Profili di privacy e cybersecurity - La consulenza automatizzata nel quadro regolamentare vigen

La consulenza automatizzata nel quadro regolamentare vigente

4 Profili di privacy e cybersecurity

Altro tema di fondamentale importanza è il trattamento dei dati personali dei clienti, dal momento che le potenzialità offerte dalla digitalizzazione del flusso informativo e, in particolare, dall’utilizzo di big data, pongono delle sfide e sollevano molteplici criticità connesse a profili sia di privacy sia di cybersecurity187_.

4.1 Profili di privacy

Con riferimento al primo profilo, come sottolineato da Mattasoglio (2017), la centralità della know your custoner rule (KYC rule), insieme alla disciplina della

product governance di recente introduzione, lascia emergere il valore del patrimonio

informativo a disposizione sia del manufacturer impegnato nel target market assess-

ment sia del consulente in fase di profilatura del cliente e valutazione di adeguatezza.

di avere piena contezza della natura del servizio svolto; le regole che attengono, in tale prospettiva, alla distinzione tra consulenza indipendente, e non indipendente; le regole in materia di adeguatezza, la cui attuazione è affidata, nel contesto del robo advice, a sistemi tendenzialmente automatizzati; la chiara esplicitazione dei limiti e delle as- sunzioni poste a base della consulenza fornita, che il cliente deve ricevere con modalità tali da consentirne la piena intellegibilità.

99 La digitalizzazione della consulenza in materia di investimenti finanziari

Con riferimento sia al target market assessment sia al suitability assessment, l’ESMA188_{ha individuato il principio cardine della processo di raccolta ed elaborazio-}

ne delle informazioni del cliente nella ‘proporzionalità’ rispetto alla natura del pro- dotto di investimento, servizio di investimento e mercato di riferimento. Tale principio dovrebbe, dunque, guidare anche l’utilizzo di big data anlytics da parte di manufactu-

rer e distributor.

Nella medesima prospettiva muovono il Considerando 4 del Regolamento Europeo in materia di Protezione dei Dati Personali 2016/679, ai sensi del quale un utilizzo dei dati personali dei clienti ‘proporzionato’ rispetto alla finalità perseguita dovrebbe essere sufficiente a garantire la tutela dei diritti fondamentali189. Il riconoscimento transfrontaliero dei mezzi di identificazione elettronica previsto dal regolamento eIDAS, inoltre, attenuerà i rischi derivanti dalle tecnologie emergenti e al tempo stesso renderà più semplice il rispetto degli obblighi in materia di adeguata verifica della clientela imposti dalle norme antiriciclaggio e l’autenticazione delle parti in un ambiente digitale (Commissione Europea, 2018).190

A livello nazionale, è intervenuto peraltro il Garante per la protezione dei dati personali con le Linee guida in materia di riconoscimento biometrico e firma grafometrica, per l’accertamento dell’identità personale e l’accesso ai servizi digita- li191_{, e le Linee guida in materia di trattamento di dati personali per profilazione}

online che richiamano esplicitamente il principio della proporzionalità e la necessità

di «raccogliere un numero circoscritto di informazioni (principio di minimizzazione),

escludendo l'acquisizione di dati ultronei rispetto a quelli necessari per la finalità perseguita nel caso concreto».

Nonostante la tecnologia consenta, dunque, di processare e utilizzare in maniera integrata molteplici informazioni e dati provenienti anche da fonti diverse dallo strumento di rilevazione esplicitamente previsto per la valutazione di adeguatezza, il quadro normativo esistente appare sufficientemente solido a tutelare la

privacy dei cittadini.

4.2 Profili di cybersecurity

La cybersecurity è un tema fondamentale per gli investitori e assume impor- tanza ancora più marcata in caso di utilizzo degli strumenti automatizzati che, se non sufficientemente protetti, si prestano a manipolazioni o altre violazioni che possono compromettere il servizio prestato, determinando perdite nel patrimonio degli investitori ed esponendo il consulente, oltre a possibili perdite dirette, a rischi di natura reputazionale (contenziosi legali). Anche se il rischio non deriva esclusivamente

188 Si veda ESMA (2018), Orientamenti sugli obblighi di governance e ESMA (2018).

189 Il Regolamento UE 679/2016, in vigore dal 25 maggio 2018, prevede, inter alia, la figura del Responsabile della protezione dei dati (o DPO – Data Protection Officer), l’istituzione del Registro delle attività del trattamento, dove sono descritti i trattamenti effettuati e le procedure di sicurezza adottate e la notifica delle violazioni dei dati perso- nali, i cosiddetti Data Breach.

190 Commissione Europea (2018), Comunicazione.

100

Quaderni FinTech N. 3 gennaio 2019

dall’automazione, quest’ultima amplifica il danno sulla base del numero di utenti che abbiano ricevuto informazioni falsate dallo strumento, ad esempio perché è stato violato. L’impatto, quindi, potrebbe essere maggiormente significativo rispetto alla consulenza tradizionale.

Le stesse Autorità europee di vigilanza192 hanno rilevato come la sicurezza informatica costituisca un rischio chiave sia per i consumatori sia per le istituzioni finanziarie, avendo riconosciuto la necessità di rafforzare gli strumenti per la preven- zione delle frodi ai fini del raggiungimento della sicurezza informatica. In qualche caso, l’esposizione dei consumatori ai rischi derivanti dall’uso imperfetto di strumenti automatizzati è stato comunque visto come ‘concretamente’ bilanciato dall’attuale prevalenza dei modelli ibridi che prevedono ancora l’interazione umana.

