Entro il primo settembre 2023 le banche dovranno inviare una relazione a Banca d’Italia che descriva gli interventi effettuati per adeguarsi alle nuove disposizioni contenute nel 40° aggiornamento della Circolare 285 relativa alle “Disposizioni di Vigilanza delle Banche”.
I nuovi adempimenti danno attuazione agli “Orientamenti sulla gestione dei rischi relativi alle tecnologie dell’informazione (ICT) e di sicurezza” emessi da EBA (European Banking Authority) nel settembre 2019 e modificano pertanto il Capitolo 4 “Il sistema informativo” e il Capitolo 5 “La continuità operativa” della Parte Prima, Titolo IV della Circolare.
L’atto di emanazione di Banca d’Italia chiedeva che le banche si adeguassero ai nuovi adempimenti entro il 30 giugno 2023.
Qui di seguito si analizzeranno le principali novità introdotte nei Capitoli 4 e 5 della Circolare indicando l’ambito di applicazione, le principali motivazioni alle base e gli impatti che essi avranno sulle banche.
Governo, organizzazione e controlli del Sistema Informativo
La principale novità in tale ambito è la richiesta che le banche si dotino di una funzione di controllo di 2° livello per la gestione e il controllo dei rischi ICT e di sicurezza che avrà la principale responsabilità di gestire e supervisionare i rischi ICT e di sicurezza.
La nuova funzione di controllo deve soddisfare i requisiti previsti dalle normative europee ed italiane per le funzioni di controllo di 2° livello (riporto diretto al Management aziendale, corretto posizionamento gerarchico, non coinvolgimento nelle attività operative, separazione e indipendenza con le altre funzioni di controllo,…) e deve essere informata su qualsiasi attività o evento che influenzi in un qualche modo il profilo di rischio della banca, gli incidenti operativi o di sicurezza significativi, nonché qualsiasi modifica sostanziale ai sistemi e ai processi ICT.
Tale novità, che si può considerare la più rilevante tra quelle introdotte dall’aggiornamento della Circolare, deriva dalla elevata importanza che tali rischi hanno assunto per le banche negli ultimi anni e anche dalla tendenza rilevata in passato nelle banche di assegnare le attività di gestione di tali rischi al CISO il quale, come è noto, è generalmente molto legato alle funzioni tecniche e spesso coinvolto in attività più operative che di controllo di tali rischi.
Banca d’Italia offre la possibilità che i compiti di tale funzione siano ripartiti tra le funzioni di controllo esistenti (Risk e Compliance) per quanto di competenza, a condizione che siano assicurati il corretto svolgimento dei compiti, le necessarie competenze tecniche e che non si alteri l’efficacia dei controlli su tali rischi.
Questa è stata la scelta effettuata dalla maggior parte delle banche visti gli stretti tempi di adeguamento richiesti. Va comunque considerato che tale scelta, seppur implementabile in tempi ridotti, richiede comunque che le due funzioni di controllo, ed in particolare la funzione Risk sulla quale ricadono la maggior parte dei compiti richiesti per la nuova funzione, si dotino di presidi specifici sui rischi ICT e di Sicurezza acquisendo competenze e personale al momento non esistenti.
Per il resto, in tale ambito, oltre a confermare gli adempimenti esistenti, Banca d’Italia ha meglio specificato e rafforzato i compiti degli organi sociali e in particolare dell’Organo di Supervisione Strategica (OFSS), assunto dal Consiglio di Amministrazione della banca.
Particolare enfasi è stata posta sulla Strategia ICT per la quale si richiede che siano generati dei Piani di Azione approvati dall’OFSS, monitorati dall’Organo con Funzione di Gestione (OFG), ruolo in genere ricoperto dall’Amministratore Delegato della banca quando esistente, che riporta costantemente all’OFSS.
Tale adempimento ha la principale finalità di rendere la strategia ICT un elemento centrale e significativo per la banca e non, come succede generalmente oggi, uno documento quasi mai applicato realmente.
