Skip Links Navigation

Header

Meta Navigation

Ricerca

Vulnerability Disclosure Policy

La sicurezza dei sistemi informatici come delle pagine web e la protezione dei dati sono di fondamentale importanza per la Banca nazionale svizzera (BNS). Siamo consapevoli del fatto che ambienti informatici complessi sono soggetti a vulnerabilità e apprezziamo il supporto fornito a tale proposito dalla comunità di ricerca. I suoi contributi possono aiutarci a migliorare costantemente le nostre misure di sicurezza.
Chiunque rilevi o venga a conoscenza di una falla di sicurezza (di seguito anche "falla" o "vulnerabilità") nei sistemi informatici e nelle pagine web della BNS è pregato di darcene immediata informazione secondo le istruzioni riportate nella presente direttiva (Vulnerability Disclosure Policy, "VDP").

Procedura per la segnalazione di una falla di sicurezza

  • Informarsi innanzitutto su quali siano le vulnerabilità non considerate e quindi non trattate nella presente VDP.
  • Assicurarsi di non violare le leggi vigenti relativamente alla falla di sicurezza o alla sua segnalazione.
  • Inviare la descrizione della vulnerabilità rilevata tramite e-mail cifrata a vulnerability-disclosure@snb.ch. Le informazioni necessarie sono contenute nel file security.txt.
  • Fornire informazioni dettagliate affinché gli uffici competenti della BNS possano analizzare e comprendere la falla. Utilizzare, per la segnalazione, la struttura del modello per la stesura di rapporti di vulnerabilità sotto riportato.
vulnerability-disclosure@snb.ch vulnerability-disclosure@snb.ch
security.txt security.txt

Utilizzo da parte della BNS

  • La BNS conferma la ricezione della segnalazione e provvede a verificare e a chiudere quanto prima la falla rilevata.
  • Il rapporto ricevuto è trattato in modo confidenziale e non viene trasmesso a terzi senza il consenso della persona segnalante, salvo che ciò sia richiesto dalla legge.
  • La BNS non procede ad azioni legali nei confronti della persona segnalante se questa si attiene alle regole della presente VDP, se non si ravvisano intenzioni malevole o criminali e se non risultano reati. In caso di violazione della presente VDP o in presenza di un reato, la BNS si riserva di adire tutte le vie legali.
  • Una volta verificata la segnalazione, la persona segnalante viene informata dell'esito dell'analisi.
  • La BNS non offre ricompense per la segnalazione di vulnerabilità.
  • Informazioni sul trattamento dei dati della persona segnalante sono disponibili all'indirizzo https://www.snb.ch/it/srv/disclaimer_data
Informazioni sul trattamento dei dati della persona segnalante Informazioni sul trattamento dei dati della persona segnalante

Vulnerabilità considerate

Di principio, tutte le vulnerabilità possono essere segnalate. Esempi:

  • cross site scripting (XSS);
  • cross site request forgery (CSRF);
  • server-side request forgery (SSRF);
  • remote code execution (RCE);
  • configurazione errata;
  • autenticazione mancante;
  • fughe di dati.

Vulnerabilità non considerate e attività vietate

Le seguenti tipologie di vulnerabilità non vanno segnalate. Le segnalazioni che le contengono, quelle incomplete e quelle non effettuate utilizzando il modello richiesto non vengono trattate:

  • deviazione dalle prassi virtuose e security header mancanti;
  • vulnerabilità presenti nei browser obsoleti;
  • clickjacking senza conseguenze concrete;
  • attributi non sicuri dei cookie nel caso di cookie non sensibili (flag mancanti sui cookie non sensibili).

Si ricorda inoltre che sono espressamente vietate e possono costituire una condotta penalmente rilevante in particolare le seguenti attività:

  • attacchi di ingegneria sociale (p. es. phishing) nei confronti di collaboratori e collaboratrici della BNS;
  • attività che possono avere ricadute negative sulla BNS (p. es. attacchi di tipo Denial of Service, invio di spam a nome della BNS);
  • l'uso di strumenti o script automatizzati che possono aumentare il carico del sistema o pregiudicare il corretto funzionamento dei sistemi della BNS;
  • altri attacchi in grado di compromettere la performance o l'integrità dei sistemi della BNS (p. es. l'installazione di malware, attacchi di forza bruta, fuzzing e tecniche analoghe);
  • qualsiasi modifica, cancellazione o copia non autorizzata di dati sui sistemi della BNS; 
    la pubblicazione di informazioni relative a vulnerabilità rilevate o sospette senza l'espressa autorizzazione scritta della BNS.

Modello per la stesura di rapporti di vulnerabilità

  1. Titolo/designazione della vulnerabilità
  2. Persona segnalante e dati di contatto
  3. Applicativo, sistema, dispositivo o prodotto interessato (URL, indirizzo IP, costruttore, prodotto, versione)
  4. Descrizione della vulnerabilità, inclusi dettagli tecnici
  5. Proof of concept
  6. Rimedio, soluzione, prevenzione

Impostazioni dei cookie

Necessari: cookie (per esempio per memorizzare l'indirizzo IP dell'utente) che non si possono rifiutare in quanto servono a garantire il funzionamento del sito Internet. Questi dati non sono oggetto di ulteriore trattamento.
Analitici: fornendo il consenso a questa categoria di cookie si accetta la raccolta di dati quali indirizzo IP, ubicazione, informazioni su dispositivi, versione del browser e comportamento dell'utente. Queste informazioni vengono elaborate per finalità interne alla BNS e sono conservate per un periodo di due anni.
Fornitori terzi: fornendo il consenso a questa categoria di cookie si accetta l'attivazione di servizi forniti da terzi (per es. per l'integrazione di contenuti multimediali nel sito Internet della BNS) che raccolgono e trattano dati personali, li comunicano all'estero (in tutto il mondo) e inseriscono cookie. Le disposizioni sulla protezione dei dati di tali fornitori sono consultabili tramite i link presenti nella Dichiarazione di protezione dei dati per il sito Internet della Banca nazionale svizzera.

Seleziona le categorie:

Questo sito Internet utilizza cookie, tool analitici e altre tecnologie per mettere a disposizione funzionalità, contenuti e servizi richiesti, per personalizzare i contenuti visualizzati, per offrire collegamenti a social media nonché per analizzare in forma anonima il suo utilizzo al fine di migliorarne l'usabilità. A tale riguardo si comunicano anche dati personali a fornitori di servizi video all'estero (in tutto il mondo), dei quali vengono impiegati i tool analitici. Per ulteriori informazioni cliccare su Gestisci impostazioni.