La resilienza operativa digitale per il settore finanziario

Il settore finanziario nel contesto europeo.

Secondo i dati della Commissione europea, i costi degli incidenti operativi nel settore finanziario potrebbero oscillare tra i 2 e i 27 miliardi di euro all'anno. Ciò dimostra che le imprese finanziarie sono diventate il bersaglio di attacchi informatici che possono causare gravi danni patrimoniali e/o reputazionali per i consumatori e le imprese.

Complici di questa vulnerabilità sono anche i legislatori, nazionali ed europei, che negli ultimi anni hanno determinato un proliferare di normative, regolamenti e approcci di vigilanza così diversificati da favorire metodologie divergenti e scarsamente efficaci in termini di gestione dei rischi ICT. Nella scheda tecnica dell'audizione della Consob si legge infatti che i "requisiti relativi alla gestione del rischio ICT nel settore finanziario dell'Unione europea sono dispersi in diverse normative (e.g., MIFID, PSD2, EMIR, direttiva NIS) e nelle linee guida emesse dalle Autorità di vigilanza europee, che nel 2019 avevano sottolineato la necessità di adottare un approccio più coerente nell'affrontare i rischi ICT nel settore finanziario. Si è assistito all'emanazione di direttive di armonizzazione minima o di regolamenti basati su principi che lasciavano un ampio spazio per l'adozione di approcci divergenti nel mercato unico. Ne è conseguito un proliferare di iniziative normative nazionali e di approcci alla vigilanza diversificati, con scarsa efficacia a fronte della natura transfrontaliera dei rischi."

Dunque il Pacchetto Europeo sulla Finanza Digitale si pone un importante obiettivo: colmare le lacune e le distorsioni nella legislazione europea vigente e garantire che il quadro giuridico europeo infonda affidabilità e non ostacoli l'uso di nuovi strumenti finanziari digitali.

Il pacchetto, infatti, sostiene l'innovazione e la digitalizzazione a condizione che vi sia un solido meccanismo di governance idoneo a garantire un livello adeguato di protezione dei consumatori e degli investitori.

Il Regolamento DORA: obiettivi, principi e previsioni.

La disciplina relativa alla resilienza digitale per il settore finanziario è contenuta nella Proposta di Regolamento relativo alla resilienza operativa digitale, depositata a Bruxelles in data 24 settembre 2020. Precisamente tale normativa si inserisce in un pacchetto normativo ben più ampio che comprende tre diverse proposte: la prima sui mercati delle cripto-attività (MiCA), la seconda – come detto - sulla resilienza operativa digitale (DORA) e infine, la terza, sulla tecnologia di registro distribuito (DLT).

In data 24 novembre 2021, il Consiglio ha adottato la sua posizione sul regolamento sui mercati delle cripto-attività (MiCA) e sulla resilienza operativa digitale (DORA).

L'accordo costituisce il mandato negoziale del Consiglio per aprire e svolgere i negoziati di trilogo con il Parlamento europeo.

Rimanendo nel focus della resilienza digitale dei sistemi informativi e delle tecnologie, l'emanazione e la successiva entrata in vigore della proposta di Regolamento DORA è presumibilmente prevista solo dopo l'estate 2022.

A seguito della sua entrata in vigore, ferma la fase transitoria per l'adeguamento alle nuove disposizioni, il Regolamento DORA diventerà obbligatorio per tutte le entità in ambito Financial Services secondo il principio di proporzionalità, ovvero con alcune previsioni non applicabili per le micro imprese.

