Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

banca d'italia

Gestione del rischio in banca: la governance delle esternalizzazioni dopo il Gdpr

Sulla base delle linee guida dell’Autorità Bancaria Europea, Banca d’Italia è intervenuta sul concetto di esternalizzazione del sistema informativo degli istituti, per limitare i rischi di fuoriuscita di informazioni e utilizzo non autorizzato di strumenti aziendali a seguito di attacco cyber. Tutto quello che c’è da sapere

22 Lug 2019

Luca Bechelli

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Maria Cristina Daga

avvocato, Senior Legal Consultant P4I


La sicurezza della supply-chain nel mondo bancario negli ultimi anni è stata posta sotto attenzione da parte dei soggetti regolatori nazionali e europei. In poco meno di cinque anni, dal 15esimo aggiornamento della Circolare 285/13 di Banca d’Italia, fino all’emanazione più recente delle “Linee Guida (EBA/GL/2019/02) in materia di esternalizzazioni” da parte dell’Autorità Bancaria Europea (EBA, European Banking Authority), il 25 febbraio 2019, è stato disegnato, e via via rafforzato, un modello di sourcing, di governo e di responsabilità posta in capo agli istituti bancari – ma anche agli stessi fornitori – che trova difficilmente eguali in altri settori.

Contesto normativo europeo e raccordo con la normativa italiana

Con l’emanazione delle “Linee Guida (EBA/GL/2019/02) in materia di esternalizzazioni” è sopraggiunta per le Banche la necessità di adeguare gli accordi di esternalizzazione con elementi contrattuali nuovi ed integranti rispetto a quanto già previsto dalla Circolare di Banca d’Italia n. 285/2013. A partire dalla data della loro entrata in vigore (30 settembre 2019), oltre agli aspetti contrattuali, le Banche sono chiamate a porre in essere ulteriori adempimenti per la governance di tutte le esternalizzazioni e non solo delle esternalizzazioni di funzioni operative importanti o critiche.

Secondo l’EBA è onere degli istituti finanziari o di pagamento determinare se la funzione da esternalizzare è considerata critica o importante. Gli istituti finanziari o di pagamento devono inoltre disporre di solidi meccanismi di governance per gli accordi di esternalizzazione che non sono considerati critici o importanti. Pertanto, gli orientamenti prevedono alcuni requisiti che si applicano a tutti gli accordi di esternalizzazione, tenendo conto dell’applicazione del principio di proporzionalità.

In considerazione di ciò le Banche, nel ridisegnare il proprio modello architetturale, saranno tenute a sviluppare un sistema di gestione del rischio che comprenda tutte le esternalizzazioni e, quindi, ad applicare i presidi di monitoraggio e di controllo sulla performance dei fornitori e sugli accordi di esternalizzazione. Ciò si traduce con la necessità, per quanto possibile, di garantire che il proprio modello di gestione e controllo sia indipendente rispetto al fornitore e vi sia l’assenza di vincoli / condizioni contrattuali stringenti che possano legare troppo la Banca al medesimo soggetto fornitore.

Le Linee Guida quindi integrano e si aggiungono alle previsioni della Circolare 285/13, specificando più nel dettaglio gli aspetti regolatori in termini contrattuali e, in generale, di governance.

Anche Banca d’Italia, di conseguenza, è recentemente intervenuta sul concetto di esternalizzazione del sistema informativo in virtù della, sempre maggiore, necessità di garantire i rischi di fuoriuscita di informazioni e di utilizzo non autorizzato di strumenti aziendali a seguito di attacco cyber.

Gli obiettivi di Banca d’Italia risultano pienamente coerenti con le volontà dei regolatori europei, anche se tale apertura desta importanti preoccupazioni in termini di costi, tempi e soprattutto di risorse per procedere all’adeguamento e alla sorveglianza dei presidi necessari a garantire la compliance.

Di fatto, l’EBA ha spinto l’Autorità di Vigilanza a ridisegnare i confini poco geometrici in tema di esternalizzazione nel settore bancario e a tenere conto del panorama giuridico europeo in materia di sicurezza e protezione dei sistemi informatici e/o dei servizi di pagamento nonché, in ogni caso, dei dati personali, anche alla luce del Regolamento n. 679/2016 in materia di protezione dei dati personali (Gdpr).

L’esternalizzazione secondo il Gdpr

Analoga armonia la si denota anche in relazione al Gdpr, che stabilisce che qualora un trattamento sia esternalizzato, in tutto o in parte, è necessario nominare il terzo, come Responsabile del trattamento ai sensi dell’art. 28 GDPR, indipendentemente da come si qualifica l’attività che si esternalizza.

