In un mondo sempre più digitale ed iperconnesso, dove lo sviluppo tecnologico dilaga e apre nuove frontiere in tutti i settori economici e sociali, e in particolare nel settore finanziario, sostenere il cambiamento significa poter cogliere le nuove opportunità derivanti dalla cultura dell’innovazione resa possibile attraverso le tecnologie dell’informazione e della comunicazione. Consapevole di questo momento di svolta, l’Unione Europea ha deciso di abbracciare la transizione digitale e di agevolarla attraverso una serie di misure volte ad armonizzare la disciplina nei vari settori di propria competenza: tra questi, quello finanziario, per il quale ha scelto di intervenire con il c.d. “Pacchetto Europeo sulla Finanza Digitale”. Il pacchetto contiene una strategia in materia di finanza digitale rappresentata attraverso tre proposte: la prima sui mercati delle cripto-attività (MiCA), la seconda sul Regolamento DORA – Resilienza Operativa Digitale e infine, la terza, sulla tecnologia di registro distribuito (DLT).
Secondo la Commissione europea, i costi degli incidenti operativi nel settore finanziario potrebbero oscillare tra i 2 e i 27 miliardi di euro all’anno. Le imprese finanziarie sono diventate il bersaglio di attacchi informatici che possono causare gravi danni finanziari o alla reputazione per i consumatori e le imprese.
Il Pacchetto Europeo sulla Finanza Digitale
Il 24 settembre 2020 la Commissione europea ha presentato il Pacchetto Europeo sulla Finanza Digitale.
Il pacchetto si pone un importante e attuale obiettivo: colmare le lacune nella legislazione vigente e garantire che il quadro giuridico europeo infonda affidabilità e non ostacoli all’uso di nuovi strumenti finanziari digitali. In tal modo, il pacchetto mira a sostenere l’innovazione e l’adozione di nuove tecnologie finanziarie, garantendo nel contempo un livello adeguato di protezione dei consumatori e degli investitori.
In data 24 novembre 2021, il Consiglio ha adottato la sua posizione sul regolamento sui mercati delle cripto-attività (MiCA) e sulla resilienza operativa digitale (DORA). L’accordo costituisce il mandato del Consiglio per avviare i negoziati di trilogo (in cui prendono parte alcuni rappresentanti di Parlamento, Consiglio e Commissione, in via informale) con il Parlamento europeo.
Essendosi il Consiglio Europeo espresso con parere favorevole solo a conclusione dell’anno 2021, l’emanazione e la successiva entrata in vigore di questi nuovi regolamenti è presumibilmente prevista solo dopo la primavera/estate 2022.
Il Regolamento DORA: obiettivi, principi e previsioni
La proposta di Regolamento DORA rappresenta la strada che l’Unione Europea sta tracciando per consentire al settore finanziario di progredire verso il conseguimento della Resilienza Operativa Digitale. Con l’acronimo T.I.C. (TIC – Tecnologie dell’informazione e della comunicazione), sono indicati tutti i metodi e le tecniche utilizzate nella trasmissione, ricezione ed elaborazione di dati, informazioni e servizi digitali.
Il Regolamento DORA, infatti, da un lato, stabilisce dei chiari obblighi in materia di testing e di stesura di specifiche strategie, politiche, procedure e strumenti interni e, dall’altro, definisce un insieme dettagliato di regole volte all’individuazione e alla gestione dei rischi TIC derivanti dagli asset logici e fisici.
Sotto questo profilo, è importante considerare che gli obblighi inerenti la gestione dei rischi TIC avrà alla base una politica e una strategia solida, esaustiva e documentata e, al contempo, deve essere in grado di assicurare un elevato livello di resilienza operativa commisurata alle esigenze, alle dimensioni e alla complessità dell’attività commerciale.
Ancora una volta, in sede di applicazione normativa, gli enti finanziari saranno chiamati a considerare due importanti principi:
- Il principio di accountability che determina la necessità di documentare la strategia di gestione della resilienza operativa (principio già richiamato a livello nazionale dalla Circolare di Banca d’Italia n. 285/2013 e previsto dalla normativa in materia di protezione dati personali); e
- Il principio di proporzionalità che determina la necessità di scegliere in modo sostanziale quell’insieme di regole e misure in grado di assicurare un’adeguata protezione degli asset logici e fisici alle esigenze commerciali, al dimensionamento e alle relative risorse (principio già previsto dalla Circolare 285 e dagli orientamenti EBA sulla gestione delle esternalizzazioni).
Specificatamente alcune disposizioni saranno applicabili esclusivamente alle entità finanziarie che non rientrano nella definizione di micro impresa, come ad esempio introdurre complesse disposizioni di governance e funzioni di gestione dedicate, di effettuare valutazioni approfondite dopo le modifiche di rilievo delle infrastrutture critiche di reti e di sistemi informativi, di compiere periodicamente analisi dei rischi sui sistemi TIC esistenti, di ampliare i test sulla continuità operativa e i piani di risposta e ripristino per descrivere gli scenari di passaggio tra le infrastrutture di TIC primarie.
Elementi innovativi introdotti dal Regolamento DORA
La resilienza operativa, di fatto, si fonda su una serie di prescrizioni e principi chiave concernenti il quadro di gestione dei rischi relativi alle TIC che si ispirano a norme, linee guida, raccomandazioni fissate a livello internazionale, nazionale e settoriale in materia di gestione dei rischi relativi alle TIC.
Un quadro normativo capillare e complesso che dovrà individuare, per il settore finanziario, la strada per operare in modo pienamente consapevole e prescrivere i presidi da attuare per poter fronteggiare l’esponenziale aumento dei rischi e delle minacce connessi alla digitalizzazione.
