La gestione del rischio informatico è oggi una priorità strategica per tutto il settore dei servizi finanziari. In un ecosistema sempre più interconnesso, la sicurezza delle transazioni e la protezione di fondi e infrastrutture digitali sono cruciali per la stabilità economica e rendono essenziale un approccio strutturato alla resilienza digitale per proteggere l’intero sistema.
In questo contesto, l’Unione Europea ha introdotto il Digital Operational Resilience Act (DORA), un quadro normativo che stabilisce standard più rigorosi per la sicurezza informatica e la continuità operativa degli operatori finanziari. L’obiettivo ultimo di rafforzare la capacità del settore di resistere, rispondere e riprendersi da eventi critici, garantendo al contempo la stabilità del mercato e la tutela degli utenti, presenta delle nuove sfide per le istituzioni finanziarie.
Il rischio informatico non è mai isolato, ma si estende lungo l’intera catena del valore. La resilienza di un’organizzazione dipende dalla solidità del suo ecosistema, compresi i fornitori e i partner tecnologici. Una governance efficace della supply chain diventa quindi un elemento essenziale per garantire il rispetto degli standard DORA e per proteggere le funzioni ritenute critiche o importanti. Le parole chiave per gli istituti finanziari diventano quindi: “resilienza operativa”, “cybersecurity”, “conformità” e “fornitori”.
I consigli di Kyndryl per una resilienza digitale davvero efficace
Affrontare la complessità della nuova regolamentazione europea richiede un approccio sistemico, che secondo Kyndryl si articola su tre livelli principali:
- Valutazione del rischio lungo la supply chain
Un’analisi approfondita della catena di fornitura è indispensabile per identificare potenziali vulnerabilità e prevenire rischi sistemici. Questo richiede un approfondito processo di due diligence che non si limiti alla valutazione tecnica delle capacità di un fornitore, ma che consideri anche la sua esposizione a rischi operativi e regolatori. Quando parliamo di fornitori, non ci fermiamo solo ai fornitori diretti delle istituzioni finanziarie, ma anche ai subfornitori: vediamo sempre più attacchi cyber che puntano a compromettere fornitori di fornitori, specie quando un’azienda ha dei rapporti con più istituti finanziari. Un addendum specifico per i subappaltatori nell’ambito DORA garantisce che le disposizioni normative siano adeguatamente recepite, specialmente per le funzioni definite come “critiche o importanti” per gli operatori finanziari. Il rischio non può essere azzerato, ma una governance solida consente di minimizzarlo e di implementare meccanismi di mitigazione efficaci.
- Definizione dei servizi critici e gestione delle interdipendenze
Un passaggio chiave per le istituzioni finanziarie è la corretta identificazione delle funzioni critiche o importanti, come definite da DORA. Tuttavia, il rischio non è solo di sottovalutare l’importanza di determinati servizi, ma anche di sovrastimarla, disperdendo risorse su attività non strategiche. Una delle principali sfide è adottare un approccio bilanciato che ottimizzi l’efficacia delle misure di protezione rispetto ai costi e ai rischi, un equilibrio tra la protezione delle infrastrutture critiche e la sostenibilità operativa. Poiché è impensabile proteggere ogni asset con il massimo livello di sicurezza in ogni momento, gli operatori finanziari devono collaborare con fornitori IT di fiducia per garantire la protezione delle infrastrutture più critiche, mentre valutano le modalità più efficienti per gestire il resto del perimetro IT. La definizione delle priorità deve basarsi su un’analisi dettagliata della portata dei servizi forniti e della loro rilevanza per la sicurezza informatica dell’istituzione finanziaria, dell’interdipendenza tra i vari servizi IT e il loro impatto sulla continuità operativa.
- Trasparenza e responsabilità
La complessità del panorama regolamentare impone alle istituzioni finanziarie di adottare modelli di governance più solidi e trasparenti. La gestione dei fornitori e delle terze parti non può basarsi su un approccio frammentato, che rischierebbe di generare inefficienze e opacità. Un coordinamento centralizzato delle attività di cybersecurity, unito a una chiara definizione delle responsabilità contrattuali, consente di garantire il rispetto degli standard di settore e di rafforzare la sicurezza complessiva dell’ecosistema digitale. Molte istituzioni finanziarie già si affidano a Kyndryl per la gestione diretta dei rapporti con subappaltatori e fornitori. Grazie alla sua esperienza consolidata, collaborando già con oltre il 50% delle maggiori banche mondiali per attivi, tra cui sei dei primi dieci istituti globali, l’azienda assicura un rigoroso processo di valutazione dei fornitori e la compliance agli standard di settore.
Conclusioni
La resilienza digitale non può essere considerata solo una questione tecnologica: è una sfida di governance, strategia e gestione del rischio. Inoltre, occorre sempre tenere a mente che le minacce informatiche sono in continua evoluzione e in un contesto in cui il rischio informatico è sempre più pervasivo, la capacità delle istituzioni finanziarie devono adattarsi, innovare e collaborare con partner tecnologici qualificati. Kyndryl prevede e consiglia quindi un dialogo costante con i policy maker e le istituzioni finanziarie, con l’obiettivo di garantire sicurezza e conformità senza ostacolare l’innovazione e la competitività. La sicurezza digitale non è solo una questione di compliance, ma un fattore critico di competitività e di fiducia nel sistema finanziario.
