Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

Banche e incidenti di sicurezza informatica: aspetti legali, obblighi e responsabilità

Un’analisi degli aspetti legali e delle criticità legate all’esternalizzazione di un servizio o di una risorsa ICT in ambito bancario in caso di data breach o di altri incidenti in grado di cagionare danni ai clienti, alla luce delle disposizioni di Banca d’Italia, direttiva PSD2, degli oerientamenti di EBA e del GDPR.

30 Gen 2019

Maria Cristina Daga

avvocato, Senior Legal Consultant P4I


Gli incidenti di sicurezza informatica nelle banche hanno ricadute ad ampio spettro, tecnici, organizzativi e legali, come è possibile ricavare dal combinato disposto di alcune disposizioni: 

  • Circolare n. 285/2013 di Banca d’Italia
  • Direttiva UE 2015/2366 (PSD2)
  • Orientamenti attuativi di EBA (incidenti di sicurezza e outsourcing)
  • Regolamento UE 679/2016 (GDPR)

La diversa qualificazione degli incidenti di sicurezza

La Circolare n. 285/2013 di Banca d’Italia, la Direttiva UE 2015/2366 (PSD2) e il Regolamento UE 679/2016 analizzano il fenomeno degli incidenti di sicurezza secondo diverse prospettive, tra di loro, fortemente connesse da aspetti di sicurezza, elementi organizzativi e tutele legali applicabili alle parti coinvolte, direttamente o indirettamente, nell’incidente. L’elemento differenziante sono i diversi impatti correlati al rischio individuato o da individuare.

L’integrità, la disponibilità, la riservatezza, l’autenticità e/o la continuità delle risorse ICT, dei servizi di pagamento e dei dati personali sono parte del medesimo processo valutativo finalizzato all’individuazione e alla classificazione di un incidente di sicurezza, tenuto conto delle specificità previste dalle normative di riferimento.

Certo, non è sempre facile, gestire le diverse logiche sottese ai diversi impatti e solo con l’ausilio di diverse competenze professionali è possibile rappresentare un sistema come un insieme di regole e processi che permettono all’intermediario, che opera come prestatore di servizi di pagamento e come titolare del trattamento, di definire una metodologia comune in grado di individuare i diversi impatti da analizzare e disciplinarli in conformità delle normative vigenti, con riferimento ai diversi ambiti coinvolti nell’incidente di sicurezza.

Le misure di sicurezza, le procedure organizzative e i vincoli contrattuali in caso di esternalizzazione totale o parziale di un servizio o di una risorsa ICT sono gli strumenti necessari per ridurre e/o controllare la soglia di rischio e le responsabilità che ne derivano sotto il profilo legale in caso di incidenti.

Si pensi che nel 2013, Banca d’Italia con Circolare n. 285 recante «Disposizioni di Vigilanza per le banche» definisce gli incidenti di sicurezza informatica come ogni evento che implica la violazione o l’imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet, malfunzionamenti e disservizi).

In altre parole, la gestione degli incidenti per Banca d’Italia si pone l’obiettivo di minimizzare l’impatto di eventi avversi e garantire il tempestivo ripristino del regolare funzionamento dei servizi e delle risorse ICT coinvolti.

Tuttavia, è opportuno anche considerare che nel mondo bancario, la profondità degli incidenti di sicurezza potrebbe riguardare non tanto e non solo il rischio dei servizi e delle risorse ICT, ma anche specifici ambiti relativi all’operatività bancaria con riferimento ai servizi erogati nei confronti della clientela.

In particolare, nel 2018, l’European Banking Autority in attuazione dell’art. 96, Direttiva UE 2015/2366 recante disposizioni relative ai «servizi di pagamento nel mercato interno» definisce gli incidenti operativi o di sicurezza come singoli eventi o serie di eventi collegati non pianificati dal prestatore di servizi di pagamento che ha o probabilmente avrà un impatto negativo su integrità, disponibilità, riservatezza, autenticità e/o continuità dei servizi connessi ai pagamenti.

Si faccia attenzione che gli eventi negativi e/o anomali sulle transazioni di pagamento interessate nonché gli impatti sugli utenti dei servizi di pagamento (come ad esempio le transazioni effettuate dagli utenti – ovvero dai clienti legati all’intermediario da un rapporto contrattuale – che potrebbero subire un’alterazione del contenuto del messaggio di pagamento oppure sulle transazioni ordinate in modo fraudolento) potrebbero corrispondere ad accessi illeciti o non autorizzati dei dati personali che riguardano gli utenti stessi e i terzi soggetti beneficiari/pagatori delle transazioni, determinando anche una violazione dei dati personali (o Data Breach) con un rischio elevato per i diritti e le libertà dei clienti persone fisiche. I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale all’interessato (pregiudicando l’integrità, la disponibilità, la riservatezza, l’autenticità dei dati personali nonché le perdite economiche e finanziarie).