Infatti, il settore finanziario odierno presenta una superficie di attacco sempre più ampia e vulnerabile per le organizzazioni che oggi hanno anche la possibilità di usufruire di una vasta gamma di dati e servizi tecnologici di terze parti. Stabilire delle chiare regole e procedure per affrontare al meglio questi aspetti rappresenta quindi un tema che non può più essere rimandato.
Regolamento DORA, definizione di un framework di Risk Management
Sotto questo aspetto il Regolamento DORA definisce un vero e proprio framework di Risk Management, nel quale sono ricomprese una serie di misure volte alla definizione di un chiaro processo end-to-end di gestione del rischio. Fermi i limiti e le condizioni di applicazione soggettiva alle entità diverse dalle micro imprese, i principali step che le entità finanziarie saranno tenute a svolgere sono, a titolo esemplificativo:
- Predisposizione di un quadro per la gestione dei rischi relativi alle TIC solido, esaustivo e adeguatamente documentato;
- Istituzione e manutenzione di strumenti e sistemi capaci di ridurre al minimo l’impatto dei rischi;
- Individuazione costante ed aggiornata delle fonti di rischio e individuazione tempestiva di eventuali attività anomale;
- Introduzione di nuove misure di protezione e prevenzione;
- Adozione di strategie di continuità operativa e di piani di ripristino, da intendere come parte integrante della strategia stessa di continuità operativa, da porre in essere in caso di disastro o grave incidente.
Per poter infine valutare il livello di preparazione agli incidenti connessi alle TIC, il Regolamento DORA prevede che le entità finanziarie stabiliscano un solido ed esaustivo programma di test di resilienza operativa digitale, al fine di identificare punti deboli, carenze o lacune e di mettere in atto tempestivamente misure correttive. Per poter raggiungere un adeguato livello di resilienza operativa è fondamentale che le entità finanziarie siano in grado di affrontare al meglio tutti i rischi legati a malfunzionamenti di processi e applicativi, garantendo continuità operativa.
Governo e gestione delle terze parti
Quanto ai rischi relativi alle TIC derivanti dalle terze parti, questi devono essere individuati e gestiti come una componente integrante nel proprio quadro di gestione dei rischi conformemente al principi di responsabilità, proporzionalità e di accountability.
Sotto il profilo contrattuale, il Regolamento DORA, in un’ottica di continuità rispetto all’orientamento intrapreso dall’Unione Europea negli ultimi anni, individua analiticamente i requisiti minimi che le entità finanziarie devono necessariamente ricomprendere all’interno degli accordi contrattuali stipulati con fornitori di servizi TIC In particolare, il legislatore europeo ha ribadito un principio contrattuale apparentemente scontato, ma evidentemente necessario ovvero che i diritti e gli obblighi delle parti contrattuali devono essere attribuiti in modo chiaro e puntuale, comprendendo anche gli accordi sul livello dei servizi.
Tra i vari elementi tipici del contratto, si citano inoltre, a titolo esemplificativo, gli obblighi di segnalazione, di assistenza in caso di incidente e di cooperazione in capo al fornitore nonché i diritti di accesso, ispezione e audit da parte dell’entità finanziaria. In ragione del fatto che alcuni di questi elementi contrattuali possono essere standardizzati, il Regolamento DORA auspica l’emanazione di clausole contrattuali standard per l’utilizzo di particolari tipologie di servizi, come ad esempio il cloud computing.
Le misure previste dal DORA consentono quindi, da un lato, di definire una serie di norme tecniche (in parte già integrate nella proposta, in parte ancora da formulare) volte a modificare la precedente disciplina in materia, dall’altro lato di estendere a tutto il settore finanziario europeo le best practices di derivazione nazionale ma giudicate positivamente dalle Autorità di Vigilanza. Tutte queste misurano mirano a garantire la protezione dell’integrità, della sicurezza e della resilienza delle infrastrutture e attrezzature fisiche che supportano l’uso della tecnologia nonché del personale e dei processi collegati alle TIC, senza però, allo stesso tempo, imporre una standardizzazione specifica e dettagliata alle entità finanziarie.
In questo modo, l’Unione Europea stimola il settore a rimanere non solo aggiornato rispetto al rapido sviluppo del contesto delle minacce informatiche, ma anche adeguato e pronto a rispondere in maniera resiliente ad eventuali attacchi e malfunzionamenti, così che gli operatori del mercato possano superare indenni i rischi connessi alle TIC in maniera efficiente, rapida ed esaustiva.
In conclusione
Il Regolamento DORA si applicherà a tutte le entità in ambito Financial Services andando quindi a ricomprendere un volume di circa 22 mila società. Per rendere l’idea dell’impatto soggettivo, queste nuove misure dovranno essere adottate non solo dalle società finanziarie di tipo tradizionale, tra le quali quindi istituti di credito, compagnie di assicurazione, fondi gestione, ma anche dai nuovi soggetti finanziari, quali i fornitori di servizi di criptovaluta, gli emittenti di cripto-asset e gli emettenti di token, nonché i fornitori terzi di servizi TIC.
Il processo di adozione di questo nuovo Regolamento sarà quindi talmente pervasivo che permetterà di parlare di una vera e proprio “onda d’urto digitale” per il sistema finanziario. L’Unione Europea ha aperto la strada ad una rivoluzione tecnologica per gli operatori economici del settore, i quali dovranno farsi trovare pronti per fare i conti con le nuove disposizioni normative e scongiurare l’applicazione di potenziali sanzioni amministrative che, come prescritto dall’art. 44 dello stesso Regolamento, dovranno essere efficaci, proporzionate e dissuasive.