Il convegno di quest'anno ha avuto fra i temi dominanti la circolare 263 di Banca d'Italia, 15° aggiornamento, essendo dedicati a questo argomento un quarto degli interventi effettuati.
Per i non bancari ricordo che questa circolare ha rivisto in buona misura il ruolo dei controlli interni nelle banche (quindi audit, compliance, risk management...), ha normato in modo molto significativo i sistemi informativi delle banche ed è anche intervenuta, seppure in misura minore, sulla normativa attinente alla business continuity in vigore dal 2004.

Nel precedente numero di questa rivista ho presentato l'attività che il GDR AIEA dedicato alla 263 ho svolto, mappando l'intero contenuto della circolare su COBIT 5 (in realtà per il capitolo 7 sono stati mappati solo gli elementi di collegamento con i capitoli 8 e 9).

Al di fuori dell'ambito bancario in senso stretto la normativa ha grossi impatti sui fornitori dei gruppi bancari, che devono sottostare ad una precisa regolamentazione contrattuale nei loro rapporti con le banche. Il perimetro dei soggetti coinvolti della normativa e dai relativi impatti è quindi molto più vasto di quanto inizialmente si è portati a considerare. Inoltre, al di là di questa sono direttamente coinvolti, le normative che hanno impatti in ambito ICT emesse da Banca d'Italia, così come quelle relative alla pubblica amministrazione, spesso introducono una serie di elementi e spunti che, sapientemente utilizzati, possono essere da guida anche in altri settori.
Ricchissimo di materiale liberamente utilizzabile è a tal riguardo ad esempio il sito dell'Agenzia per l'Italia digitale (www.agid.gov.it), mentre il testo della 263 è reperibile sul sito di Banca d'Italia https://www.bancaditalia.it/vigilanza/normativa/norm_bi/circ-reg/vigprud/agg_15_del_02072013

Si può ad esempio trarre spunto da quanto ha normato Banca d'Italia nei capitoli 7, 8 e 9 della circolare per definire regole di comportamento con i fornitori anche in altri settori, o trarre spunto dal capitolo 8, dedicato alla governance e presidio dei sistemi informativi per applicare le stesse logiche anche nelle aziende di maggiori dimensioni.
Gli interventi qui descritti, presentati durante il convegno, non vanno quindi a mio avviso interpretati solo come dedicati al mondo bancario, ma come facilmente estensibili ed utilizzabili altrove.

Sergio Eufemi, di IBM Italia, ha presentato un intervento dal titolo "L'evoluzione del rischio informatico nell'azienda che cambia" nel quale ha evidenziato la crescente importanza della continuità operativa non solo in ambito bancario, ma più in generale relativamente a qualunque attività imprenditoriale.
L'intervento ha dato evidenza di come vi sia una continuità fra le misure che garantiscono l'alta affidabilità/disponibilità intervenendo sulla ridondanza dei singoli componenti e le misure tese a presidiare situazioni che comportano l'attivazione di un vero e proprio disaster recovery.
L'intervento oltre a presentare diversi scenari tradizionali, propone i servizi cloud come un possibile ponte fra le soluzioni di più alto livello, tese a garantire tempi di ripristino molto rapidi (come quelli richiesti per i servizi critici della banche) e quelle che, con costi molto più contenuti, garantiscono un ripristino delle funzionalità con tempi decisamente più lunghi.

Fabio Colombo, di Ernst & Young Financial-Business Advisors S.p.A.ha presentato un intervento dal titolo "ll ruolo del sistema informativo per le funzioni di controllo secondo la normativa 263 di Banca D'Italia", nel quale da una visione complessiva degli ambiti di controllo e gestione dei rischi nel sistema informativo, con particolare riferimento a: IT Risk, ICT Compliance, ICT Security, Data Governance ed esternalizzazioni IT.

Daniele Cericola, del Gruppo Banca Carige ha presentato un intervento dal titolo "Data Governance: passato, presente e futuro."
L'intervento di Daniele parte con alcune considerazioni su come L'IT ha indirizzato e soddisfatto requisiti di business, organizzativi e tecnologici, a discapito dell'effetto sui dati e su come le significative richieste di Banca d'Italia avranno i futuro impatti ad esempio in termini di presidio e controllo sulle architetture, sullo sviluppo sw e sui flussi di dati.

Da ultimo, l'intervento di Valentina Binasco, della Federazione Lombarda delle BCC dal titolo "Nuove Disposizioni di Vigilanza Prudenziale: nuove regole per i contratti di esternalizzazione"
ha puntualmente presentato, raggruppandoli per capitolo, i contenuti minimi che devono essere presi in considerazione nella formulazione di un contratto con un fornitore esterno dopo aver attivato un adeguato processo di valutazione sulla capacità dello stesso e sulla qualità dei servizi offerti.

