Rischi ICT nelle banche e assicurazioni: normativa e gestione efficaceArticolo a cura di Alessandro Salibra Bove, Partner
Il nuovo quadro normativo nazionale ed europeo per i rischi ICT
- Requisiti di vigilanza per la gestione dei rischi ICT
- Le novità normative per Banche e Assicurazioni
- Quali rischi valutare oltre il Cyber Risk
- Gli impatti sui processi dell’IT Governance
- Come gestire e monitorare i rischi ICT
Le Autorità europee di vigilanza per banche e assicurazioni – EBA ed EIOPA – hanno da tempo posto l’attenzione sui rischi connessi all’utilizzo delle tecnologie dell’informazione e della comunicazione.
Un percorso culminato con l’emanazione definitiva delle rispettive linee guida in materia di governo e gestione dei rischi in ambito ICT, in vigore a partire dal 2020[1].
Linee guida in materia di governo e gestione dei rischi in ambito ICT
40° Aggiornamento delle Disposizioni di vigilanza per le banche [Circolare n. 285/2013]
Regolamento recante disposizioni in materia di sistema di governo societario [Regolamento n. 38/2018]
Digital Operational Resilience Act – DORA [Regolamento UE n. 2022/2554]
Sono stati conseguentemente ampliati e rafforzati i requisiti della vigilanza per la gestione di questi rischi, che hanno riguardato:
- il governo dell’ICT
- la sicurezza delle informazioni
- l’operatività tecnica
- la gestione del cambiamento e della continuità operativa
Nuove disposizioni per le Banche
Per quanto riguarda le banche, è in questo contesto che si inserisce il recente 40° aggiornamento alla Circolare 285/2013 della Banca d’Italia, finalizzato a dare completa attuazione alle Linee Guida EBA.
L’aggiornamento ha introdotto rilevanti novità sul governo del sistema informativo e sulla gestione del rischio ICT:
- più puntuale definizione delle responsabilità per il governo del sistema informativo
- più ampia definizione del rischio ICT, comprendente i processi interni, la sicurezza fisica e la capacità di sostituzione della tecnologia IT con tempi e costi ragionevoli (c.d. lock-in risk)
- la necessità di dotarsi di una funzione di controllo per la gestione e il monitoraggio dei rischi ICT e di sicurezza
- piena integrazione del processo di gestione dei rischi ICT con il processo di gestione dei rischi della banca (Risk Appetite Framework)
Le Banche dovranno adeguarsi entro il 30 giugno 2023 e avranno tempo fino al 1° settembre per trasmettere alla Banca d’Italia una relazione che descriva gli interventi.
Nuove disposizioni per le Assicurazioni
Anche le disposizioni per le Assicurazioni, contenute nelle linee guida EIOPA, sono sostanzialmente analoghe a quanto definito dall’EBA.
Al netto di quanto già previsto da IVASS con il Regolamento n. 38/2018, il pieno recepimento di tali previsioni nella regolamentazione secondaria IVASS è, ragionevolmente, di prossima attuazione[2].
Le novità dall’Europa
Questo quadro normativo si è ulteriormente ampliato con la recente emanazione del regolamento UE 2022/2554 relativo alla resilienza operativa digitale per il settore finanziario (Digital Operational Resilience Act – DORA) che troverà applicazione a partire da gennaio 2025.
Il regolamento, destinato alle istituzioni finanziarie e alle assicurazioni, prevede una disciplina particolarmente articolata in merito a:
- gestione dei rischi informatici, compresi quelli derivanti da terze parti
- gestione, classificazione e segnalazione degli incidenti informatici
- test di resilienza operativa digitale
Oltre il Cyber Risk
Nel perimetro ampio dei rischi ICT, quello del cyber risk occupa da tempo una posizione di primo piano.
Per cyber risk si può intendere:
- il rischio connesso alla gestione delle informazioni per mezzo del sistema informativo di un’organizzazione (banche dati, hardware, software)
- rischio che le informazioni possano essere violate, rubate o cancellate a causa di eventi accidentali o di azioni dolose, come per esempio attraverso attacchi hacker.
Come è giusto che sia, il cyber risk riscuote da diversi anni una attenzione sempre maggiore da parte dei regulators e del mercato.
Questa attenzione – a volte alimentata impropriamente da alcuni media, vendor e altri attori interessati – ha spinto molti operatori a identificare tout court il perimetro dei rischi ICT con il cyber risk.
Ma è veramente così? È questo l’approccio che riflette le aspettative dei Regolatori, oppure il perimetro dei rischi ICT comprende altri rischi di rilevanza paragonabile? E se del caso, quali potrebbero essere?
Proviamo a formulare qualche ipotesi nel seguito.
Gli impatti per l’IT Governance
Secondo una definizione comunemente accettata, il governo delle informazioni e della tecnologia ad esse correlata – IT Governance – è “responsabilità diretta del consiglio di amministrazione e del management esecutivo. È parte integrante della governance aziendale ed è costituita dalla direzione, dalla struttura organizzativa e dai processi in grado di assicurare che l’IT supporti ed estenda gli obiettivi e le strategie dell’organizzazione”[3].
