Online banking, pagamento digitali, controllo dell’identità da remoto, criptovalute hanno modificato in questi decenni il modo di fare banca e l’esperienza dei consumatori, allargando nello stesso tempo l’esposizione del mondo finance ad attacchi informatici sempre più sofisticati.
Per frenare un fenomeno in costante crescita (basta vedere che la spesa in cybersecurity ih Italia ha toccato i 1.797 milioni di euro nel 2023, +13% rispetto al 2022) è stato aggiunto dall’Unione Europea un nuovo tassello al quadro normativo sulla resilienza operativa digitale per i servizi bancari e finanziari. Che auspica una maggiore trasparenza nella finanza del vecchio continente, rivolgendosi a entità finanziarie tradizionali (banche, società di investimento e istituti di credito), non tradizionali (fornitori di criptovalute o crowdfunding) ma anche ai fornitori Ict che offrono a banche e finanziare servizi Ict, come cloud o gestione di data center, essendo servizi critici legati alla resilienza operativa delle banche stesse.
Parlo di Dora – il Digital Operational Resilience Act – la normativa vincolante per chi eroga servizi finanziari all’interno dell’Unione Europea che già nel nome insiste sulla messa in sicurezza del digitale come elemento costitutivo del Dna degli operatori del mondo finance. Con due obiettivi principali: affrontare una volta per tutte la gestione del rischio Ict nel settore dei servizi finanziari e armonizzare le normative sulla gestione del rischio Ict già esistenti nei singoli stati membri dell’Unione Europea, eliminando lacune e conflitti che potrebbero sorgere tra le diverse normative nei vari Paesi.
Non è nuova l’attenzione sulla direttiva Dora (proposta per la prima volta nel settembre 2020 dalla commissione europea e formalmente approvata nel 2022) ma lo scorso 17 gennaio le tre autorità europee di vigilanza del sistema finanziario europeo (Esa) – che includono l’Autorità bancaria europea (Eba), l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (Eiopa) e l’Autorità europea degli strumenti finanziari e dei mercati (Esma) – incaricate di redigere gli standard tecnici di regolamentazione e di attuazione di Dora, hanno reso nota la prima serie di standard tecnici per definire la resilienza operativa, a cui i fornitori di servizi Ict critici di terze parti dovranno attenersi.
L’intento è quello di definire requisiti uniformi riguardanti la sicurezza delle reti e dei sistemi informativi a supporto dei processi aziendali delle entità finanziarie, stabilendo entro l’anno un framework vincolante per la gestione del rischio delle tecnologie Ict e gli standard tecnici che le entità finanziarie e i loro fornitori dovranno implementare nei propri sistemi Ict entro il 17 gennaio 2025.
Certo c’è ancora un anno di tempo per ottemperare al regolamento, ma la stretta collaborazione tra banche, vendor, enti normativi europei parte già da ora.
Gli attori finance hanno l’obbligo (ma anche l’opportunità) di analizzare la propria resilienza operativa e fare in modo che questa sia trasparente e misurabile, garantendo un monitoraggio continuo della infrastruttura digitale, per segnalare gli incidenti cyber in tempo reale e gestire in modo proattivo i rischi, condividendo le informazioni. Un approccio che mette in discussione i sistemi legacy, i processi manuali obsoleti, i comportamenti umani che possono frenare l’efficienza e minare la conformità normativa. “Questo regolamento riconosce che gli incidenti Ict e la mancanza di resilienza operativa hanno la possibilità di mettere a repentaglio la solidità dell’intero sistema finanziario”, riporta la normativa.
Prima del regolamento Dora, le norme sulla gestione del rischio per le istituzioni finanziarie dell’UE si concentravano principalmente sulla necessità di assicurare che le imprese avessero capitale sufficiente per coprire i rischi operativi. Le linee guida pubblicate nel 2019 non si applicavano in egual misura a tutte le entità finanziarie, dando vita a un mosaico di normative in assenza di norme di gestione del rischio Ict nei singoli paesi.
Ora, una volta perfezionati gli standard Dora entro il 2024, da gennaio 2025 l’applicazione spetterà alle autorità di regolamentazione designate in ciascuno Stato che potranno imporre sanzioni amministrative ma anche penali alle entità inadempienti.
