L'interconnessione dei servizi e l'uso degli strumenti digitali rende gli intermediari finanziari esposti a crescenti rischi informatici: perciò sia a livello europeo che nazionale si mettono a punto nuove regole per aumentare la resilienza delle banche agli attacchi. Ecco gli strumenti già adottati, in attesa del Regolamento DORA, che dal 2025 imporrà una rivoluzione
La digitalizzazione dei servizi, la globalizzazione e l’esplosione dell’era FinTech sono elementi che hanno fatto molto riflettere e di conseguenza condotto a profondi cambiamenti nello scenario degli intermediari finanziari.
Oggi non si può nemmeno ipotizzare di fornire servizi finanziari senza l’utilizzo di strumenti digitali, soluzioni software e servizi connessi di dati. Non si parla solo di pagamenti digitali, ma di onnipresenza del digitale nei servizi forniti dalle banche: l’interconnessione dei sistemi con i mercati ha accresciuto il rischio di vulnerabilità ed enfatizzato l’importanza di considerare correttamente e in maniera onnicomprensiva il rischio informatico. Il mantra è diventato dunque essere “resilienti” a tali rischi: non solo rischi operativi, ma rischi informatici a tutto tondo.
La non piena armonizzazione delle regole a livello europeo non aiuta; gli incidenti informatici sono a tutt’oggi una delle maggiori preoccupazioni di intermediari ed Autorità di Vigilanza, perché possono minare sia la continuità operativa degli intermediari stessi (impedendo dunque ai clienti di usufruire dei servizi offerti), sia creare un rischio di violazione della disciplina in tema di protezione dei dati personali.
L’ambito IT è dunque stato oggetto, anche a livello europeo, di una produzione legislativa molto proficua negli ultimi anni, cercando di colmare questi gap: esempi da citare (certamente parziali e meramente esemplificativi) possono essere il Digital Services Act, il Digital Market Act, la Direttiva sulla sicurezza delle reti e dei sistemi informativi nell’Unione (NIS)1, il Regolamento europeo sulle criptovalute (MICA) ecc., in attesa della prossima normativa sull’intelligenza artificiale2.
A livello domestico, col 40° aggiornamento della Circolare della Banca d’Italia n. 285/2013, in attuazione degli Orientamenti ESMA, si sono rese più stringenti le previsioni sulla gestione del rischio ICT e di sicurezza, rafforzando altresì le previsioni in materia di governance e di compiti degli organi aziendali al riguardo.
In altre parole, si è presa piena consapevolezza della rilevanza primaria di tali rischi, che devono essere trattati separatamente dai rischi operativi e che richiedono una imprescindibile attenzione per la loro gestione e monitoraggio.
Al riguardo, tra i principali elementi di novità, le nuove regole prevedono che le banche si dotino di una funzione di controllo di secondo livello per la gestione e il controllo dei rischi ICT e di sicurezza, con la richiesta di specifiche competenze, budget e capacità di azione.
Anche gli organi sociali sono più responsabilizzati sul tema, enfatizzandosi i loro poteri e le loro responsabilità in merito alla gestione di tali tipologie di rischi. In particolare, la definizione e l’approvazione della strategia ICT (in capo al CdA)3 è diventata un elemento essenziale per il sistema di gestione del rischio informatico e per l’individuazione di priorità4, elementi di debolezza e definizione dei processi, per una tempestiva risposta ad eventuali eventi/incidenti che possano minare l’operatività dell’intermediario.
Il processo di gestione dei rischi ICT e di sicurezza diventa pertanto uno dei principali (se non il principale) punto di attenzione per gli intermediari; in tale ambito il “colloquio” ed il reporting verso l’Autorità Vigilanza è divenuto un punto cruciale: ad essa infatti vanno notificati tempestivamente tutti i gravi incidenti operativi o di sicurezza, specificando i disservizi provocati agli utenti interni e alla clientela, nonché degli altri dati e informazioni previsti dalle istruzioni emanate dalla Banca d’Italia.
La “corsa” dei rischi ICT è però solo cominciata.
I rischi sistemici che l’ambito informatico comporta richiedono un aumento della resilienza degli intermediari e la produzione legislativo-regolamentare non si fermerà. Tutt’altro.
Una pietra miliare diventerà infatti il Regolamento europeo sulla resilienza operativa digitale per il settore finanziario (DORA), che dovrà essere ancora implementato dai relativi Technical Standards, ma che si candida probabilmente (si applicherà a decorrere dal 17 gennaio 2025) al titolo di provvedimento che “costringerà” gli intermediari ad un potente restyling gestorio, normativo, operativo e che richiederà investimenti ingenti per essere pienamente compliant.