Di questo intervento ritengo interessante presentare parte del contenuto, in considerazione del suo possibile riuso in ambiti ben più ampi del mondo bancario.
Valentina Binasco prende in considerazione le caratteristiche minime di un contratto di esternalizzazione, così come richiesto dalla normativa di Bankit e ne fa un puntale elenco:

• i diritti e gli obblighi delle parti
• i livelli di servizio attesi, in termini oggettivi e misurabili e le relative soglie di rilevanza, e le informazioni necessarie per la verifica del loro rispetto
• gli eventuali conflitti di interesse e le misure per la prevenzione/attenuazione degli stessi
• i livelli di servizio assicurati in caso di emergenza e le soluzioni di continuità
• le condizioni al verificarsi delle quali possono essere apportate modifiche all'accordo
• la durata dell'accordo, le modalità di rinnovo e gli impegni reciproci connessi all'interruzione dello stesso
• il diritto di accesso, per l'Autorità di vigilanza, ai locali in cui opera il Fornitore di servizi
• l'obbligo a carico del fornitore di informare tempestivamente la Banca di qualsiasi evento che potrebbe incidere sulla sua capacità di svolgere le funzioni esternalizzate in maniera efficace e in conformità con la normativa vigente
• clausole risolutive espresse per porre fine all'accordo di esternalizzazione in caso di eventi che compromettano la capacità del Fornitore di garantire il servizio o in caso di mancato rispetto del livello di servizio concordato
• le modalità di partecipazione diretta o per tramite di specifici Comitati Utente alle verifiche dei piani di continuità
• la sicurezza delle informazioni relative all'attività bancaria (disponibilità, integrità e riservatezza)
• il rispetto della normativa sulla protezione dei dati personali
• la disciplina della sub-esternalizzazione
• l'obbligo per il Fornitore di servizi di osservare la policy di sicurezza informatica aziendale
• il trattamento dei dati in accordo con il loro livello di classificazione, con particolare riferimento alla riservatezza
• la proprietà di dati, software, documentazione tecnica e altre risorse IT, con l'esclusiva per la Banco sui dati inerenti la clientela e i servizio ad essa forniti
• la periodica produzione delle copie di backup del sistema informativo con la possibilità per la Banca di accedere a richiesta a tali copie
• la ripartizione dei compiti e delle responsabilità attinenti i presidi di sicurezza per la tutela di dati, applicazioni e sistemi
• le procedure di comunicazione e coordinamento in caso di incidenti di sicurezza informatica e di continuità operativa
• la definizione di livelli di servizio coerenti con le esigenze delle applicazioni e dei processi aziendali che si avvalgono dei servizi esternalizzati
• la predisposizione di misure di tracciamento idonee a garantire la responsabilizzazione (accountability) e la ricostruibilità delle operazioni effettuate
• il raccordo con i ruoli e le procedure definite all'interno della Banca per il processo di analisi dei rischi e per il sistema di gestione dei dati
• la possibilità per la Banca di conoscere periodicamente l'ubicazione dei data center e un'indicazione del numero di addetti con accesso ai dati riservati o alle componenti critiche
• l'obbligo per il Fornitore di servizi, una volta concluso il rapporto contrattuale e trascorso un periodo di tempo concordato, di eliminare qualsiasi copia o stralcio di dati riservati di proprietà della Banca e presente su propri sistemi o supporti, in modo da escludere qualunque accesso successivo da parte del proprio personale o di terzi
• i livelli di servizio assicurati in caso di crisi e le soluzioni di continuità operativa poste in atto dal fornitore di servizi, adeguati al conseguimento degli obiettivi aziendali e coerenti con le prescrizioni della Banca d'Italia
• le modalità di partecipazione, diretta o per il tramite di comitati utente, alle verifiche dei piani di continuità operativa dei fornitori
• le cautele contrattuali per evitare il rischio che, in caso di esigenze concomitanti di altre organizzazioni (in particolare se situate nella stessa zona), per il quale fornitore abbia impegnato le stesse risorse per fornire analoghi servizi, le prestazioni degenerino o il servizio si renda di fatto indisponibile

La scelta di avvalersi di un fornitore esterno deve essere preceduta da un'analisi dei rischi che deve tenere conto di:

• rischi delle risorse e dei servizi da esternalizzare (es. criticità dei dati, criticità delle operazioni, rischi connessi alla perdita del controllo, etc)
• rischi connessi al fornitore (es. condizioni finanziare, qualità dei sub-fornitori, infrastruttura tecnologica, etc)
• grado di dipendenza tecnologica
• rischi derivanti dalla perdita del controllo diretto su componenti e personale critici del sistema informativo
• rischi inerenti le linee di comunicazione utilizzate (ad esempio: mancanza di ridondanza)
• rischi relativi all'affidabilità, alla sicurezza ed alla scalabilità delle tecnologie adottate.

Inoltre la Banca deve accertare che il Fornitore possegga:

• le infrastrutture tecnologiche ed operative necessarie
• il personale con l'esperienza e la competenza idonea
• l'esperienza e la capacità di assicurare un livello adeguato di qualità e sicurezza
• la capacità di assicurare la continuità operativa dei servizi

E' intuitivo, da una analisi di quanto qui riportato, individuare quali elementi possono essere facilmente trasposti anche in altri ambiti.