Saranno però “organi primari di sorveglianza” appartenenti alle tre autorità europee di vigilanza a controllare direttamente i fornitori Ict ritenuti “critici” dalla Commissione Europea e potranno chiedere misure di sicurezza ulteriori e multare i fornitori Ict non conformi, con una somma pari all’1% del loro fatturato mondiale medio giornaliero. Le multe potranno essere comminate giornalmente per un massimo di sei mesi fino al momento in cui il fornitore non avrà raggiunto la piena conformità.
Credo che questo aspetto esclusivo del regolamento Dora – che si applica anche ai fornitori Ict del settore finanziario – sia una opportunità non una sfida.
Quattro ambiti tecnici, scheda
In sintesi, Dora stabilisce i requisiti tecnici per entità finanziarie e fornitori Ict in quattro ambiti: gestione del rischio Ict e governance (1), risposta agli incidenti e segnalazione (2), test di resilienza (3), gestione del rischio di terze parti (4). La condivisione delle informazioni è incoraggiata ma non obbligatoria.
1 – Gestione del rischio Ict e governance. Dora attribuisce all’organo amministrativo di un’entità la responsabilità della gestione Ict: i membri del consiglio di amministrazione, i dirigenti e altri senior manager devono definire adeguate strategie di gestione del rischio e possono essere ritenuti personalmente responsabili per il mancato rispetto delle norme. Le organizzazioni interessate sono tenute a sviluppare framework completi per la gestione del rischio Ict, mappando sistemi, processi e provider, e stabilendo piani di continuità aziendale e disaster recovery per vari scenari di rischio informatico
2 – Segnalazione degli incidenti. Obbligo di monitorare, gestire, registrare, classificare e segnalare incidenti Ict anche con segnalazione alle autorità di regolamentazione, ai clienti e ai partner interessati.
3 – Test di resilienza operativa digitale. Le entità sono tenute a testare regolarmente i propri sistemi Ict per valutarne la forza delle protezioni e identificare le vulnerabilità, comunicando eventuali debolezze alle autorità competenti.
4 – Gestione del rischio di terze parti. Le società finanziarie, nell’esternalizzare funzioni critiche e importanti a fornitori Ict, saranno tenute a negoziare accordi specifici riguardanti strategie di uscita, audit e obiettivi prestazionali per l’accessibilità, l’integrità e la sicurezza, e dovranno assicurarsi di non avere funzioni critiche troppo concentrate presso un singolo fornitore o un piccolo gruppo di fornitori. Alle entità non sarà consentito stipulare contratti con fornitori Ict che non siano in grado di soddisfare tali requisiti. Le autorità competenti avranno il potere di sospendere o risolvere i contratti non conformi. La Commissione Europea sta esplorando la possibilità di elaborare clausole contrattuali standardizzate utili a entità e fornitori Ict per assicurarsi di sottoscrivere accordi conformi a Dora.
Per dovere di cronaca, unanimità su AI Act e Gia
In questi primi giorni di febbraio, accanto a Dora, la Ue ha trovato un accordo su altri due regolamenti importanti.
Il primo riguarda l’AI Act che ha ottenuto il via libera da parte dei rappresentanti permanenti dei 27 Stati membri dell’Unione Europea che hanno confermato all’unanimità l’accordo raggiungo lo scorso dicembre dal parlamento europeo per regolamentare l’utilizzo dell’intelligenza artificiale. La prossima settimana – il 13 febbraio – l’AI Act sarà votato dalla commissione preposta e il 24 aprile dal Parlamento Europeo, con entrata in vigore graduale come da normativa. Ma ci siamo.
Il secondo riguarda l’approvazione del regolamento delle infrastrutture gigabit (Gigabit infrastructure act, Gia) per accelerare la diffusione delle infrastrutture di rete gigabit in tutta Europa. Il Gia mira a ridurre i costi di installazione (legati a procedure lunghe per ottenere i permessi e ai costi di aggiornamento delle reti), a garantire la trasparenza economica, a rendere più efficienti i processi di pianificazione e installazione delle reti, cercando di armonizzazione la diffusione e l’accesso alle infrastrutture, in ottica anche di economia di scala.
© RIPRODUZIONE RISERVATA