La gestione del rischio ICT e di sicurezza
In tale ambito, Banca d’Italia rimanda direttamente alle relative sezioni degli Orientamenti EBA fornendo delle specificazioni sulla loro applicazione.
Gli Orientamenti EBA dettagliano in maniera specifica come un processo di gestione dei rischi ICT e di Sicurezza debba essere svolto al fine di evitare, come successo in passato, interpretazioni sul tema che hanno prodotto in passato processi di gestione dei rischi ICT e di Sicurezza non del tutto efficaci.
Non stupisce pertanto che le maggiori novità introdotte sono relative a:
- revisione annuale di tutto il framework di gestione dei rischi ICT e di Sicurezza, con ri-approvazione da parte dell’OFSS, sulla base dell’esperienza svolta e delle nuove minacce riscontrate in ottica di miglioramento continuo;
- predisposizione di un inventario degli asset ICT che stabilisca in maniera chiara le responsabilità su di essi e che riporti tutte le informazioni utili per la valutazione dei rischi ad essi afferenti (es. funzioni aziendali, processi, soggetti terzi, interdipendenze,…);
- classificazione degli asset ICT sulla base della criticità delle funzioni aziendali e dei processi che supportano e non, come avvenuto in passato, sulla base di una valutazione di impatto effettuata dal CISO con il supporto delle funzioni tecniche;
- applicazione di misure provvisorie di mitigazione dei rischi quando le misure di sicurezza identificate hanno dei tempi di implementazione molto lunghi.
Quest’ultimo aspetto è molto rilevante perché cerca di ovviare al problema riscontrato in molte banche che accettavano dei rischi ICT e di Sicurezza superiori alla soglia definita (a volte la soglia stessa è troppo elevata) in quanto le misure di mitigazione da applicare sono spesso costose e/o richiedono lunghi tempi di implementazione.
La gestione della sicurezza dell’informazione e delle operazioni ICT
Anche per questo ambito Banca d’Italia rimanda direttamente alle relative sezioni degli Orientamenti EBA.
In linea di massima, non ci sono novità particolari rispetto ai precedenti adempimenti, ma vi è ma maggiore specificazione e dettaglio degli adempimenti con una particolare enfasi su alcuni aspetti rilevanti che in passato erano stati poco trattati.
Tra questi si evidenziano:
- policy di sicurezza dell’informazione che deve essere il documento centrale in tale ambito e coprire a 360° tutti gli aspetti sia di sicurezza logica che fisica;
- sicurezza delle operazioni ICT e, in particolare, sui cambiamenti del contesto operativo dell’ICT che devono essere trattati all’interno del processo di gestione dei cambiamenti ICT;
- processo di monitoraggio e gestione della sicurezza sia in termini di tipologie di verifiche che di frequenza di esecuzione (almeno annualmente per gli asset critici e almeno ogni tre anni per quelli non);
- disponibilità di un inventario tecnico degli asset ICT completo e continuamente aggiornato per avere un monitoraggio efficace il loro ciclo di vita.
Vengono confermati gli adempimenti per la classificazione e gestione degli incidenti ICT e di Sicurezza con riferimento diretto ai relativi Orientamenti EBA emessi in ambito PSD2 e alle istruzioni predisposte da Banca d’Italia per tutte le banche.
La gestione dei progetti e dei cambiamenti ICT
Questa è una nuova sezione del Capitolo 4 (sezione IVBis) che Banca d’Italia ha introdotto per regolamentare i cambiamenti al sistema informativo che ad oggi è una delle principali cause di incidenti ICT operativi presso le banche.
Anche in questo caso, si referenziano in maniera diretta gli Orientamenti EBA che contengono dei requisiti specifici e dettagliati su come debbano essere gestiti i cambiamenti, siano essi configurati come Progetti ICT o come Cambiamenti ICT.
