digitalizzazione e compliance

Public Cloud per le banche: i 5 requisiti normativi da approfondire con il provider

Dalla localizzazione dei data center alle modalità di audit, ecco gli elementi su cui chiedere chiarimenti in fase di negoziazione. Un’analisi di Anna Italiano, Senior Legal Consultant di P4I, sulle prescrizioni relative alla fruizione di servizi cloud che il fornitore è tenuto a garantire secondo la Circolare 285 del 2013 di Banca d’Italia

Pubblicato il 08 Mag 2017

banking-cloud

Le banche stanno mostrando crescente interesse per l’adozione di tecnologie di cloud computing. Lo scorso anno, la “Rilevazione sull’IT nel sistema bancario italiano” di CIPA e ABI ha evidenziato che il 59% dei gruppi bancari del vasto campione esaminato ha già adottato in via definitiva uno o più servizi cloud, il 4,6% li utilizza in via sperimentale e il 9,1% ne prevede l’adozione entro il 2018. È solo una delle molte indagini che confermano il trend. Nonostante questo, però, i provider di public cloud stentano ancora fortemente a penetrare il settore bancario.

Il deployment model di gran lunga prevalente è infatti quello private, seguito, in misura più ridotta, dall’hybrid; mentre ancora decisamente contenuto e residuale appare il ricorso al modello public, utilizzato soprattutto per servizi SaaS.

Questo perché, oltre alle tradizionali (e in parte ingiustificate) remore per i rischi di sicurezza e riservatezza dei dati trattati in cloud, esistono specifiche indicazioni normative, dettate da Banca d’Italia con la circolare di vigilanza prudenziale n. 285 del 2013, che impongono agli intermediari particolare cautela nella valutazione delle offerte di servizi esternalizzati. E la rigidità generalmente dimostrata dai cloud provider rispetto alle possibilità di derogare ai propri standard contrattuali di certo non aiuta.

Va detto però che, a parte i casi di esternalizzazione di una funzione operativa importante (FOI) della Banca – secondo la definizione datane dalla citata circolare 285 – ovvero una componente critica del sistema informativo (esternalizzazioni per le quali Banca di Italia impone una serie puntuale di prescrizioni ulteriori rispetto a quelle qui considerate), i requisiti normativi in sede di contrattualizzazione del servizio sono scarni e generalmente corrispondono a previsioni o garanzie già contenute nella contrattualistica standard dei provider.

Cerchiamo, quindi, di fare un po’ di chiarezza su quali sono le prescrizioni di Banca d’Italia relative alla fruizione di servizi cloud.

La circolare n. 285 prevede, in realtà, i seguenti specifici requisiti che il provider di public cloud che indirizzi la propria offerta al mondo bancario è tenuto a garantire rispetto al servizio proposto e a traslare sul piano dei contenuti contrattuali:

  • Localizzazione dei data center

La normativa settoriale impone al provider di comunicare preventivamente l’ubicazione dei data center ove risiedono o possono essere tratti i dati di titolarità della Banca. Tale indicazione, peraltro, ribadisce quanto raccomandato – con specifico riferimento al cloud e con valenza generale estesa alla PA e a tutti i settori di mercato – dal Garante per le protezione dei dati personali, che in più occasioni ha sottolineato che conoscere esattamente i luoghi in cui può avvenire il trattamento dei dati rientra tra i poteri/doveri di indirizzo e controllo che l’azienda che ricorre al cloud (titolare del trattamento) deve dispiegare nei confronti dell’operato del cloud provider (responsabile del trattamento).

  • Isolamento dei dati

A garanzia della riservatezza e dell’integrità dei dati, Banca d’Italia richiede che il provider assicuri adeguati meccanismi di isolamento dei dati di un intermediario rispetto a quelli di altri clienti. Qualora la documentazione contrattuale fornita durante la negoziazione del servizio non sia sufficientemente esplicativa in punto, occorrerebbe rivolgere quindi al provider tutte le richieste di chiarimento ritenute opportune al fine di indirizzare la conformità al requisito. Occorre, peraltro, ricordare che la maggior parte dei servizi presenti sul mercato dell’offerta cloud si dichiara conforme alla certificazione ISO 27001, ove sono previsti specifici requisiti in materia di segregazione.

  • Service Level Agreement, anche relativi alle situazioni di emergenza

La previsione di specifici SLA costituisce una componente fondamentale dell’offerta cloud e non è, pertanto, infrequente che la documentazione contrattuale predisposta dal provider contenga già specifiche previsioni che indirizzano tale requisito. Le criticità rilevabili in materia attengono, piuttosto, alla discrepanza tra livelli di disponibilità del servizio magari anche molto elevati contrattualmente garantiti dal provider, e crediti di servizio spesso irrisori riconosciuti per l’eventuale violazione dei livelli di servizio contrattualizzati, specie se valutati in relazione ai danni potenzialmente derivabili da un’indisponibilità del servizio. Inoltre, quasi mai le offerte sul mercato contengono riferimenti specifici ai livelli di servizio garantiti in situazioni di emergenza, che dovranno, quindi, essere espressamente valutati e discussi con il provider.

  • Ricostruibilità degli accessi e delle modifiche effettuate sui dati

Anche il Garante italiano e il Gruppo di Lavoro ex art. 29 hanno sottolineato l’importanza che il contratto di servizio preveda e garantisca al cliente meccanismi di monitoraggio e logging delle operazioni di trattamento eseguite dal fornitore e dai suoi eventuali subcontraenti. Tale indicazione si assomma, peraltro, al provvedimento del Garante per la protezione dei dati personali n. 192 del 2011, che ha imposto l’adozione di specifiche misure di tracciamento delle operazioni bancarie effettuate dagli incaricati dell’intermediario sui dati personali della clientela. Misure che, come chiarito dallo stesso Garante con provvedimento del 18 luglio 2013, “debbono essere osservate pure dalle società che operano in outsourcing – anche quando non appartengono al gruppo bancario – allorché l’attività esternalizzata sia connessa all’esecuzione di rapporti contrattuali (intercorrenti tra banca e cliente) e richieda l’utilizzo di funzioni applicative a supporto dell’operatività bancaria”.

  • Modalità di Audit

La valutazione e la previsione di specifiche procedure di controllo e verifica sull’operato del fornitore cloud è forse uno degli aspetti che più tende a differire rispetto alle modalità tipiche di audit dei tradizionali rapporti di outsourcing. Le caratteristiche di multitenancy che contraddistinguono l’offerta di public cloud rendono per lo più impercorribile l’accesso in loco presso le strutture del provider, anche per esigenze di protezione della confidenzialità dei dati. Di tale diversità strutturale del cloud rispetto all’outsourcing tradizionale sembrerebbe prender atto la stessa Banca di Italia, laddove, tra le indicazioni della circolare 285 specifiche sui servizi cloud, afferma che le modalità di audit devono essere concordate con il fornitore avuto riguardo anche alla criticità delle risorse esternalizzate e “in considerazione dell’architettura del fornitore”. In pratica, viste le peculiarità delle architetture cloud, l’adempimento del requisito in esame ben potrebbe passare dalle verifiche e dalle certificazioni di auditor terzi, i cui rapporti vengano poi messi a disposizione dell’intermediario.

* Senior Legal Consultant di P4I-Partners4Innovation

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4