© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza una espressa autorizzazione scritta. È consentito il link diretto a questo documento.
Di Antonio Pezzuto, ex Dirigente della banca d’Italia
La Banca d’Italia ha di recente emanato il 40° aggiornamento della Circolare n. 285/2013 sulle “Disposizioni di vigilanza per le banche”, con il quale sono stati modificati il Capitolo 4 (Il sistema informativo) e il Capitolo 5 (La continuità operativa), al fine di dare attuazione agli “Orientamenti sulla gestione dei rischi relativi alle tecnologie dell’informazione (ICT) e di sicurezza” emanati dall’EBA il 28 novembre 2019[1], a cui le disposizioni nazionali sono già in larga parte conformi.
Le banche si adegueranno alle nuove disposizioni entro il 30 giugno 2023 e dovranno far conoscere all’Organo di vigilanza, entro il prossimo 1° settembre, gli interventi avviati per assicurarne il rispetto.
Tra le novità più rilevanti, si segnalano le seguenti:
- ampliamento dei compiti degli organi di amministrazione in materia di ICT (Cap. 4, Sez. II, Par. 2);
- istituzione della funzione di controllo dei rischi ICT e di sicurezza (Cap.4, Sez. II, Par. 4);
- ridefinizione della funzione di internal audit (Cap. 4, Sez. II, Par. 5);
- definizione e formalizzazione di nuovi aspetti nell’accordo per l’esternalizzazione del sistema informativo (Cap. 4, Sez. VI, Par. 2);
- introduzione di nuovi adempimenti in materia di sicurezza dei servizi di pagamento (Cap. 4, Sez. VII, Par. 1);
- implementazione delle disposizioni in materia di continuità operativa (Cap. 5, Sez. 2, Par. 3.7 e 3.8).
Con riferimento al punto sub 1), si amplia la sfera dei compiti attribuiti sia all’organo con funzione di supervisione strategica sia all’organo con funzione di gestione per i profili ICT. Il primo organo, responsabile dell’attività di indirizzo e controllo del sistema informativo:
- definirà e approverà la strategia ICT, in considerazione dell’evoluzione del settore di riferimento e in coerenza con gli indirizzi strategici della banca e con l’articolazione attuale e prospettica dei settori operativi, dei processi e dell’organizzazione aziendale;
- approverà l’assetto organizzativo e di governo della banca con riferimento al sistema informativo, alla gestione del rischio ICT e di sicurezza[2] e alla continuità operativa, garantendo la chiara distinzione dei compiti e delle responsabilità degli organi e delle funzioni aziendali, nonché i piani d’azione predisposti dall’organo con funzione di gestione per l’attuazione della strategia ICT;
- assicurerà che il sistema di governo e controllo dei rischi ICT e di sicurezza sia costantemente adeguato, oltre che in termini quali-quantitativi delle risorse umane e finanziarie disponibili, alle esigenze operative della funzione ICT e dei processi di gestione dei rischi ICT e di sicurezza e per l’attuazione della strategia ICT.
Detto organo sarà inoltre informato, oltre che con cadenza almeno annuale circa l’adeguatezza dei servizi erogati e il supporto di tali servizi all’evoluzione dell’operatività aziendale, in rapporto ai costi sostenuti, periodicamente sull’applicazione e l’adeguatezza dei piani d’azione per l’attuazione della strategia ICT e su base periodica (o all’occorrenza) sull’avvio e l’avanzamento dei progetti ICT.
Con riguardo all’esercizio della responsabilità di supervisione della gestione del rischio ICT e di sicurezza, la Banca d’Italia ha disposto che il quadro di riferimento organizzativo e metodologico per la gestione di tale tipologia di rischio, approvato dall’organo con funzione di supervisione strategica, sia riesaminato almeno annualmente, anche in considerazione dell’esperienza acquisita durante la sua attuazione e il suo monitoraggio, in un’ottica di continuo miglioramento.