L’incidente di sicurezza non si limita ai modelli di minaccia in cui un attacco a un’organizzazione viene effettuato da una fonte esterna, ma include gli incidenti derivanti da fonti interne in violazione ai principi di sicurezza. Inoltre, tali fenomeni includono sia eventi dolosi sia eventi accidentali.

La classificazione degli incidenti di sicurezza si fonda per Banca d’Italia sulle conseguenze economiche ed organizzative che derivano dall’evento e in considerazione degli impatti sull’attività bancaria nonché sulla capacità della stessa di conformarsi alle disposizioni di vigilanza, considerata anche la necessità di rispettare i principi sull’esternalizzazione di funzioni operative importanti. Mentre per la PSD2 il parametro della gravità dell’incidente è individuato in relazione alle caratteristiche dell’incidente stesso, ovvero al soddisfacimento quantitativo e qualitativo dei criteri di valutazione di un incidente così come individuati da EBA. Diversamente per il GDPR il parametro è definito a cura del titolare, facendo riferimento alla probabilità di un rischio per i diritti e le libertà degli interessati coinvolti.

Gli aspetti legali e i rischi connessi in caso di esternalizzazione

Per il mondo bancario il sistema informativo rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso.

Pertanto, se consideriamo tale assunto possiamo senz’altro affermare che il ricorso all’esternalizzazione di competenze tecniche e gestionali rende necessario l’innalzamento della soglia di presidio del rischio e la definizione di una politica di controllo e di responsabilità sulle scelte effettuate.

Con specifico riferimento ai gravi incidenti di sicurezza si consideri gli obblighi di comunicazione immediata alle rispettive autorità competenti da parte dell’intermediario, quindi alla necessità di mantenere il controllo dei rischi in caso di esternalizzazione. Nello specifico, l’intermediario deve:

  • Per la Circolare n. 285, con l’invio di un rapporto sintetico a Banca d’Italia recante una descrizione dell’incidente e dei disservizi provocati agli utenti interni e alla clientela;
  • Per gli orientamenti EBA, con l’invio di un rapporto iniziale, intermedio e finale a Banca d’Italia recante una descrizione dettagliata dell’incidente;
  • Per il GDPR, con la notificazione al Garante Privacy recante la descrizione dell’evento e delle misure adottate e da adottare.

L’obbligo di segnalazione degli incidenti di sicurezza, ciascuno nel rispetto dei limiti temporali imposti dalla normativa di riferimento e in funzione dei diversi modelli da adottare, pone l’intermediario nella posizione di dover essere messo a conoscenza dell’incidente il prima possibile, in particolar modo nell’ambito dell’esternalizzazione dei servizi e/o delle risorse informatiche.

Di conseguenza, le politiche di esternalizzazione nell’ambito delle risorse o servizi ICT, dei servizi di pagamento e dei dati personali, assumono un rilievo di fondamentale importanza per la definizione dei presidi di controllo e di distribuzione delle responsabilità in capo all’outsourcer in considerazione della spinta collaborativa che quest’ultimo deve garantire per permettere all’intermediario di contenere eventuali danni e/o perdite e/o pregiudizi alla propria attività nonché adempiere gli obblighi di legge o previsti dalla disciplina di vigilanza.

Vincoli contrattuali chiari come strumento di tutela legale

I primi strumenti di tutela legale sono i vincoli contrattuali, chiari e ben definiti, nei confronti dei fornitori di servizi volti ad assicurare opportune garanzie per individuare e collaborare all’individuazione dell’incidente nonché per fornire all’intermediario le informazioni di cui essi dispongono per la segnalazione alle autorità di controllo. Ciò vale sia nei contratti ICT per l’esternalizzazione di risorse e servizi ICT (es. Full outsorcing e/o Funzione operativa importante) o della gestione dei servizi informatici per l’erogazione dei servizi di pagamento (es. Instant Payment), sia nella lettera di nomina a responsabile del trattamento nei confronti dei fornitori di servizi.

In tal senso, il fornitore deve essere obbligato contrattualmente ad informare, senza ingiustificato ritardo e comunque entro un lasso di tempo ben definito, l’intermediario di ogni causa e/o evento che possa compromettere la capacità di svolgere i servizi nonché di ogni violazione della sicurezza informatica che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai sistemi, servizi, ai dati personali ed a prestare ogni necessaria collaborazione in relazione all’adempimento degli obblighi di segnalazione gravanti sull’intermediario all’autorità di controllo e, ove previsto, di comunicazione ai clienti.

