IL RISCHIO INFORMATICO
3.1 DEFINIZIONE ED EVOLUZIONE DEL RISCHIO INFORMATICO
In concomitanza con l’evoluzione dell’informazione, delle tecnologie e della comunicazione si sono sviluppati, assumendo un ruolo centrale nell’assetto organizzativo e funzionale delle imprese e delle istituzioni, i sistemi informatici. La propagazione delle tecnologie, basata sull’utilizzo di Internet, inoltre, ha condotto l’impresa a collaborare in maniera più incisiva con soggetti interni ed esterni e sistemi informatici. In questo scenario assume un’importanza fondamentale per l’impresa l’adozione di efficaci ed efficienti politiche di sicurezza informativa; questo però non è un compito semplice considerando sia la costante evoluzione delle tecnologie sia la richiesta di un maggior impegno organizzativo, operativo e finanziario a tutti i livelli della struttura aziendale. Tutto ciò riguarda in particolar modo le banche in quanto, la possibilità di offrire servizi sempre più sicuri ed affidabili, costituisce un fattore di vantaggio competitivo. L’adozione da parte dell’intermediario di una inadeguata politica di sicurezza, considerando lo sviluppo dei canali distributivi ad elevato contenuto tecnologico degli ultimi anni, potrebbe comportare un’offerta di servizi poco affidabili che determinerebbe danni all’immagine e alla reputazione della banca.
Con l’obbligo per queste ultime di rispettare gli accordi di Basilea, le stesse hanno dovuto estendere la propria tradizionale concezione di rischio considerando non solo i fattori finanziari, creditizi e di mercato, ma anche una serie di elementi che riguardano il contesto in cui le banche svolgono la propria attività (come per esempio l’individuazione dei fattori di rischio, la loro valutazione e predisposizione di misure preventive e correttive), coinvolgendo, rispetto al passato, molteplici attori e sistemi d’impresa.
All’interno di questo contesto si colloca l’introduzione e la crescente diffusione delle tecnologie informatiche nel settore bancario che ha determinato l’automazione delle attività e di interi processi precedentemente svolti manualmente, ed ha messo in evidenza il problema per le banche di garantire il continuo e corretto funzionamento dei sistemi
52 informatici e tecnologici per soddisfare l’intero mercato. In questo ambito può essere definito il rischio informatico e cioè “il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all’utilizzo di tecnologia dell’informazione e della comunicazione (ICT) 50“ , intendendo sia il rischio compreso nella tecnologia, cioè il rischio diretto, sia il rischio che deriva dall’automazione di processi operativi aziendali, i rischi diretti. Questo rischio, considerato tra i rischi operativi, reputazionali e strategici, nel corso degli anni, ha progressivamente amplificato i suoi effetti a causa di:
Una maggiore integrazione tra sistemi informativi interni ed esterni;
Un tasso di innovazione tecnologica più sviluppato che rende obsolete, in modo molto rapido, le conoscenze e le capacità applicative degli intermediari;
Un’attenzione particolare, da parte della legge, a determinati temi come la riservatezza e la privacy;
Un maggior sviluppo di ambienti tecnologici che utilizzano gli stessi dati e le stesse informazioni;
Un aumento nell’impiego delle tecnologie da parte di attori esterni come, ad esempio, i consulenti e le società di rating.
Lo sviluppo dei fabbisogni informativi ha determinato un incremento tecnologico ed organizzativo dei sistemi informativi che sono aumentati sia di dimensioni sia di complessità comportando il passaggio da una struttura semplice dell’intermediario fondata su procedure manuali, ad una realtà più complessa. I primi segnali di sviluppo delle tecnologie all’interno della banca si sono avuti negli anni Settanta e Ottanta che rappresentano l’epoca della grande espansione dell’operatività bancaria. In questi anni infatti si consolida, all’interno del sistema bancario, la funzione EDP (Electronic Data Processing) 51 e accrescono le prime applicazioni di sportello che riescono ad offrire, attraverso una riduzione dei costi ed una migliore efficienza interna, un servizio qualitativamente migliore e più veloce al cliente. Si sviluppano inoltre sistemi informativi di programmazione e controllo che riescono a semplificare la gestione e la raccolta delle informazioni centralizzate al fine di renderle disponibili in modo facile e veloce all’interno
50
Banca d’Italia “Nuove disposizioni di vigilanza prudenziale per le banche”, Circolare 263/06, Cap 8.
51
Trattamento elettronico dei dati, rappresenta la funzione aziendale che si occupa dello sviluppo del sistema informativo aziendale.
