Una nuova centralità per la cyber security nel settore finanziario
di Elena Chiocchio
-
28 Luglio 2022
Grazie al regolamento Dora le autorità di vigilanza avranno più potere di sorveglianza non solo sulle istituzioni finanziarie ma anche sui fornitori di servizi ICT in una logica più estesa di gestione del rischio delle terze parti
Le banche svolgono da sempre un ruolo di funzione sociale che ha impatto sulla macroeconomia ma anche – e soprattutto - sull’economia locale che coinvolge quotidianamente ogni singolo risparmiatore. Proprio per questo ruolo cruciale è necessario riflettere sulla grande trasformazione digitale che sta interessando l’ambito finanziario e su come questa stia influenzando l’utilizzo della tecnologia.
La tecnologia sta permeando la vita di ogni cittadino, fruitore dei servizi finanziari e quindi delle organizzazioni stesse; la conseguenza è una crescita inevitabile dei rischi connessi ai cyber attacchi. Per anni la protezione di questi rischi è stato un tema secondario, perché il focus sin dalla crisi finanziaria del 2008 è stato lo sviluppo di una resilienza finanziaria attraverso un corpus unico di regole volto soprattutto a disciplinare gran parte dei rischi associati ai servizi erogati dai player di settore.
In quel contesto la sicurezza operativa digitale è stata considerata solo marginalmente, lasciando discrezionalità nell’adozione delle azioni di tutela, con un proliferare di iniziative normative nazionali e di approcci alla vigilanza diversificati e settoriali.
«Migliorare, snellire e armonizzare le regole di condotta delle entità finanziarie nella gestione del rischio ICT e della resilienza cyber – afferma Fabio Colombo, responsabile di Accenture per la cybersecurity dei Financial Services per l’Europa - deve essere una priorità al fine di aumentare la focalizzazione delle autorità di vigilanza sui rischi informatici e sulla gestione degli incidenti. A tal fine il nuovo regolamento DORA, che è l’acronimo di Digital Operational Resilience Act, è uno strumento estremamente utile e valido a supporto del settore finanziario. Infatti, esso rappresenta un corpo normativo pensato per sostenere il potenziale della finanza digitale in termini di innovazione e di resilienza complessiva».
DORA entrerà in vigore nella seconda metà del 2022 e si stima la sua applicazione avverrà entro il 2024 e garantirà alle autorità di vigilanza il potere di sorvegliare non soltanto le istituzioni finanziarie ma anche i fornitori di servizi ICT in una logica più estesa di gestione del rischio delle terze parti. L’area di intervento per l’identificazione e l’assegnazione di ruoli e responsabilità nella gestione del rischio ICT, sarà con particolare riferimento a 4 ambiti:
- identificazione dei rischi
- predisposizione di misure di protezione e prevenzione
- rilevamento, risposta e recupero in caso di incidenti
- formazione e comunicazione.
In questo modo alle entità finanziarie sarà richiesto di definire e mantenere sistemi e processi ICT resilienti, che riducano al minimo l’impatto delle minacce, soprattutto strutturando processi di:
- identificazione e aggiornamento continuo delle minacce
- implementazione e monitoraggio delle misure di sicurezza
- rilevamento delle anomalie
- business continuity e disaster recovery
- presidio della sicurezza e della resilienza delle strutture fisiche di elaborazione delle informazioni.
Con la nuova normativa DORA, pertanto, la sicurezza informatica avrà finalmente il primo posto nell’agenda del settore finanziario.