L'elemento innovativo di maggior rilievo riguarda proprio l'ambito di applicazione soggettivo previsto all'articolo 2 in quanto prevede che le misure contenute dal Regolamento dovranno essere adottate dai seguenti soggetti: enti creditizi; istituti di pagamento; istituti di moneta elettronica; imprese di investimento; fornitori di servizi per le cripto-attività, emittenti di cripto-attività, emittenti di token collegati ad attività ed emittenti di token collegati ad attività significativi; depositari centrali di titoli; controparti centrali; sedi di negoziazione; repertori di dati sulle negoziazioni; gestori di fondi di investimento alternativi; società di gestione; fornitori di servizi di comunicazione dati; imprese di assicurazione e di riassicurazione; intermediari assicurativi, intermediari riassicurativi e intermediari assicurativi a titolo accessorio; enti pensionistici aziendali o professionali; agenzie di rating del credito; revisori legali e imprese di revisione; amministratori degli indici di riferimento critici; fornitori di servizi di crowdfunding; repertori di dati sulle cartolarizzazioni; fornitori terzi di servizi ICT.

Ulteriori elementi innovativi riguardano certamente l'armonizzazione degli adempimenti relativi alla stesura di specifiche strategie, politiche, procedure e strumenti interni come dispositivi di governance e l'introduzione di obblighi in materia di testing e reporting come strumenti di gestione dei rischi ICT.

Sul punto occorre considerare che alcune tipologie di enti finanziari saranno più mature rispetto ad altre nell'adottare o semplicemente nell'aggiornare i meccanismi di governance così come declinati dalla norma. Ciò in funzione della normativa regolatoria già in vigore, come nel caso specifico del mondo bancario o assicurativo con le circolari e i regolamenti tipici nel governo societario e nei modelli di controllo. Meno preparati saranno invece settori come enti pensionistici aziendali o professionali, le agenzie di rating del credito, i revisori legali e imprese di revisione o ancora i fornitori di servizi ICT.

Di conseguenza l'armonizzazione che intende apportare il Regolamento DORA rappresenta una vera sfida legislativa e regolatoria in termini di complessità e coerenza tra settori diversi convergenti tutti sotto un'unica famiglia, ovvero quella dell'ente finanziario. I legislatori e le autorità di vigilanza dovranno impegnarsi a garantire l'obiettivo di un quadro normativo omogeneo e solido nella strutturazione della gestione dei rischi ICT.

Altro elemento importante, anche se non estraneo al settore bancario poiché già disciplinato dalla Circolare 285/2013 di Banca d'Italia, è l'obbligo per gli enti finanziari di identificare, classificare, documentare adeguatamente tutte le funzioni commerciali connesse alle tecnologie, i patrimoni di informazione e dati su cui si fondano tali funzioni, la configurazione dei sistemi e le interconnessioni interne ed esterne.

In altri termini, gli enti finanziari saranno obbligati, in modo più strutturato, ad avere un governo dei dati e delle informazioni con l'obiettivo di individuare tempestivamente le anomalie.

Per rendere efficace l'applicazione delle misure previste e per garantire completezza del modello di gestione dei rischi ICT, con il Regolamento DORA sarà quindi necessario analizzare e mappare gli adempimenti ivi disposti in modo da riconoscere e confrontare tutti i requisiti riconducibili ai seguenti asset:

• Organizzazione: con i requisiti relativi a organi/comitati, strutture e/o ruoli da adottare e alle responsabilità da attribuire formalmente all'interno dell'organizzazione;

• Persone: con i requisiti relativi a corsi di sensibilizzazione e formazione da dover attivare per poter sviluppare e migliorare le competenze del personale;

• Documentazione: con i requisiti relativi alla documentazione da predisporre per poter essere conformi a quanto previsto dal nuovo Regolamento;

• Processi: con i requisiti relativi ad attività da svolgere e agli approcci metodologici da adottare per rispettare gli adempimenti richiesti da norme e leggi;•Informazioni e dati: con i requisiti relativi a informazioni e dati da identificare, classificare, utilizzare e conservare nell'ambito dei processi volti a garantire la conformità;

• Infrastruttura e applicazioni: con i requisiti relativi a infrastrutture e applicazioni da adottare e alle relative misure di sicurezza tecniche e organizzative da implementare per adeguarsi alle nuove prescrizioni;

• Rischi e controlli: con i requisiti relativi a rischi connessi al mancato adeguamento al DORA e a controlli da programmare e eseguire.

