Il Customer Security Controls Framework di SWIFT è cambiato in un modo facile da sottovalutare. Dal ciclo 2026, il Controllo 7.3A non si legge più come una singola scansione annuale. La guida ora descrive un insieme di scenari di test da esercitare nell'arco di un ciclo triennale continuo, che copre l'interfaccia di messaggistica, la zona sicura e la sua segmentazione, e i percorsi delle postazioni di lavoro degli operatori che le vere intrusioni sfruttano (SWIFT 2025). Il controllo è consultivo, ma per qualsiasi istituzione che si autoattesta a fronte di esso, il valutatore si aspetterà un record coerente di perimetro, metodo, risultanze e rimedio, non un certificato.
Quello è il momento per fare una scelta che decide silenziosamente il tuo budget di testing per i prossimi tre anni.
La via costosa, e la via eccellente
La via costosa legge ogni regolamentazione come un lavoro separato. Perimetri il test SWIFT in modo ristretto, poi commissioni un separato test di resilienza per il Digital Operational Resilience Act, rispondi alla regola di testing annuale di New York con un terzo esercizio e prepari prove per un'autorità di vigilanza canadese secondo un quarto calendario. Quattro ingaggi, quattro fasi di ricognizione, quattro cicli di rimedio e quattro insiemi di prove che non si incastrano tra loro. Peggio, nessuno dei quattro vede la tua istituzione come la vede un avversario, da un capo all'altro.
La via eccellente parte da un fatto che la maggior parte dei team non coglie: questi non sono quattro test diversi. La guida affinata 7.3A di SWIFT, il threat-led penetration testing di DORA, il 23 NYCRR Part 500 di New York e la Guideline B-13 dell'OSFI del Canada sono quattro espressioni di vigilanza di un'unica idea. Le autorità di vigilanza ovunque vogliono ormai testing guidato dall'intelligence e informato dalle minacce che provi che i tuoi controlli funzionano, non testing che provi che esistono. Progetta secondo il più esigente di essi, registra il risultato a fronte di un framework condiviso, e gli altri ne derivano come sottoprodotto.
Come si presenta l'eccellenza
L'eccellenza è guidata dal rischio, non dalla conformità. Il penetration test è lo strumento che usi per trovare e ritirare le tue esposizioni più consequenziali, e superare il controllo è ciò che accade quando lo fai bene. Quattro mosse fanno la differenza.
Primo, perimetra in base alle conseguenze. Inventaria il tuo patrimonio SWIFT e classifica i percorsi in base al danno che una compromissione causerebbe, non in base a quanto siano facili da testare. Quello è il perimetro che un vero attaccante sceglierebbe, ed è la postura guidata dalle conseguenze che sia l'OSFI B-13 sia la regola di New York premiano.
Secondo, inquadra con l'intelligence sulle minacce. Lascia che l'intelligence attuale sugli attori che prendono di mira la messaggistica finanziaria plasmi gli scenari, così che il test provi intrusioni plausibili anziché generiche. Questo singolo passaggio è ciò che trasforma un penetration test in un test guidato dalle minacce, ed è ciò che rende lo stesso esercizio credibile sotto DORA e B-13.
Terzo, misura rilevamento e risposta, non solo le risultanze. Il punto non è solo l'elenco delle vulnerabilità. È se il tuo stesso monitoraggio ha visto avvenire il test e se il tuo team lo ha contenuto. Quella misurazione è la prova che i framework moderni effettivamente chiedono.
Quarto, archivia il risultato una sola volta. Registra perimetro, scenari, narrazione dell'attacco, risultanze, rimedio e prestazioni di rilevamento a fronte del NIST Cybersecurity Framework 2.0, l'unico riferimento riconosciuto su entrambi i lati dell'Atlantico e tra gli Stati Uniti e il Canada, poi contrassegnalo per ciascun regime. Non hai superato un test. Hai costruito un riutilizzabile bene probatorio di resilienza.
La mappatura, in una riga ciascuna
Il 7.3A di SWIFT vuole un test basato su scenari, consapevole della zona sicura, nell'arco di tre anni. DORA vuole testing guidato dall'intelligence almeno ogni tre anni per le entità significative, con la NIS2 che si fa da parte per le imprese finanziarie. New York vuole penetration testing almeno annualmente, dall'interno e dall'esterno del confine. L'OSFI B-13 vuole testing guidato dall'intelligence e basato sui risultati per le istituzioni con impronte tecnologiche significative. Progetta una volta secondo la colonna più forte di ciascuno, e un solo ingaggio risponde a tutti.
Dove questo ti lascia
Se la tua valutazione SWIFT 2026 si avvicina, la domanda non è più se eseguire un penetration test. È se eseguirlo quattro volte o una. L'istituzione che perimetra in base alle conseguenze, inquadra con l'intelligence, misura le proprie difese e archivia le prove a fronte di una colonna vertebrale condivisa spende meno e prova di più.
Il nostro servizio di valutazione SWIFT CSP perimetra ed esegue il test 7.3A secondo questo standard, e PenTeva convalida e traccia le risultanze fino alla chiusura, così che le prove reggano sotto uno qualsiasi dei quattro regimi. Il ragionamento completo, con la mappatura regime per regime e i riferimenti, è nel nostro working paper, Test once, satisfy many.
Se desideri una conversazione di perimetrazione prima della tua finestra di attestazione, parla con il nostro team di valutazione.