Incidenti di sicurezza, le responsabilità

Ciò detto, la responsabilità della tempestiva segnalazione ricade esclusivamente in capo all’intermediario, mentre la responsabilità dell’incidente di sicurezza potrà essere distribuita o attribuita anche tra/al fornitore, responsabile del trattamento, nei casi in cui l’incidente di sicurezza sia imputabile per azioni e/o omissioni compiute dallo stesso in violazione degli obblighi di legge o vincoli contrattuali ad essi applicati o applicabili.

Altro strumento di tutela interna è il ricorso alla “policy di outsourcing” redatta secondo i criteri individuati dai nuovi orientamenti EBA in tema di outsourcing (da poco chiusa la consultazione e ancora non definitivi), che descrive le fasi principali del processo decisionale per l’esternalizzazione di funzioni aziendali, definire i principi, le responsabilità e le funzioni coinvolte.

Le linee guida, sebbene non ancora definitive, dovrebbero affrontare il tema dei rischi dell’esternalizzazione ad ampio raggio e non solo rispetto ai temi specifici connessi alla sicurezza come ad esempio agli incidenti di sicurezza.

Tuttavia, offrono spunti di riflessione importanti e soprattutto ricomprendono ogni politica connessa all’esternalizzazione.

Tra i requisiti previsti, salvo eventuali modifiche apportate dopo la consultazione, la policy dovrebbe descrivere almeno: le responsabilità dell’organo di gestione, delle linee di business, delle funzioni di controllo interno e degli altri soggetti rispetto agli accordi di esternalizzazione; i criteri adottati e i processi definiti per l’identificazione di funzioni critiche o importanti; i criteri adottati per la scelta e i controlli di due diligence effettuati sui potenziali fornitori di servizi; l’identificazione, la valutazione e la gestione dei rischi connessi con l’esternalizzazione; le procedure per l’identificazione, la valutazione, la gestione e la mitigazione di potenziali conflitti di interesse del fornitore di servizi; il piano di continuità operativa in caso di non corretto svolgimento delle funzioni esternalizzate da parte del fornitore di servizi; il coinvolgimento dell’organo di gestione nel processo decisionale sull’esternalizzazione; le valutazioni continuative delle prestazioni del fornitore di servizi; le procedure di notifica e di modifica del contratto di outsourcing o di un fornitore di servizi; la documentazione e la tenuta dei registri; le strategie di uscita.

In generale, gli intermediari dovrebbero considerare che ricevere servizi da soggetti terzi crea rischi, anche quando tali accordi non sono da considerarsi esternalizzazioni o quando gli accordi di outsourcing riguardano funzioni non considerate critiche o importanti.

Al fine di identificare, gestire e monitorare tutti i potenziali rischi connessi ad un accordo di esternalizzazione, le linee guida evidenzieranno l’importanza della programmazione di opportune valutazioni, con particolare riguardo ai rischi operativi e di reputazione. Tenuto adeguatamente conto del principio di proporzionalità, le valutazioni dovrebbe includere opportune analisi di scenario e valutazioni del potenziale impatto di servizi non adeguati o non eseguiti, compresi i rischi connessi a processi, sistemi, persone o eventi esterni.

Le linee guida, saranno applicate a partire dal 30 giugno 2019 e gli accordi di esternalizzazione, secondo diverse fasi e momenti, dovranno essere, tutti, adeguati entro il 31 dicembre 2020.

In tale sede, potrebbero includersi anche le ridefinizioni delle responsabilità rispetto alla sicurezza e alla gestione degli incidenti.

Delega dell’obbligo di segnalazione di un incidente a Banca d’Italia

Si, solo con specifico riferimento ai servizi di pagamento e alla disciplina in materia di segnalazioni degli incidenti gravi ai sensi della PSD2, ove EBA ha previsto il meccanismo della “segnalazione delegata” a una terza parte, ovvero la facoltà del prestatore di servizi di pagamento di delegare gli obblighi di segnalazione ad una terza parte (fornitore dei servizi). A tal fine, è necessario il rispetto di alcune condizioni imprescindibili, in particolare:

  1. prevedere una formale delega di segnalazione all’interno del contratto che definisca in modo inequivocabile l’assegnazione delle responsabilità delle parti coinvolte;
  2. rispettare i requisiti per l’esternalizzazione delle funzioni operative importanti, tra cui gli orientamenti del CEBS sull’esternalizzazione relativa agli enti creditizi;
  3. La comunicazione anticipata all’autorità di controllo dell’esternalizzazione della segnalazione delegata;
  4. La riservatezza delle informazioni da fornire all’autorità di controllo.

In altre parole, la delega della segnalazione di un incidente di sicurezza corrisponde all’esternalizzazione di una funzione operativa importante, con la conseguente applicazione delle previsioni previste dalla Circolare n. 285/2013 e dai prossimi Orientamenti EBA in tema di Outsourcing.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4