Quali potrebbero essere, dunque, i principali rischi che insistono sui processi di governo e gestione dell’IT e che, come tali, possono influire negativamente sulla capacità di perseguire gli obiettivi e le strategie di un’organizzazione?
Per rispondere ci viene in aiuto – tra le altre pubblicazioni di interesse – l’ultimo Emerging Risk Report di Gartner. I rischi analizzati ricadono in 5 principali categorie:
- climatici
- economici
- tecnologici
- geo-politici
- relativi alla forza lavoro
Tra questi, i principali rischi emergenti che possono avere impatto sulla capacità di governo del sistema informativo delle organizzazioni sono:
- inadeguato governo del Software as a Service
- disponibilità di personale con le competenze IT necessarie
- concentrazione dei servizi cloud prestati da un unico fornitore
Vediamo più in dettaglio alcune caratteristiche di questi rischi.
I rischi emergenti
Governo del Software as a Service
Le soluzioni Software as a Service (SaaS) offrono una copertura sempre più ampia per il supporto di tutti i processi aziendali (es. CRM, Supply Chain, Core Operations) e consentono tempi di attivazione particolarmente rapidi.
La semplicità di attivazione e utilizzo di queste soluzioni fa sì che spesso queste vengano acquistate ed utilizzate direttamente dalle unità aziendali interessate, senza un adeguato coinvolgimento dell’IT, dando luogo al così detto shadow IT (IT “ombra”).
I rischi che derivano da un inadeguato governo delle soluzioni SaaS – probabilmente destinate a diventare il modello di riferimento per l’informatica dei prossimi anni – riguardano pertanto molteplici aspetti:
- prestazioni e disponibilità dei sistemi
- sicurezza dei dati
- integrazione con altri sistemi
Disponibilità di competenze IT
Le competenze necessarie al personale IT, affinché possa supportare con efficacia il perseguimento degli obiettivi aziendali, sono notevolmente diversificate ed in continua evoluzione: tecnologie, processi di gestione dell’IT, metodologie di sviluppo software, gestione progetti.
Mentre le strategie delle aziende si basano sempre di più sulle tecnologie digitali (Internet, analytics, AI), le aree IT stanno incontrando difficoltà crescenti nel trattenere il personale più qualificato e a sviluppare le competenze della propria forza lavoro in generale.
Concentrazione dei servizi cloud
Oltre che per le soluzioni SaaS viste in precedenza, il mercato dei servizi cloud ha conosciuto negli ultimi anni un notevole sviluppo per l’offerta di IaaS – Infrastructure as a Service (es. macchine server e reti virtuali) e di PaaS – Platform as a Service (es. ambienti server pronti all’uso).
L’opportunità di disporre di un’unica architettura cloud fortemente integrata e dunque più facilmente gestibile – nonché la possibilità di ottenere condizioni economiche più vantaggiose – ha favorito in molti casi il ricorso ad un unico Cloud Service Provider (CSP) anziché a più di un provider.
I rischi per le organizzazioni che basano la propria operatività esclusivamente, o quasi esclusivamente, su di un unico CSP riguardano principalmente il così detto vendor lock-in, ovvero il vincolo di eccessiva dipendenza che si istaura con il fornitore.
Come gestire e monitorare il rischio ICT?
Come abbiamo visto, la completezza del perimetro dei rischi ICT da gestire è un elemento chiave per l’adeguatezza delle attività di risk management.
Ma come possiamo verificare con efficacia la completezza di tale perimetro e dei controlli posti a presidio?
Ci possono venire sicuramente in aiuto differenti framework e standard a disposizione su questo tema.
Tra i vari, citiamo in questa sede COBIT – Control Objectives for Information Technologies di ISACA. Più in particolare, COBIT – Design guide contiene 103 esempi di ICT risk suddivisi in 19 categorie, tra i quali:
- Inadeguata selezione del software per performance, costi, funzionalità, compatibilità
- Eccessiva dipendenza da software sviluppato ad hoc e/o da utenti finali
- Eccessiva dipendenza da personale IT chiave
- Inadeguata performance degli outsourcer
Per ciascuna categoria di rischio è inoltre presente un cross reference ai processi IT e alle attività di controllo.
Oltre ad aver verificato la completezza del perimetro degli ICT risk gestiti e dei relativi controlli a presidio, è
altrettanto importante monitorare nel continuo i rischi più rilevanti per mezzo di un set di KRI che siano significativi e al tempo stesso facilmente rilevabili.
Naturalmente, è opportuno dotarsi di una soluzione che consenta di valutare e monitorare gli ICT risk con efficacia e
senza impattare sull’operatività del risk management e dei process owner.
Considerata l’ampiezza e la rilevanza del tema, difficilmente i fogli di calcolo inviati per email possono offrire un adeguato supporto al processo descritto.
RICHIEDI UN INCONTRO
Desideri avere maggiori informazioni o richiedere un incontro con i nostri consulenti?