Senior Application Security & DevSecOps

FinecoBank è una banca multicanale che offre, in un unico conto, servizi di banking, credit, trading e investimento. E’ leader in Europa nel brokerage e dispone di una delle maggiori reti di consulenti finanziari, con un network capillare di Fineco Center in tutta Italia. FinecoBank è una delle più importanti banche FinTech in Europa, oltre ad essere uno dei più importanti player nel Private Banking in Italia, con un approccio consulenziale altamente tailor-made che include servizi fiduciari, di protezione e trasmissione del patrimonio personale e aziendale, consulenza legale e fiscale e gestione degli eventi di discontinuità.

La figura entra nell’ICT & Security Office come riferimento tecnico per la sicurezza applicativa e l’integrazione della security nelle pipeline di sviluppo. Lavora a stretto contatto con i team di sviluppo, il SOC e le funzioni di governance, con responsabilità diretta sulla qualità e la sicurezza del software prodotto dalla Banca.

La risorsa dovrà:

• Condurre attività di threat modeling applicativo e security review su architetture software, API e microservizi, integrandosi strutturalmente nei cicli di sviluppo e rilascio.

• Progettare, implementare e manutenere la toolchain di sicurezza nelle pipeline CI/CD: SAST, DAST, SCA, container image scanning, secrets detection.

• Eseguire secure code review su componenti critiche, identificando vulnerabilità e definendo remediation plan con i team di sviluppo.

• Definire e aggiornare le linee guida di sviluppo sicuro (secure coding standards), calibrate sullo stack tecnologico della Banca.

• Gestire il ciclo di vita delle vulnerabilità applicative: triage, prioritizzazione basata su rischio, tracking della remediation, verifica della chiusura.

• Valutare la postura di sicurezza delle API esposte e dei servizi di integrazione, definendo controlli e standard di protezione.

Requisiti:

• 5–7 anni di esperienza in application security, DevSecOps o software security engineering in contesti enterprise strutturati.

• Competenza pratica su threat modeling applicativo (STRIDE, PASTA) e su processi di security review integrati nel ciclo di sviluppo.

• Esperienza hands-on con strumenti SAST, DAST e SCA di nuova generazione, incluse soluzioni con capacità di triage AI-assisted e auto-remediation, e loro integrazione in pipeline CI/CD.

• Conoscenza approfondita di OWASP Top 10, OWASP ASVS e delle vulnerabilità applicative più comuni in contesti web, API REST e microservizi.

• Familiarità con la sicurezza dei container (Docker, Kubernetes) e con il scanning delle immagini in fase di build e deploy.

• Capacità di condurre secure code review su componenti applicative critiche, con comprensione delle vulnerabilità specifiche degli stack tecnologici in uso.

• Comunicazione tecnica efficace con interlocutori eterogenei: team di sviluppo, SOC, infrastruttura, governance. Capacità di guidare gli sviluppatori verso soluzioni sicure senza rallentare il delivery.

• Italiano madrelingua, inglese professionale (documentazione tecnica, interazione con vendor internazionali).

Nice to have:

• Certificazioni rilevanti: CSSLP (ISC²), OSWE (Offensive Security), GCSA (GIAC).

• Esperienza con Infrastructure as Code security (Terraform, Ansible) e strumenti IaC cloud-native (es: Bicep), nonché policy-as-code (OPA, Sentinel).

•Familiarità con framework di threat modeling orientati alla privacy (es. LINDDUN), rilevante nel contesto bancario e GDPR.

• Background di sviluppo software: esperienza da developer migliora la capacità di interazione con i team di engineering.

Cosa offriamo

Un’infrastruttura tecnologica mission-critical, con una piattaforma proprietaria che serve 1,8 milioni di clienti in tempo reale. Un contesto in cui la sicurezza applicativa ha impatto diretto sul business: il core banking e il sistema di brokerage sono sviluppati internamente, il che significa lavorare sul codice che muove la Banca. Responsabilità dirette su un perimetro d’azione rilevante, all’interno di una funzione con peso strategico. Esposizione regolamentare strutturata, inclusa DORA, che rende la sicurezza del software parte integrante della governance complessiva.

Sede di lavoro: Milano (alternanza presenza in sede e smart working)

Il Gruppo Fineco è orgoglioso di essere un Equal Opportunity Employer e si impegna a creare un ambiente di lavoro sicuro e inclusivo, fondato sul rispetto reciproco e la valorizzazione di qualsiasi diversità, offrendo pari opportunità di lavoro. Fineco “The Place To Be”