53 della banca. Questo periodo di espansione però si bloccò a causa di elevata inflazione e contrazione dell’attività di intermediazione finanziaria che comportarono lunghi periodi di stagnazione52.
Le banche capirono che si stava affermando la globalizzazione dell’economia, non potevano più privilegiare la componente quantitativa della loro attività ma piuttosto dovevano concentrarsi sui costi di funzionamento e sul cliente ridefinendo, non solo i prodotti e i servizi, ma soprattutto la tempistica della propria gestione che doveva prevedere anziché valutare ex post, cercando di intervenire rapidamente con azioni correttive. Tutto ciò determinò, negli anni Novanta, lo sviluppo dei sistemi Enterprise Resource Planning (ERP), che integrano tutti i processi di business rilevanti di un’azienda e conducono alla crescita delle operazioni bancarie. In un contesto di consapevolezza da parte delle banche di dover rivedere l’intero modello di business e di conseguenza l’intero sistema informativo, nacquero le prime banche virtuali53 nelle quali i prodotti e servizi finanziari venivano offerti attraverso canali distributivi che prescindevano dal contatto personale con il cliente (web, call center). Anche le banche tradizionali svilupparono canali virtuali che, affiancati a quelli tradizionali, diedero vita al concetto di” multicanalità”.
Agli inizi degli anni Duemila il sistema bancario faceva parte di uno scenario competitivo molto dinamico, caratterizzato da elevati tassi di innovazione tecnologica e da clienti molto più esigenti e sofisticati rispetto al passato. Questa situazione mutò a causa della crisi finanziaria del 2007 che comportò gravi perdite per il sistema bancario mettendo in evidenza, sia l’incapacità delle ICT di governare in modo adeguato la complessità del settore bancario, sia la necessità di dotarsi di sistemi informativi capaci di evolversi verso una concreta interconnessione ed esternalizzazione, attraverso l’adozione del cloud computing54.
Nel contesto odierno, nel quale si pone particolare attenzione all’organizzazione che si è imposta la banca, al modo di relazionarsi con il cliente, alle varietà di canali di prodotto e di servizio, la tecnologia riveste un ruolo fondamentale nella determinazione della capacità
52
F. Giordano “Storia del sistema bancario italiano”, Roma, 2007.
53https://www.bancaditalia.it/pubblicazioni/interventi-direttorio/int-dir-2000/intervento_17_10_00.pdf , data ultima
consultazione 26 novembre 2017.
54 della banca di rinforzare il proprio vantaggio competitivo nel lungo periodo55. Per questo motivo il rischio informatico deve trovare il proprio ruolo all’interno del Risk Appetite Framework (RAF) delle banche che rappresenta “quell’insieme di politiche, processi, controlli e sistemi che consente di stabilire, formalizzare, comunicare e monitorare gli obiettivi di rischio che una banca intende assumere56”. Esso è articolato in soglie e limiti di rischio che consentono di determinare a priori i livelli e le tipologie di rischio che una banca intende assumere e individua le responsabilità ed i ruoli di tutte le strutture aziendali coinvolte nel processo di gestione dei rischi. Si richiede che il RAF non solo sia coerente con il piano strategico ma anche con i risultati del processo interno di autovalutazione dell’adeguatezza patrimoniale, ovvero l’ICAAP. L’articolazione del Risk Appetite Framework dipende dalle dimensioni e dalla complessità operativa di ogni singola banca. Essendo considerato tra i rischi operativi, il rischio informatico pervade l’intera struttura bancaria e, a differenza del rischio di mercato, la sua valutazione non è immediata; differisce invece dai rischi operativi perché non è sempre trasferibile a terzi attraverso, per esempio, le polizze assicurative.
Quindi, l’individuazione del rischio informatico impone un’attenta valutazione e gestione anche strategica dei sistemi poiché il suo manifestarsi potrebbe condizionare l’attività bancaria. Per questo motivo le nuove disposizioni dedicano ampio spazio ai principi di organizzazione e governo del sistema informativo, analizzando le macrofasi di gestione del rischio informatico. È possibile infatti individuare diverse fasi che garantiscano un corretto presidio dei sistemi informativi57 e di conseguenza del rischio informatico, ovvero: l’analisi del rischio, l’implementazione di procedure, il monitoraggio, la revisione e la verifica delle stesse, ed infine la correzione delle procedure applicate.
55 C. Frigerio, F.Rajola, “IT governance e business performance: strategie e processi per il vantaggio competitivo”,
Roma, 2011, p.14 ss.
