Banner Pubblicitario
12 Luglio 2025 / 08:00
Technology-risk management: 5 regole per una banca sicura

 
Sicurezza

Technology-risk management: 5 regole per una banca sicura

di Mattia, Schieppati - 19 Ottobre 2016
La rapida implementazione di servizi digitali ai clienti richiede maggiori sforzi contro i cyber attacchi. Da McKinsey un elenco di buone pratiche per ridisegnare un perimetro di sicurezza. Avvertenze numero 1 e 2: adottare un approccio "business first" e presidiare ogni sottoarea dell'IT-risk management ...
Il titolo del documento è significativo: Il fantasma nella macchina . La macchina analizzata dagli specialisti di McKinsey in un interessante approfondimento sul blog interno , è l'azienda-banca nell'epoca sempre più accelerata della mutazione digitale. Il "fantasma", che c'è ma non si vede, è rappresentato da tutti quei nuovi rischi legati all'implementazione in tempi ristretti di un gran numero di tecnologie che sono intrinseci a questa stessa fase di sviluppo. Ecco perché assume un rilievo particolare una funzione che fino a pochi anni fa era secondaria o al più era un "di cui" della divisione IT: quella del Technology-risk management (IT-risk management).

Monitorare smartphone e device

«Se da una parte le banche stanno beneficiando enormemente dei software e dei sistemi tecnologici che hanno potenziato la loro attività, dall'altro sono diventate più esposte ai rischi che l'uso massiccio della stessa tecnologia comporta», spiegano gli analisti, che si riferiscono in particolare alla quantità sempre più ingente di servizi tecnologici messi direttamente a disposizione dei clienti : la possibilità di effettuare transazioni attraverso device mobili ha aperto milioni di potenziali punti di accesso (ciascuno degli smartphone utilizzati da ogni singolo cliente) a chi tentasse di entrare in maniera fraudolenta nel sistema della banca. Altro fronte viene dai processi sempre più complessi di data management , dovuti al fatto che con l'interazione digitale i dati dei clienti che la banca raccoglie, immagazzina e processa sono diventati esponenzialmente più numerosi. E quindi aumentano i fattori di rischio che richiedono di pari passo investimenti sempre maggiori.

Un team dedicato

Il necessario cambiamento di paradigma deve prevedere per tutto questo un approccio "IT-oriented", l'unica strada per una strategia che sia in grado di tenere conto sia delle implicazioni di business sia delle interdipendenze operative. «Cavarsela "in qualche modo" non è più un'opzione perseguibile», scrive McKinsey. «Un'adeguata mitigazione del rischio tecnologico richiede uno sforzo coordinato: le principali banche stanno creando team specializzati sul Technology-risk all'interno del reparto che si occupa di gestione del rischio aziendale. Team specializzati, certo, ma che devono essere ben integrati con il resto delle funzioni aziendali, ed essere parte della trasformazione in atto».
Perché chi si occupa di Technology-risk sia funzionale all'azienda, McKinsey mette nero su bianco una serie di principi che «non costituiscono un manuale operativo, ma propone degli indicatori per costruire - a seconda delle specifiche realtà aziendali - buone pratiche di Technology-risk management. Tenendo sotto osservazione questi indicatori, è possibile monitorare la crescita dei livelli di rischio associati allo sviluppo digitale».

I 5 principi di sicurezza

1. Adottare un approccio "business first". Le aziende possono avere un quadro completo dei fattori di rischio solo se si instaurano modalità di dialogo costante tra il reparto IT e chi sviluppa il business: così si identificano i processi di business potenzialmente critici (protezione dei dati, delle tecnologie proprietarie ad esempio per il trading, ecc.). Il team che si occupa di Technology risk management deve occuparsi della valutazione del rischio, ma le decisioni strategiche sull'approccio alla sicurezza devono essere in capo al top management aziendale.
2. Presidiare ogni area dell'IT-risk management. La sicurezza è spesso suddivisa in tante sotto discipline: sicurezza informatica, disaster recovery, gestione di parti terze, IT compliance, ecc. Con lo sviluppo di tecnologie sempre più trasversali a questi contesti, occorre sinergia per avere tutte le aree presidiate senza sovrapposizioni (vedi infografica sotto).
3. Strutturare una piattaforma di risk management condivisa. La gestione dell'IT-risk management non può essere scollegata dalla gestione del rischio aziendale. Serve una piattaforma tecnologica condivisa dai due team, in modo da avere: informazioni coerenti e dati aggregati sulle situazioni di rischio e quindi tutti gli strumenti necessari per prendere decisioni.
4. Cambiare la logica degli incentivi per gli IT manager. La consapevolezza di essere "in ritardo" nella gestione dell'IT-risk management può portare a volte a premiare i team che garantiscono la consegna "a breve termine" che risponda alle task indicate. In questo modo, si perde di vista la "coda lunga" del rischio, che spesso è quella che porta danni più significativi.
5. Investire sui talenti . La gestione del rischio tecnologico richiede pensiero critico, esperienza e specializzazione in ambito IT. Persone che abbiano questo tris di competenze sono fondamentali, ma difficili da trovare. Per questo, è importante investire in formazione, per far crescere talenti al proprio interno (il che è meno costoso che andare a cercarli sul mercato, e soprattutto riguarda persone che conoscono già le funzioni della banca e le pratiche operative di risk management).
GUIDA ALLA TASSAZIONE 2025_Banner Medium
ALTRI ARTICOLI

 
Banca

Panetta (Banca d’Italia): Finanza e innovazione per il futuro dell'economia

Il Governatore della Banca d’Italia, Fabio Panetta, è intervenuto questa mattina all’Assemblea dell’ABI che si è svolta a Milano. Qui il suo...

 
Banca

Patuelli (Presidente ABI): In un’epoca di incertezze, le banche strumento fondamentale di stabilità e di sviluppo

Si è svolta oggi, presso l’Aula Magna dell’Università Bocconi di Milano, l’Assemblea dell’ABI. Nel discorso di apertura dei lavori, che...

 
Scenari

Patuelli (ABI): Solidità delle banche cruciale per affrontare le incertezze internazionali e promuovere la crescita

In un contesto globale segnato da conflitti e instabilità economica, il Presidente ABI Antonio Patuelli aprendo l'Assemblea annuale ABI rilancia il...
Supervision, Risks & Profitability 2025
L’evento annuale promosso da ABI, in collaborazione con DIPO, dedicato ai temi della Vigilanza Europea e...
Icona Facebook Icona Twitter Icona LinkedIn
Banche e Sicurezza 2025
L’evento annuale promosso da ABI, in collaborazione con ABI Lab, CERTFin e OSSIF per conoscere ed esplorare...
Icona Facebook Icona Twitter Icona LinkedIn
Bancaforte TV
Caselli (SDA Bocconi): Un cielo di opportunità, ma le nuvole non mancano
È ora il momento per costruire un vero ecosistema tra banche e mercati finanziari, capace di canalizzare il...
Icona Facebook Icona Twitter Icona LinkedIn
Torriero (ABI): Banche, finanza e imprese, serve un approccio coordinato per promuovere la crescita
Incertezza, trasformazione e coerenza sono le parole chiave dell’intervento di Gianfranco Torriero, Vice...
Icona Facebook Icona Twitter Icona LinkedIn
Banner Pubblicitario