Uno dei concetti che viene fortemente ribadito è la necessità di effettuare l’analisi del rischio quando si effettua un cambiamento significativo sul proprio sistema informativo e viene specificato che vanno considerati sia i rischi ICT e di Sicurezza sia i rischi connessi al fallimento del progetto/cambiamento.
Analizzando gli Orientamenti EBA, si nota come i requisiti richiesti puntano a risolvere le principali problematiche riscontrate nel tempo nei cambiamenti apportati ai sistemi informativi delle banche quali, ad esempio:
- il cambiamento del profilo di rischio dell’asset;
- il non coinvolgimento di tutte le funzioni aziendali convolte;
- le interdipendenze con altri asset e con fornitori terzi;
- esecuzione di test non esaustivi;
- processi di acquisizione e sviluppo dei sistemi ICT non efficaci.
I nuovi adempimenti sono sicuramente più impattanti dei precedenti e richiedono da parte delel banche una profonda revisione di tutti i processi che governano i cambiamenti del sistema informativo, nonché lo sviluppo e acquisizione di sistemi ICT.
L’esternalizzazione del sistema informativo e il ricorso a soggetti terzi per la prestazione dei servizi ICT
Nei precedenti aggiornamenti della Circolare 285, Banca d’Italia aveva recepito gli Orientamenti EBA sull’outsourcing che si applicano alle esternalizzazioni di Funzioni Operative Importanti (FOI) e di componenti critiche del sistema informativo.
La principale novità introdotta in tale ambito è l’introduzione di nuovi adempimenti per i fornitori ICT che non sono catalogati come esternalizzazioni.
Tali adempimenti prevedono che le banche adottino delle clausole di salvaguardia nei contratti sottoscritti con questi fornitori e che implementino delle attività di monitoraggio del loro rispetto.
La continuità operativa
La Continuità Operativa è una tematica normata da Banca d’Italia sin dal 2004 e nel tempo gli adempimenti in tale ambito sono evoluti e confluiti nel Capitolo 5 della Circolare 285.
Banca d’Italia ha integrato per esteso il contenuto degli Orientamenti nel testo delle disposizioni in quanto la disciplina vigente era di per sé già in linea con tali Orientamenti. Le principali modifiche inserite hanno infatti chiarito e specificato meglio adempimenti che in passato erano poco chiari e soggetti a interpretazione.
È stato creato un raccordo diretto con il processo di gestione dei rischi ICT e di Sicurezza ed è stato rafforzato l’intero impianto di Continuità Operativa in termini di efficienza ed efficacia.
A titolo esemplificativo, viene richiesta una migliore valutazione dei rischi residui, procedure di rientro dalla crisi più efficaci, approcci risk-based in caso di eventi disastrosi, valutazione delle interdipendenze con altri operatori e delle interdipendenze con i fornitori terzi soprattutto quando si parla di esternalizzazioni.
Ad ogni buon conto, per quanto detto prima, l’effort richiesto alla banche per adeguare i propri impianti di continuità operativa non si ritiene elevato considerando anche le comunicazioni periodiche che Banca d’Italia ha inviato nel tempo a fronte di eventi considerati significativi (vedi pandemia e la guerra in Ucraina).
Conclusioni
Come anche indicato da Banca d’Italia nell’atto di emanazione, le disposizioni della Circolare 285 sono in larga parte conformi agli Orientamenti EBA sulla gestione dei rischi ICT e di Sicurezza e pertanto non si ritiene che l’effort necessario per adeguarsi sia significativo. Questo spiega il breve periodo di adeguamento richiesto da Banca d’Italia.
Va infine osservato che con il 40° aggiornamento della Circolare 285, le banche sono di fatto anche in larga parte in linea con quanto richiesto dal nuovo Regolamento DORA soprattutto per quanto riguarda la gestione dei rischi ICT e dei rischi delle terze parti. Pertanto, si po’ dedurre che l’adeguamento al DORA da parte delle Banche italiane sarà sicuramente più agevole rispetto allo sforzo che sarà richiesto ad altre istituzioni finanziarie.