56
https://www.bancaditalia.it/compiti/vigilanza/normativa/archivio-norme/circolari/c263/SINTESI.pdf ,data ultima consultazione 26 novembre 2017.
57
Il sistema informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. http://www.bancaditalia.it/compiti/vigilanza/normativa/archivio- norme/circolari/c285/Circ_285_17_Aggto_Testo_Integrale_segnalibri.pdf , data ultima consultazione 27 novembre 2017.
55 3.2 L’ANALISI DEL RISCHIO INFORMATICO
Il processo di analisi del rischio informatico rappresenta uno strumento a garanzia dell’efficienza ed efficacia delle misure di protezione delle risorse ICT, consentendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio dell’intermediario58
. Quindi le Autorità di Vigilanza indirizzano gli intermediari, attraverso la normativa comunitaria, da un lato, verso una maggiore conoscenza delle minacce e delle vulnerabilità insite nelle risorse ICT, e dall’altro, verso un maggiore impegno nell’indirizzare risorse disponibili per presidiare delle aree soggette ad un particolare rischio. Ciò che rende fondamentale il processo di analisi del rischio informatico è la sua capacità di: individuare le minacce informatiche che possano minare la funzionalità dell’attività bancaria; determinare l’impatto di queste minacce nel momento in cui si manifestano; ed infine identificare e procedere alla realizzazione di misure di mitigazione idonee. La gestione del rischio informatico quindi si effettua mediante un articolato processo che punta ad identificare le possibili lacune del sistema informatico, le eventuali minacce e la relativa probabilità di accadimento, ed infine i potenziali danni. Il processo di analisi si compone delle seguenti fasi:
La valutazione del rischio potenziale cui sono esposte le risorse informatiche esaminate, che inizia con la classificazione delle risorse ICT da analizzare in termini di rischio informatico. Attraverso questa attività, le adeguate funzioni bancarie tentano di individuare gli elementi che possano evidenziare l’ipotetico stato di rischio della tecnologia, inizialmente attraverso la valutazione delle “iniziative di sviluppo di nuovi progetti”, e in seguito tutte le volte che si intervenga con delle “modifiche rilevanti” al sistema informativo. Questa fase risulta fondamentale per l’adeguato svolgimento dell’intero processo di analisi.
Il trattamento del rischio volto a determinare, se necessario, “delle misure di attenuazione di tipo tecnico o organizzativo idonee a contenere il rischio potenziale”. La banca, indipendentemente dal livello di robustezza dei processi che esegue, rimane comunque esposta al rischio informatico, a causa della natura di quest’ultimo,
56 per questo motivo non può in nessun modo trascurarlo cercando di bilanciare in modo adeguato i flussi informativi tra organi e funzioni.
L’Autorità di Vigilanza obbliga le banche, a procedere all’analisi del livello massimo di rischio accettabile, e i vertici aziendali ad analizzare e monitorare l’andamento dei rischi considerati intensificando i flussi fra gli organi e le funzioni aziendali. La norma stabilisce che il processo deve svolgersi con il “concorso dell’utente responsabile, del personale della funzione ICT, delle funzioni di controllo dei rischi, di sicurezza informatica e, ove opportuno, dell’audit, secondo metodologie e responsabilità formalmente definite dall’organo con funzione di gestione”. Come si può notare, numerosi soggetti partecipano alla realizzazione di questo processo poiché, vista la problematicità del rischio informatico, devono cercare di definire una esatta sinergia tra la valutazione di quest’ultimo e l’ambito dei rischi operativi.
L’analisi del rischio informatico individua il rischio residuo da sottoporre ad accettazione formale dell’utente responsabile, cioè la “figura aziendale identificata per ciascun sistema o applicazione e che ne assume formalmente la responsabilità, in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica”. Se il rischio residuo dovesse eccedere la propensione al rischio informatico, approvato dall’organo con funzione di supervisione strategica, l’analisi suggerisce l’adozione di metodologie alternative o ulteriori di trattamento del rischio che sono determinate grazie al coinvolgimento della funzione di controllo dei rischi e sottoposte all’approvazione dell’organo con funzione di gestione. I risultati del processo di analisi, quindi livelli di classificazione, rischi potenziali e residui, elenco delle minacce valutate, lista dei presidi determinati, e dei relativi aggiornamenti e decisioni assunte, sono documentati e resi noti all’organo con funzione di gestione. Questo processo è ripetuto, con una adeguata frequenza rispetto alla tipologia delle risorse ICT e dei rischi, ed in situazioni che possono condizionare il livello complessivo di rischio informatico.