Su cosa occorrerà porre l’attenzione?
La gestione dei rischi informatici5 dovrà essere solida e adeguatamente documentata, in modo che la risposta a tali rischi sia tempestiva ed efficiente. La responsabilità per la gestione dei rischi informatici dell’entità finanziaria sarà in capo all’organo di gestione dell’intermediario.
Ci si dovrà dotare di strategie, politiche, procedure, protocolli e strumenti necessari per proteggere debitamente e adeguatamente tutti i patrimoni informativi e le risorse dell’intermediario. La legge ne richiede espressamente l’affidabilità.
La protezione e la prevenzione da tali rischi dovrà diventare probabilmente la principale voce per gli investimenti da adottare da parte degli intermediari, al precipuo fine di incrementare e solidificare la loro resilienza, a protezione della loro clientela.
Il controllo di tali rischi dovrà essere più efficace e specifico: la specifica funzione di controllo (di secondo livello) ad essi dedicati dovrà essere indipendente e adeguatamente attrezzata, sia da un punto di vista di know-how sia di mezzi economici a disposizione (fermo restando comunque l’ulteriore attività di controllo di terzo livello già prevista in capo all’internal Audit).
Le procedure e metodi di ripristino e recupero dovranno ridurre al minimo il periodo di inattività e limitando le perdite per l’intermediario e per la clientela.
Gli incidenti informatici dovranno essere identificati e gestiti con estrema profondità (i sistemi di detection delle minacce informatiche rilevanti dovranno essere sempre aggiornate ed al passo con i tempi per scongiurare il pericolo che i sistemi IT perdano l’integrità, divengano indisponibili o vi siano sottrazioni di dati personali dei clienti), incluse le dovute segnalazioni alle Autorità competenti, privilegiando la ripresa delle attività e le azioni di ripristino conformemente alle politiche di backup.
Da quanto sopra emerge con chiarezza che non si danno “scuse” agli intermediari e nessuna possibilità di essere non performanti nella gestione di tali rischi a 360 gradi.
Il programma di test di resilienza operativa digitale sarà essenziale: da esso si potranno identificare le carenze da “sanare” e i punti di debolezza in termini di sicurezza e resilienza operativa digitale. Di conseguenza, dagli esiti di tale test l’intermediario potrà settare e modellare le proprie metodologie, i processi e gli strumenti da applicare.
Strumenti per gestire adeguatamente anche i rischi non “propri”, ma derivanti da terzi (collaboratori, fornitori ecc.): i rapporti negoziali con i terzi dovranno tenere adeguatamente di ciò, dovendo l’intermediario valutare caso per caso rischi, costi e benefici (anche in caso di subappalto6, che non potrà comunque incidere sulla capacità di monitorare pienamente le attività appaltate e subappaltate). Ciò in quanto l’interconnessione e l’interdipendenza tra i sistemi informativi degli operatori del mercato rende tale rischio “indiretto” di assoluto rilievo per la business continuity, considerato che terzi fornitori di servizi digital possono essere colpiti da gravi incidenti informatici7, che si ripercuoterebbero sull’efficienza dell’intermediario stesso, nonché sulla fiducia sull’intero sistema finanziario.
La resilienza ai rischi ICT dovrà essere dunque considerata in maniera assoluta e non relativa e parziale; anche quest’ultima dovrà essere monitorata costantemente e dovrà far parte della strategia approvata dagli organi di vertice.
Le attività dovranno essere ongoing e non statiche; in altre parole, gli intermediari dovranno periodicamente testare il grado di efficienza dei propri sistemi IT ed anche del proprio personale: le entità finanziarie dovrebbero sottoporre periodicamente a test i propri sistemi informatici e il proprio personale per valutare l’efficacia delle relative capacità di prevenzione, individuazione, risposta e ripristino in risposta ad eventuali vulnerabilità riscontrate. Il percorso “circolare” predisposto dovrebbe assicurare un’attenzione particolare e una efficienza costante di tutti gli strumenti a disposizione.
L’obiettivo è di assoluto rilievo: ridurre al minimo l’impatto dei rischi informatici applicando strategie, politiche, procedure, protocolli e strumenti in materia di tecnologie dell’informazione e della comunicazione adeguati per assicurare una resilienza tecnologica che consenta di fare adeguatamente fronte alle esigenze di trattamento aggiuntive derivanti da condizioni di stress del mercato o da altre situazioni avverse.