L’organo con funzione di gestione, cui spetta il compito di assicurare la completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema informativo, dovrà in aggiunta: i) mettere a punto i piani di azione contenenti le misure da adottare per conseguire gli obiettivi della strategia ICT, ne monitora e misura l’efficacia, ne cura il riesame periodico, dandone notizia all’organo con funzione di supervisione strategica. Esso dovrà inoltre assicurarsi che il contenuto dei piani d’azione approvati da quest’ultimo organo sia portato a conoscenza del personale interessato; ii) definire i ruoli e le connesse responsabilità per la funzione ICT e per la gestione del rischio ICT e di sicurezza, nonché per le relative attività di continuità operativa; iii) assicurare che tutto il personale riceva una formazione adeguata in materia di rischi ICT e di sicurezza almeno una volta all’anno; iv) approvare le procedure e i processi di gestione delle operazioni ICT concernenti le risorse e i servizi non esternalizzati, garantendo l’efficacia e l’efficienza dell’impianto nonché la complessiva completezza e coerenza.
Relativamente al punto sub 2), le nuove Istruzioni di vigilanza sottolineano la necessità per le banche di dotarsi di una funzione di controllo di secondo livello[3] responsabile della gestione e della supervisione dei rischi ICT e di sicurezza. Più in dettaglio, tale funzione aziendale sarà responsabile del monitoraggio e del controllo dei rischi ITC e di sicurezza, assicurando che gli stessi siano individuati, misurati, valutati, gestiti e mantenuti entro i limiti della propensione al rischio della banca, nonché dell’aderenza delle operazioni ICT al sistema di gestione dei rischi ITC e di sicurezza.
In tale prospettiva, la funzione di controllo:
- concorrerà alla definizione della politica di sicurezza dell’informazione ed è resa edotta in merito a qualsiasi attività o evento che influenzi in misura rilevante il profilo di rischio della banca, incidenti operativi o di sicurezza significativi, nonché qualsiasi modifica sostanziale ai sistemi e ai processi ICT;
- sarà coinvolta nei progetti di modifica del sistema informativo e, segnatamente, nei processi di controllo dei rischi legati a tali progetti.
In base alle nuove Disposizioni di vigilanza, le banche potranno attribuire i compiti della funzione di controllo in questione a una funzione di secondo livello istituita ad hoc, avendo cura di assicurare opportuni livelli di raccordo e adeguate forme di coordinamento tra quest’ultima e le altre funzioni aziendali di controllo aziendale. In alternativa, le banche potranno assegnare tali compiti alle funzioni di risk management e di compliance, purché siano assicurati il corretto svolgimento dei compiti, l’efficacia dei controlli e le necessarie competenze tecniche.
In ordine al punto sub 3), si stabilisce che il piano di audit, presentato annualmente agli organi aziendali, sia redatto secondo un approccio risk-based, sia approvato dall’organo con funzione di supervisione strategica e includa, infine, le verifiche di audit riferite al sistema ITC e a ogni sua modifica significativa.
Quanto al punto sub 4), si raccomanda che nell’accordo scritto tra la banca e i fornitori di sistemi e servizi ITC siano definite e formalizzate anche le misure e gli obiettivi in materia di sicurezza dell’informazione, compresi i requisiti minimi di sicurezza informatica, che devono essere adeguati e proporzionati, nonché le procedure di gestione degli incidenti operativi o di sicurezza[4], tra cui la notifica e l’attivazione dei livelli successivi di intervento.
Relativamente al punto sub 5), si prescrive alle banche che prestano servizi di pagamento di:
- trasmettere alla Banca d’Italia, entro il 30 aprile di ogni anno, una relazione contenente una valutazione aggiornata e approfondita dei rischi operativi e di sicurezza relativi ai servizi di pagamento prestati e dell’adeguatezza delle misure di mitigazione e dei meccanismi di controllo approntati per fronteggiarli;
- notificare senza indugio all’Autorità di vigilanza i gravi incidenti operativi o di sicurezza[5] relativi ai servizi di pagamento prestati conformemente agli Orientamenti aggiornati dell’EBA in materia di segnalazione dei gravi incidenti ai sensi della PSD2 (EBA/GL/2021/03). Ove l’incidente incida o potrebbe incidere sugli interessi finanziari dei propri utenti, le banche informano questi ultimi dell’incidente e delle misure che possono adottare per attenuarne gli effetti negativi, trasmettendo alla Banca d’Italia copia delle eventuali comunicazioni inviate (o da inviare) alla clientela.
Riguardo, infine, al punto sub 6), si dispone che il piano di continuità operativa[6] per la gestione di situazioni di crisi sia documentato, messo a disposizione delle unità operative e di supporto e immediatamente accessibile in caso di emergenza. Esso sarà oggetto di aggiornamento con cadenza almeno annuale sulla base dei risultati delle verifiche, delle informazioni sulle minacce esistenti e dell’esperienza maturata in occasione di eventi precedenti.