Il nuovo Regolamento stabilisce contenuti contrattuali puntuali e specifici che devono connotare gli accordi tra ogni Titolare (l’azienda o ente pubblico titolare del trattamento) che intende esternalizzare un trattamento di dati personali, e il Responsabile incaricato di detto trattamento (il fornitore di servizi esternalizzati, sia esso un outsourcer tradizionale o un cloud service provider).

Il titolare del trattamento dovrebbe ricorrere unicamente a responsabili che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, così garantendo la possibilità di mettere in atto misure di sicurezza adeguate alle esigenze di protezione espresse dal GDPR. Il ricorso, da parte del Responsabile, a codici di condotta o meccanismi di certificazione può certamente costituire un indice di garanzia e affidabilità, e, quindi, un elemento con cui il Titolare può dimostrare il rispetto degli obblighi relativi alla diligenza “in eligendo” dei propri Responsabili.

La posizione di Banca di Italia in tema “esternalizzazione”

In data 10 ottobre 2018, Banca d’Italia ha inviato una comunicazione alle Banche e alle Succursali di Banche per richiamare l’attenzione sulle misure di sicurezza e sui presidi di controllo per i servizi informatici esternalizzati o forniti da terze parti.

Nella menzionata comunicazione, Banca d’Italia ha ricordato, quanto già previsto nel capitolo 4 della Circolare, che l’esternalizzazione delle risorse e servizi ICT può assumere diverse forme a seconda del modello architetturale adottato:

  • funzioni operative importanti;
  • outsourcing verticale dedicato a specifici processi di business;
  • outsourcing orizzontale di servizi trasversali;
  • full outsourcing
  • esternalizzazione di componenti critiche del sistema informatico.

Nel caso in cui gli intermediari ricorrano al full outsourcing del sistema informativo o esternalizzino sue componenti critiche, le disposizioni ivi contenute prevedono puntuali presidi, che integrano e completano quanto previsto – in via generale – per tutti i casi di esternalizzazione di funzioni operative essenziali o importanti (disciplinate dal capitolo 3 “Sistema dei controlli interni” della Circolare 285/13).

Nel generale quadro normativo, senza dubbio garantista della sicurezza e dei presidi di controllo per i servizi informatici esternalizzati o forniti da terze parti, Banca d’Italia, nella comunicazione in parola, invita in modo più netto gli intermediari a verificare costantemente l’adeguatezza delle procedure e delle misure di sicurezza e controllo adottate per l’utilizzo di servizi e/o soluzioni informatici forniti da terze parti indipendentemente dalla circostanza che il rapporto si qualifichi come esternalizzazione.

La sensazione è quella di erodere, fino a far crollare, ogni barriera della distinzione tra esternalizzazione critica, esternalizzazione di un processo di business, esternalizzazione di un processo IT e, tra queste, esternalizzazione di un servizio cloud per equiparare, almeno concettualmente, la necessità di adottare presidi e processi valutativi in modo sostanzialmente uniforme per tutti gli accordi di esternalizzazione. Chiaramente, nel rispettare e nel vigilare la performance dei rapporti con i fornitori o con terze parti, le Banche dovranno tener conto del principio di proporzionalità che garantisca il profilo di rischio individuale e tenga conto della natura e del modello di business dell’istituto di credito.

Ciò equivale a dire che sono incluse nell’ambito di applicazione della normativa garantista della sicurezza e dei presidi di controllo le funzioni operative importanti, il full outsourcing o l’esternalizzazione di componenti critiche del sistema informatico, esternalizzazione di servizi cloud, ma anche semplicemente l’outsourcing verticale e outsourcing orizzontale o altre forme di servizi e/o soluzioni fornite da terzi, sempre, secondo proporzionalità.

La necessità di verificare periodicamente l’adeguatezza delle procedure e delle misure di sicurezza determina – di fatto – la conseguente affermazione di rendere necessario il ricorso all’analisi del rischio anche dei servizi già esistenti al fine di verificare la costante adeguatezza dei presidi adottati e le eventuali possibili azioni di mitigazione.

Alla base dell’orientamento progressista di Banca d’Italia si colloca l’indiscussa responsabilità per l’intermediario di effettuare una corretta analisi del rischio ICT, in termini di valutazione e gestione dei rischi nonché di analizzare le specifiche esigenze di sicurezza informatica a prescindere dal livello di standardizzazione dei servizi.

Infatti, si badi bene, Banca d’Italia precisa che la disciplina in materia di governo societario, controlli interni e gestione dei rischi – in particolare dei rischi ICT – impone agli intermediari di verificare i rischi assunti o assumibili nei diversi ambiti della propria operatività, in un’ottica integrata e coerente con le strategie aziendali e secondo proporzionalità.

Quest’obbligo ha carattere generale e trova applicazione anche quando gli intermediari ricorrono a terze parti per lo svolgimento di servizi in ambito ICT che non assumono la qualifica di esternalizzazione.

