La normativa DORA e la metodologia di test TLPT

L’entrata in vigore del Digital Operational Resilience Act (DORA) segna un punto di svolta per il settore finanziario europeo. La normativa introduce requisiti stringenti in materia di resilienza operativa digitale, imponendo agli enti finanziari non solo di proteggersi dalle minacce informatiche, ma di dimostrare concretamente la propria capacità di resistere, reagire e riprendersi da incidenti cyber.

Tra gli aggiornamenti previsti da DORA rientra anche il Regolamento Delegato (UE) 2025/1190 della Unione europea, che stabilisce gli standard tecnici per processo, metodologia e struttura dell’approccio Threat-Led Penetration Testing (TLPT).

DORA: significato e cosa comporta per le aziende

DORA (Regolamento UE 2022/2554) si applica a banche, assicurazioni, società di investimento, fintech e fornitori ICT critici.

La normativa si basa su cinque pilastri principali:

• ICT Risk Management
• Incident Reporting
• Digital Operational Resilience Testing
• ICT Third-Party Risk Management
• Information Sharing

Uno degli aspetti più innovativi è proprio il capitolo dedicato ai test di resilienza operativa, che richiede verifiche periodiche, proporzionate e realistiche sulla capacità dell’organizzazione di resistere a minacce avanzate.

TLPT: di che cosa si tratta?

Il Threat Led Penetration Testing (TLPT) è una metodologia di test avanzata che si basa su scenari di minaccia realistici e su attività di threat intelligence costantemente aggiornata. A differenza di un tradizionale Penetration Test tecnico, l’approccio TLPT si limita alla ricerca di vulnerabilità puntuali, ma consiste in una simulazione strutturata di attacchi mirati che coinvolge l’intera organizzazione, includendo persone, processi, tecnologie e le capacità di detection e response.

Il TLPT trova il suo principale riferimento metodologico nel framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), sviluppato dalla Banca Centrale Europea per definire uno standard condiviso tra i Paesi dell’Unione nell’esecuzione di test avanzati di resilienza nel settore finanziario.

TLPT e TIBER-EU: Attori coinvolti e ruoli

TIBER-EU non è una semplice metodologia tecnica, ma un vero e proprio framework strutturato che definisce principi, ruoli, fasi operative e requisiti di governance per condurre esercitazioni di Red Teaming basate su Threat Intelligence.

Il TLPT, secondo il framework TIBER-EU, coinvolge una struttura di attori ben definita che garantisce governance, controllo e realismo dell’esercitazione.

Le autorità competenti supervisionano il processo per assicurarne la conformità metodologica.

L’entità finanziaria soggetta a test mantiene la responsabilità complessiva e istituisce un White Team, guidato dal White Team Lead, che coordina l’attività in modo riservato. Il Blue Team, ignaro del test, deve rilevare e gestire l’attacco simulato come se fosse reale.

A supporto intervengono fornitori esterni specializzati: il Threat Intelligence Provider, che definisce scenari e minacce realistiche, e il Red Team Provider, che esegue l’attacco simulato.

TLPT e TIBER-EU: Le autorità

Le autorità svolgono un ruolo centrale di supervisione e coordinamento.

Il TIBER-IT Cyber Team (TCT) supporta e indirizza il processo fornendo, dove disponibile, il Generic Threat Landscape, ossia un quadro di riferimento sulle minacce rilevanti a livello sistemico. Inoltre, viene mantenuto costantemente informato sull’evoluzione del test, garantendo coerenza con l’impianto metodologico TIBER.

Il Test Team Manager (TTM) rappresenta invece il punto di contatto operativo tra l’autorità e l’organizzazione testata (White Team e White Team Lead). Condivide e valida lo scope dell’esercitazione, verifica che il test sia aderente ai requisiti TIBER-EU/TIBER-IT e mantiene un coordinamento diretto con i fornitori.

Il ruolo delle autorità nel TLPT non è esecutivo, ma di governance e controllo, con l’obiettivo di assicurare qualità, proporzionalità e conformità dell’intero esercizio.

TLPT e il ruolo del Blue Team

Il Blue Team (BT) rappresenta tutte le funzioni operative di sicurezza e, più in generale, il personale non informato preventivamente dello svolgimento del test. Questo include i team responsabili della difesa dei sistemi informativi, come SOC, incident response, IT security e monitoraggio.

Il Blue Team ha il compito di rilevare, analizzare e gestire l’attacco simulato come se fosse reale, consentendo una valutazione autentica delle capacità di detection, escalation e risposta. Proprio perché non è a conoscenza dell’esercitazione, il comportamento osservato riflette il reale livello di maturità operativa dell’organizzazione.

Nella fase finale del TLPT, il Blue Team partecipa alla cosiddetta fase di replay o di confronto con il Red Team. Da questo momento nasce l’approccio di Purple Teaming, in cui attaccanti e difensori collaborano per analizzare quanto accaduto, comprendere le tecniche utilizzate, individuare eventuali gap e rafforzare i controlli. Questa fase trasforma il test da semplice esercizio valutativo a strumento concreto di miglioramento continuo della resilienza operativa.

TLPT e il ruolo di Betrusted

Betrusted svolge il ruolo di fornitore esterno: da un lato raccoglie e analizza informazioni mirate e aggiornate sulle minacce, definendo il profilo dell’avversario; dall’altro sviluppa scenari di attacco realistici, conduce attività di attack simulation e tenta di superare le difese dell’organizzazione utilizzando TTPs (Tactics, Techniques, and Procedures) realistici. Il nostro team supporta le aziende in tutte le fasi del percorso. L’intero intervento è svolto secondo le linee guida del framework TIBER-EU.

Adeguarsi non significa solo “fare compliance”, ma costruire una reale capacità di resistere, reagire e recuperare da incidenti cyber.

Contattaci per iniziare il tuo percorso il prima possibile.