Il piano di continuità operativa sarà redatto prendendo in considerazione diversi scenari di crisi, che devono includere almeno uno scenario di attacco informatico.
Viene previsto inoltre che, in caso di ricorso a soggetti esterni per la prestazione di servizi ICT e di esternalizzazione di funzioni aziendali connesse con lo svolgimento di processi critici, il business continuity plan contempli le misure da attuare in caso di crisi con un impatto rilevante sull’operatore, sul soggetto terzo o sull’outsourcer.
Nel contratto andranno formalizzati i livelli di servizio assicurati dal soggetto terzo o dall’outsourcer, al fine di valutare la qualità delle misure previste e di integrarle con le soluzioni di continuità operativa realizzate all’interno. Il soggetto terzo o l’outsourcer comunica tempestivamente all’operatore il verificarsi di incidenti in modo da consentire l’attivazione delle relative procedure di emergenza.
Il piano di continuità operativa e il relativo processo di aggiornamento saranno oggetto di verifica da parte della funzione di internal audit che, in caso di incidenti, avrà il compito di accertare la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.
Si consente agli operatori di valutare l’opportunità di sottoporre il business continuity plan alla revisione da parte di qualificate terze parti indipendenti.
Si richiede all’operatore, successivamente al ripristino dei processi critici, di fornire alla Banca d’Italia e alla BCE valutazioni in merito all’impatto dell’evento sull’operatività delle strutture centrali e periferiche e sui rapporti con la clientela e le controparti.
[1] EBA Guidelines on ICT and security risk management (EBA/GL/2019/04). Le linee guida dell’EBA definiscono un quadro armonizzato delle misure di gestione dei rischi relativi all’uso delle tecnologie dell’informazione e della comunicazione (ICT) e le misure di sicurezza di cui le banche devono dotarsi. Gli orientamenti sono rivolti ai prestatori di servizi di pagamento, gli enti creditizi e le imprese di investimento.
[2] E’ definito come “il rischio di incorrere in perdite dovuto alla violazione della riservatezza, carente integrità dei sistemi e dei dati, inadeguatezza o indisponibilità dei sistemi e dei dati o incapacità di sostituire la tecnologia dell’informazione (IT) entro ragionevoli limiti di tempo e costi in caso di modifica dei requisiti del contesto esterno o dell’attività (agility), nonché i rischi di sicurezza derivanti da processi interni inadeguati o errati o da eventi esterni, inclusi gli attacchi informatici o un livello di sicurezza fisica inadeguata”.
[3] Secondo le Disposizioni di vigilanza, le banche istituiscono funzioni aziendali di controllo permanenti e indipendenti di conformità alle norme (compliance), di controllo dei rischi (risk management) e di revisione interna (internal audit). Mentre le prime due funzioni attengono ai controlli di secondo livello, la revisione interna rientra nella sfera dei controlli di terzo livello.
[4] Sono considerati tali “ogni evento, o serie di eventi collegati, non pianificati dalla banca che ha, o probabilmente avrà, un impatto negativo sull’integrità, la disponibilità, riservatezza, e/o l’autenticità dei servizi”.
[5] E’ ritenuto tale un incidente da cui derivi o è probabile che derivi almeno una delle seguenti conseguenze: a) perdite economiche elevate o prolungati disservizi per l’intermediario, anche a seguito di ripetuti incidenti di minore entità; b) disservizi rilevanti sulla clientela e altri soggetti (ad es. intermediari o infrastrutture di pagamento); c) il rischio di inficiare la capacità della banca di conformarsi alle condizioni e agli obblighi di legge o previsti dalla disciplina di vigilanza; d) danni reputazionali, nel caso venga reso di pubblico dominio (ad es. attraverso i media e gli organi di stampa).
[6] E’ definito come “il documento che formalizza i principi, fissa gli obiettivi, descrive le procedure e individua le risorse, per la gestione della continuità operativa dei processi aziendali critici e a rilevanza sistemica”.
Rivista di Diritto Bancario Tidona - www.tidona.com - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.
Le informazioni contenute in questo sito web e nella rivista "Magistra Banca e Finanza" sono fornite solo a scopo informativo e non possono essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall'agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.