Valutazione del rischio in caso di servizi informatici esternalizzati o forniti da terze parti

Rientrando nella disciplina della Circolare 285, la comunicazione di Banca d’Italia non introduce, di fatto, cambiamenti significativi nel modo con il quale gli istituti devono valutare i rischi in caso di esternalizzazione. Si potrebbe dire, più appropriatamente, che tale comunicazione ricorda come il combinato disposto tra le disposizioni in materia di esternalizzazione e quelle di gestione del rischio IT rendono applicabili i requisiti di mitigazione dei rischi anche per quelle forniture che non hanno caratteristiche di criticità elevata.

Il chiarimento è, indipendentemente dalla valutazione soggettiva, comunque utile a sgombrare un’area di grigio della normativa vigente.

Da un lato, per ogni nuovo servizio realizzato o acquistato dall’istituto, non era possibile escludere l’obbligo di definizione di presidi di sicurezza che consentissero una mitigazione accettabile dei rischi IT. Ciò significa, ad esempio, che il ricorso a servizi Cloud (immaginiamo il caso SaaS, per semplicità), configurandosi come la realizzazione di un nuovo servizio, non poteva essere escluso dal perimetro di applicazione della Circolare 285.

Allo stesso modo, si ricorda, l’analisi dei rischi è richiesta in caso di cambiamenti rilevanti: ciò farebbe rientrare, e la lettera di Banca d’Italia pare andare in questa direzione, anche l’esternalizzazione di un servizio esistente, che preveda un cambio di tecnologia o meno, nell’ambito di applicazione dell’analisi dei rischi informatici.

Come detto precedentemente, la comunicazione non determina impatti sulle metodologie ed i modelli adottati dagli Istituti per l’analisi dei rischi IT, ma rafforza (per quelli che ancora fossero carenti in tal senso) l’esigenza che tali modelli siano predisposti per essere applicati ai servizi esternalizzati, e che comprendano anche quelle componenti dell’universo dei rischi IT che riguardano specificatamente l’esternalizzazione (es: lock-in, inefficacia nella definizione dei requisiti verso il fornitore, indisponibilità del fornitore, attacchi alla supply-chain, etc…).

Il primo aspetto, la predisposizione delle metodologie da utilizzare per la valutazione di rischio dei servizi esternalizzati, attiene a tutti quegli elementi di integrazione tra i criteri di valutazione del rischio che solo l’istituto può valutare (ad esempio, l’impatto sul business in caso di indisponibilità dei servizi) e le componenti di rischio IT “trasferite” al fornitore, che solo questi è in grado di quantificare (di solito, le probabilità di accadimento delle minacce informatiche con riguardo dell’infrastruttura IT del fornitore stesso).

In questo caso, il principale punto di attenzione è legato alla capacità dei due soggetti (l’istituto, da una parte, che deve utilizzare tali informazioni, ed il fornitore che deve produrre dei flussi informativi in molti casi per Istituti diversi, secondo formati di volta in volta da definire) di definire criteri oggettivi di valutazione che rafforzino la fiducia e assolvano alla necessità di esercitare una vera governance dei servizi esternalizzati da parte dell’istituto stesso. Tali criteri, pertanto, dovrebbero andare oltre alla semplice quantificazione di valori di probabilità di accadimento delle minacce (es: “la probabilità della minaccia malware è bassa”), ma dovrebbero piuttosto essere costituiti dagli indicatori da cui partire per consentire all’istituto, autonomamente, di valutare se il fornitore si dimostri realmente idoneo a proteggere i servizi affidati. In altre parole, partire dai controlli che il fornitore implementa, per esempio in relazione ad uno standard, se possibile valutati in termini di efficacia (si faccia riferimento ad esempio ai report ISAE3402), e/oppure valutare gli incidenti IT avvenuti nel tempo, possono essere approcci concreti che porteranno a modelli più maturi di gestione integrata, end-to-end, del rischio IT dei servizi esternalizzati.

Il secondo aspetto, ovvero la completezza degli scenari di rischio in caso di esternalizzazione, può costituire un elemento di forte attenzione, soprattutto alla luce delle “Linee Guida EBA per l’Assessment dei Rischi ICT”, che nell’ambito dei rischi IT includono in modo esplicito le componenti di rischio legate ai fornitori, così come ricordano, per gli istituti che ancora non abbiano provveduto a seguito della Circ.285, la necessità di mantenere sotto controllo la componente IT dei rischi strategici aziendali. In questo periodo di rapida evoluzione tecnologica, sotto la spinta dell’innovazione introdotta dal mobile e dalla competizione delle Fintech, l’incidenza della filiera di fornitura IT nell’attuazione delle strategie commerciali e di evoluzione del modello di “fare banca” è senz’altro, anche se non in tutti i casi, significativa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3