il test è attivo.
- Chiusura. Red Team e Blue Team producono report separati. Segue una sessione di purple teaming — collaborazione tra attaccanti e difensori — per condividere le tecniche usate e identificare i gap di detection. L'esito finale è un piano di remediation prioritizzato e un'attestazione formale da presentare all'autorità competente.
Chi deve preoccuparsene (e chi dovrebbe farlo)
L'obbligo diretto di TLPT ricade sulle entità significative designate dall'autorità competente — tipicamente le istituzioni di maggiore dimensione e rilevanza sistemica. Per le PMI finanziarie (fintech, istituti di pagamento di piccole dimensioni, società di gestione) la designazione dipende dal giudizio del regolatore nazionale.
Ma c'è un secondo livello di rilevanza: anche se non sei direttamente obbligata al TLPT, TIBER-EU è il benchmark di mercato. I tuoi clienti istituzionali e le controparti più grandi lo usano; i contratti di outsourcing e i questionari di terze parti inizieranno a chiedere se hai condotto test di questo tipo. Il mercato anticipa sempre il regolatore.
In più, i fornitori ICT critici delle entità significative — anche se non direttamente soggetti a DORA come entità finanziarie — possono essere inclusi nel perimetro del test su richiesta dell'entità testata.
Il punto Tomato Blue
Preparare un'entità finanziaria al TLPT non è solo una questione tecnica. Richiede:
- Gap analysis rispetto ai requisiti DORA/TIBER-EU — capire dove si è e dove si deve arrivare prima di ingaggiare i provider
- Definizione delle funzioni critiche — quali processi, sistemi e dati sono nel perimetro del test (e perché)
- Governance del processo — costituire il White Team, gestire la riservatezza, raccordare legal, IT e management
- Gestione post-test — trasformare i finding del Red Team in un piano di remediation che l'autorità competente possa validare
La differenza tra un test formalmente eseguito e uno che produce valore reale sta tutta in questa preparazione.
In sintesi
DORA non chiede di fare un pentest più grande. Chiede di simulare un attacco reale, con intelligence reale, su sistemi reali — e di dimostrare all'autorità competente che l'organizzazione sa come rispondere. TIBER-EU è il manuale operativo per farlo. Conoscerlo — anche prima di essere designati — è già una forma di resilienza.
Fonti
Prepara la tua entità al TLPT DORA
Tomato affianca PMI finanziarie nella gap analysis DORA, nella definizione del perimetro TIBER-EU e nella governance del processo di Threat-Led Penetration Testing — dalla preparazione all'attestazione.
Parla con noi →