Si aspetta chiaramente anche il contributo delle Autorità di Vigilanza, auspicandosi una piena armonizzazione con la soft law di loro pertinenza, nonché delle esaustive e complete regolamentazioni per implementare le regole del Regolamento DORA. Nondimeno, sarà essenziale considerare tutti gli aspetti complementari a questa legislazione, primi tra tutti gli aspetti privacy.
L’impianto sarà corroborato da sanzioni amministrative (efficaci e dissuasive) e sanzioni penali che fungeranno da ulteriore stimolo per gli intermediari ad una completa compliance.
I tempi sono cambiati ed i profili di rischio del business finanziario sono oramai orientati sul mondo digitale ed in futuro lo saranno ancora di più. I rischi informatici continueranno a “correre” e gli intermediari dovranno “seguirli”, adottando policy, procedure e strumenti per arrivare ad una solida struttura complessiva della gestione dei rischi informatici in modo olistico.
Riusciranno stavolta gli intermediari e il diritto in generale a inseguire ed a raggiungere tali rischi8?
Probabilmente la corretta implementazione di quanto stabilito dal Regolamento DORA ci darà una prima risposta.
* Le opinioni espresse dall’autore nel presente contributo sono da considerarsi esclusivamente a titolo personale e non impegnano in nessun modo l’Istituto di appartenenza.
1 Successivamente sostituita ed abrogata dalla Direttiva (UE) 2022/2555
2 La priorità in sede di discussione da parte del Parlamento europeo sarà quella di assicurarsi che i sistemi di intelligenza artificiale utilizzati nell’UE siano sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente.
3 Con riguardo all’esercizio della responsabilità di supervisione della gestione del rischio ICT e di sicurezza, lo stesso organo: approva il quadro di riferimento organizzativo e metodologico per la gestione del rischio ICT e di sicurezza, promuovendo l’opportuna valorizzazione dell’informazione sul rischio tecnologico all’interno della funzione ICT e l’integrazione con i sistemi di misurazione e gestione dei rischi (in particolare quelli operativi, reputazionali e strategici). Il quadro di riferimento è rivisto almeno annualmente, anche alla luce dell’esperienza acquisita durante la sua attuazione e il suo monitoraggio, in un’ottica di continuo miglioramento; approva la propensione al rischio ICT e di sicurezza, avuto riguardo ai servizi interni e a quelli offerti alla clientela, in conformità con gli obiettivi di rischio e il quadro di riferimento per la determinazione della propensione al rischio definiti a livello aziendale (cfr. Capitolo 3, Allegato C della Circolare 285/13); è informato in maniera chiara e tempestiva, e in ogni caso con cadenza almeno annuale, sulla situazione di rischio ICT e di sicurezza rispetto alla propensione al rischio, inclusi i risultati della valutazione dei rischi.
4 I documenti interni degli intermediari dovranno includere tutti gli elementi necessari per tutelarsi da tali rischi: Documento di indirizzo strategico, Metodologia di gestione del rischio ICT e di sicurezza, Policy di sicurezza dell’informazione, Standard di data governance, Piani d’azione per l’attuazione della strategia ICT, Procedure e processi di gestione delle operazioni ICT, Piani specifici di formazione.
5 Secondo il DORA i «rischi informatici» sono considerati “qualunque circostanza ragionevolmente identificabile in relazione all’uso dei sistemi informatici e di rete che, qualora si concretizzi, può compromettere la sicurezza dei sistemi informatici e di rete, di eventuali strumenti o processi dipendenti dalle tecnologie, di operazioni e processi, oppure della fornitura dei servizi causando effetti avversi nell’ambiente digitale o fisico”.
6 Per tale tipologia negoziale andranno valutati tutti i rischi connessi, quali ad esempio quelli relativi alla giurisdizione adottata per il rapporto negoziale ovvero l’applicabilità delle previsioni in materia di trattamento dei dati personali.
7 Gli incidenti informatici hanno la capacità distintiva di moltiplicarsi e propagarsi in tutto il sistema finanziario a un ritmo notevolmente più rapido rispetto ad altri tipi di rischi monitorati nel settore finanziario e possono estendersi a tutti i settori e oltre i confini geografici. Sono potenzialmente in grado di evolvere verso una crisi sistemica.
8 Si vuole parafrasare quanto affermato da Guido Rossi nel contributo “Diritto e mercato”, in Rivista delle società, 1998, p. 1448, nel quale affermava che: “la vita del mercato si ribella a qualunque definizione rigorosa e costringe il diritto ad inseguirlo, proprio per evitarne il fallimento”.