La Banca d’Italia, in vista dell’entrata in vigore il 17 gennaio 2025 del (Digital Operational Resilience Act, DORA), ha emanato il 23 dicembre una Comunicazione al mercato sulla sicurezza ICT.
Il Regolamento DORA introduce norme armonizzate, a livello europeo, in tema di resilienza operativa digitale del settore finanziario, con il fine di rafforzare la gestione dei rischi.
La Banca d’Italia ha il compito di verificare la sicurezza ICT. Si tratta di un’attività svolta attraverso un’azione di supervisione sul sistema e sui singoli operatori.
La comunicazione riguarda le banche, le imprese di investimento, i gestori, gli istituti di pagamento e quelli di moneta elettronica, emittenti di token collegati ad attività, prestatori di servizi per le cripto-attività, fornitori di servizi di crowdfunding. Sono escluse le banche sulle quali vigila la BCE e i soggetti a cui non si applica il Regolamento.
La comunicazione prende spunto dalle conoscenze acquisite attraverso l’azione di supervisione ed è rivolta agli intermediari vigilati dalla Banca d’Italia. Azione che ha permesso di mettere in luce l’aumento delle segnalazioni di incidenti sia operativi sia cibernetici, con un picco nel 2023. Nel primo caso, per carenze nel processo di modifica dei sistemi (ICT change management); nel secondo, per accessi non autorizzati, in particolare con violazione della riservatezza dei dati e/o dei servizi offerti dall’intermediario.
Nel caso di incidenti cibernetici sono stati evidenziati i comportamenti del personale interno e/o dei fornitori di servizi autorizzati, non rispettosi del diritto di accesso ai sistemi a cui possono accedere.
Infine, l’“Indagine Risk Data Aggregation” della Banca ha posto in luce le attività necessarie per migliorare la conoscenza dei processi e delle prassi di aggregazione e reportistica dei dati di rischio adottati dalle banche italiane, soprattutto sulle incapacità di gestire e aggregare i dati sui rischi e le eventuali inadeguatezze dei sistemi ICT utilizzati.
É importante tenere a mente che DORA riprende parzialmente le linee guida per la gestione dei rischi ICT e di sicurezza emanati dall’EBA, definendo un quadro organico per la gestione del rischio ICT, concernente politiche, procedure, protocolli e strumenti che i soggetti sottoposti al suo rispetto devono incrementare per far fronte ai rischi ICT.
Il Regolamento, unitamente ad atti di normativa secondaria a esso collegati, ordina la gestione del rischio nelle diverse fasi, comprese le misure di protezione della confidenzialità dei dati e al processo di gestione del cambiamento. Sostenere i processi decisionali e le attività di gestione dei rischi possono compromettere la solidità dello stesso processo decisionale e l’efficacia del governo dei rischi da parte degli intermediari.
Conclusioni simili sono state raggiunte Meccanismo di Vigilanza Unico (MVU) sulle banche significative.
I risultati dell’analisi orizzontale condotta dall’MVU “Key observations from the 2024 horizontal analysis of IT and cyber risk”, che interpola le informazioni rilasciate dalle banche significative attraverso il questionario sul rischio ICT e le risultante delle ispezioni sulla sicurezza cibernetica degli ultimi anni.
L’attenzione sulla resilienza operativa è necessaria in quanto il rischio ICT non è più solo un rischio operativo, ma riguarda tutta l’operatività aziendale per il ricorso sempre più elevato alla tecnologia e per gli impatti che eventuali debolezze nella gestione delle risorse informatiche possono avere sulla reputazione degli intermediari.
DORA prevede nuovi e più preganti obblighi nei presidi di protezione e prevenzione del rischio ICT e di rilevamento delle attività anomale. Per tale motivo gli intermediari vigilati, direttamente, dalla Banca d’Italia devono valutare, su base consolidata per i gruppi e individuale per i soggetti non appartenenti a gruppi, il proprio posizionamento rispetto ai requisiti previsti dal Regolamento, e in particolare le strategie sul rischio di terza parte, sul rinnovo dei contratti di fornitura e sulla trasmissione all’Autorità del Registro delle Informazioni, l’adattamento di presidi e politiche interne, nonché l’attività e il programma di test di resilienza operativa digitale.
Gli intermediari citati dovranno svolgere un’autovalutazione del proprio sistema di gestione dei rischi ICT, per attestare che le politiche, le procedure, i protocolli e gli strumenti in materia di rischio ICT posti in essere possano:
- prevenire, o almeno rilevare tempestivamente, violazioni alla riservatezza dei dati e/o dei servizi forniti, attraverso la valutazione delle misure adottate per prevenire la perdita di integrità, la disponibilità e la riservatezza dei dati, incluse le eventuali fughe di dati (data leakage), la valutazione delle misure sul controllo degli accessi, inclusi eventuali abusi dei diritti di accesso concessi al proprio personale e/ al personale dei fornitori di servizi, nonché la valutazione delle attività di controllo e monitoraggio dei sistemi ICT prese per individuare attività anomale che possano avere impatti sulla riservatezza dei dati e/o dei servizi
- Ridurre il rischio derivante dai cambiamenti ICT, attraverso la valutazione del quadro di ICT change management, per verificare che sia rispettoso di quanto prevede il Regolamento DORA e le norme attuative in termini di prassi, politiche, attribuzione di responsabilità e meccanismi di presidio della sicurezza
L’autovalutazione, svolta con la partecipazioni condotta con il coinvolgimento delle funzioni di controllo di secondo e terzo livello, deve essere approvata dall’’organo di amministrazione ed essere trasmessa alla Banca d’Italia entro il 30 aprile 2025.
Di Fabio Picciolini