Sotto questo profilo, è importante considerare che la metodologia adottata per definire gli obblighi inerenti il governo e la gestione dei rischi ICT dovrà apparire solida, esaustiva e documentata e, al contempo, dovrà assicurare un elevato livello di resilienza operativa commisurata alle esigenze, alle dimensioni e alla complessità dell'attività commerciale.

Di conseguenza, gli enti finanziaria dovranno debitamente considerare da un lato il principio di accountability per documentare la strategia di gestione della resilienza operativa e, dall'altro, il principio di proporzionalità per individuare e scegliere in modo sostanziale quell'insieme di regole e misure in grado di assicurare un'adeguata protezione degli asset logici e fisici alle esigenze commerciali, al dimensionamento e alle relative risorse.

Specificatamente alcune disposizioni saranno applicabili esclusivamente alle entità finanziarie che non rientrano nella definizione di micro impresa come ad esempio introdurre complesse disposizioni di governance e funzioni di gestione dedicate, di effettuare valutazioni approfondite dopo le modifiche di rilievo delle infrastrutture critiche di reti e di sistemi informativi, di compiere periodicamente analisi dei rischi sui sistemi ICT esistenti, di ampliare i test sulla continuità operativa e i piani di risposta e ripristino per descrivere gli scenari di passaggio tra le infrastrutture di ICTprimarie.

Quadro di gestione dei rischi ICT

Il Regolamento DORA disegna un vero e proprio framework di risk management , nel quale sono rappresentate una serie di misure volte alla definizione di un chiaro processo end-to-end di gestione del rischio. Sotto questo aspetto, ferme le condizioni di applicazione soggettiva dedicate alle micro imprese, i principali step che le entità finanziarie saranno tenute a definire un quadro di gestione dei rischi ICT, che includa l'adozione di strumenti e sistemi capaci di:

1.minimizzare l'impatto dei rischi;

2.individuare costantemente le fonti di rischio e tempestivamente gli eventi anomali;

3.introdurre nuove misure di protezione e prevenzione;

4.adottare le strategie di continuità operativa e di piani di ripristino;

5.adottare un solido ed esaustivo programma di test di resilienza operativa digitale, al fine di identificare punti deboli, carenze o lacune e di mettere in atto tempestivamente misure correttive.

Quanto ai rischi relativi alle TIC derivanti dalle terze parti, questi devono essere individuati e gestiti come una componente integrante nel proprio quadro di gestione dei rischi conformemente al principio di responsabilità, proporzionalità e di accountability.

Con riferimento al profilo contrattuale, il Regolamento DORA, in un'ottica di continuità rispetto all'orientamento intrapreso dall'Unione Europea negli ultimi anni, individua analiticamente i requisiti minimi che le entità finanziarie devono necessariamente ricomprendere all'interno degli accordi contrattuali stipulati con fornitori di servizi TIC.

In particolare, il legislatore europeo ha ribadito che i diritti e gli obblighi delle parti contrattuali devono essere attribuiti in modo chiaro e puntuale, comprendendo anche gli accordi sul livello dei servizi. Tra i vari elementi tipici del contratto, si citano inoltre, a titolo esemplificativo, gli obblighi di segnalazione, di assistenza in caso di incidente e di cooperazione in capo al fornitore nonché i diritti di accesso, ispezione e audit da parte dell'entità finanziaria

In conclusione

L'Unione Europea ha aperto la strada ad una rivoluzione tecnologica per gli operatori economici del settore, i quali dovranno farsi trovare pronti per fare i conti con le nuove disposizioni normative e scongiurare l'applicazione di potenziali sanzioni amministrative che, come prescritto dall'art. 44 dello stesso Regolamento, dovranno essere efficaci, proporzionate e dissuasive.

* di Maria Cristina Daga, Avvocato e Partner in Partners4Innovation Srl