Tale problematica è sentita non solo a livello europeo ma anche internazionale, tanto che, in sede IOSCO193_{, alcuni Regolatori hanno specificamente sollevato la}

questione della sicurezza informatica (oltre che della protezione dei dati sensibili del cliente) come distinta preoccupazione relativa alla vigilanza di fornitori di consulenza automatizzata. Altri hanno espresso apprensione con riguardo all’adeguatezza dei controlli interni o all’integrità operativa.

Nell’aprile 2016, lo IOSCO ha pubblicato un report sui rischi della cybersecu- rity e la necessità di un coordinamento internazionale di sforzi tra i regolatori di settore194.

Anche se il report non è specifico sugli strumenti automatizzati, la sezione 5 descri- ve i rischi dalla prospettiva di un gestore di fondi. Tra le altre cose, descrive le risultanze di un’ispezione effettuata dall’Autorità di vigilanza statunitense (SEC ‘Office of Compliance

Inspections and Examinations staff examinations’) che ha mostrato come circa tre quarti dei

49 consulenti esaminati riportassero di avere avuto esperienze dirette o indirette di attacchi informatici. Gli attacchi – valutati ad alto o medio rischio – si riferivano in particolare a dati dei clienti, algoritmi proprietari, funzionalità di negoziazione sui mercati e di accesso al sito

internet/alla posizione personale del cliente. Il report ha anche sottolineato buone prassi per

mitigare queste minacce.

Per cercare di mitigare i rischi sopra esposti, a livello europeo la Direttiva 2016/1148/UE ha imposto, a partire dal 10 maggio 2018, a tutti gli operatori, anche nell’ambito dei servizi bancari e finanziari, più stringenti di obblighi di sicurezza della rete e dei sistemi informativi195.

192 Si veda ESAs Joint Committee (2016), pp. 10 e 13. 193 Sul punto si veda IOSCO (2016), Final Report, pp. 12-13. 194 Il riferimento è a IOSCO (2016), Cyber Security.

195 Così i considerando 12 e 13 della Direttiva (UE) 1148/16: ‘12. La regolamentazione e la vigilanza nel settore bancario

e in quello delle infrastrutture dei mercati finanziari sono altamente armonizzate a livello dell’Unione, mediante l’applicazione del diritto primario e secondario dell'Unione e delle norme sviluppate con le autorità europee di vigilan- za. All’interno dell’unione bancaria, l’applicazione e la vigilanza con riguardo a tali obblighi sono assicurate dal mec- canismo di vigilanza unico. Per gli Stati membri che non fanno parte dell’Unione bancaria esse sono assicurate dalle pertinenti autorità nazionali di regolamentazione del settore bancario. In altri ambiti della regolamentazione del set- tore finanziario, il Sistema europeo di vigilanza finanziaria assicura anch’esso un elevato grado di analogia e conver- genza nelle pratiche di vigilanza. Anche l’Autorità europea degli strumenti finanziari e dei mercati svolge un ruolo di

101 La digitalizzazione della consulenza in materia di investimenti finanziari

L’art. 21 del Regolamento UE 565/2017, inoltre, prevede alcune misure da adottare per la sicurezza informatica: in particolare richiede, alle imprese di investimento, l’istituzione di procedure e sistemi atti a tutelare la sicurezza, l'integrità e la riservatezza delle informazioni, tenendo conto della natura delle stesse.

Dispone altresì la redazione di un’idonea politica di continuità dell’attività che consenta di preservare i dati e le funzioni essenziali e garantisca la continuità dei servizi e delle attività di investimento in caso di interruzione dei sistemi o, qualora ciò non sia possibile, che permetta di recuperare tempestivamente i dati e le funzioni e di riprendere tempestivamente la normale operatività.

vigilanza diretto per taluni soggetti (vale a dire agenzie di rating del credito e repertori di dati sulle negoziazioni). 13. Il rischio operativo rappresenta un elemento cruciale della regolamentazione e vigilanza prudenziali nel settore banca- rio e in quello delle infrastrutture dei mercati finanziari. Copre tutte le operazioni comprese la sicurezza, l’integrità e la resilienza delle reti e dei sistemi informativi. Gli obblighi riguardo a tali sistemi, che spesso vanno al di là di quelli previ- sti nell’ambito della presente direttiva, sono stabiliti in vari atti giuridici dell’Unione, comprendenti le norme sull’accesso all’attività degli enti creditizi e sulla vigilanza prudenziale degli enti creditizi e delle imprese di investimen- to e le norme sui requisiti prudenziali per gli enti creditizi e le imprese di investimento, comprendenti obblighi in mate- ria di rischio operativo, nonché le norme sui mercati degli strumenti finanziari, comprendenti obblighi sulla valutazio- ne del rischio per le imprese di investimento e per i mercati regolamentati, le norme sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni, comprendenti obblighi in materia di rischio operativo per le controparti centrali e i repertori di dati sulle negoziazioni, e le norme sul miglioramento del regolamento titoli nell’Unione e sui depositari centrali di titoli, comprendenti obblighi in materia di rischio operativo. Inoltre, gli obblighi in materia di notifica di incidenti rientrano nella normale prassi di vigilanza nel settore finanziario e sono spesso in- clusi nei manuali di vigilanza. Gli Stati membri dovrebbero prendere in considerazione dette norme e obblighi nell'ap- plicazione della lex specialis’.

103 La digitalizzazione della consulenza in materia di investimenti finanziari

Nel documento La digitalizzazione della consulenza in materia di investimenti finanziari (pagine 98-103)