Requisiti particolari per i processi a rilevanza sistemica

La normativa va a indicare che, dato il principio di proporzionalità, gli operatori dovranno seguire una serie di indicazioni che diventano più stringenti una volta superata una determinata soglia indicata dalla normativa stessa.

La necessità nasce dal fatto che l’operatività del sistema finanziario nel suo complesso si basa sul corretto funzionamento dei maggiori operatori e sulla loro capacità di erogare i servizi essenziali nei comparti dei sistemi di pagamento e dell’accesso ai mercati finanziari. Si tratta, in sostanza, dei processi ad alta criticità che possono causare il blocco dell’operatività dell’intera piazza finanziaria nazionale relativamente ai sistemi di pagamento e alle procedure per l’accesso ai mercati finanziari. Ciò comporta dunque che Banca d’Italia possa loro

14 _{Banca d’Italia, Circolare 285 del 17/12/2013, Parte Prima, Titolo IV, Capitolo 5, Sezione Prima “Disposizioni di}

14

richiedere il rispetto di requisiti più stringenti di continuità operativa rispetto a tutti gli altri operatori, anche per quanto riguarda l’informativa.

La definizione degli operatori ai quali si applicano i requisiti particolari è affidata a Banca d’Italia, la quale individuerà nominativamente gli operatori. Ad essi richiede adeguamenti dei piani di continuità operativa, ne verifica le soluzioni adottate e si richiede per essi la partecipazione al CODISE. Questo ultimo assume un ruolo fondamentale per gli operatori a rilevanza sistemica, in quanto è deputato al coordinamento delle crisi operative a livello finanziario in Italia. Esso nasce con lo scopo di facilitare il coordinamento tra gli operatori finanziari rilevanti nella piazza italiana in caso di eventi che possano minare la continuità operativa del sistema, mettere a rischio la resilienza e il funzionamento delle infrastrutture finanziarie, intaccare la fiducia del pubblico nella moneta.

Il CODISE è composto dalla Banca d’Italia, che lo presiede, e dagli operatori a cui si riconoscono requisiti particolari per i processi a rilevanza sistemica, che vi operano come partecipanti. Le attività svolte si distinguono in:

 Gestione della crisi, in quanto alle partecipanti viene fornito un Numero di Emergenza Estrema, mediante il quale le partecipanti stesse devono informare dello stato di crisi e dare le prime indicazioni generali sulla tipologia di crisi; a seguito della segnalazione, Banca d’Italia deciderà se attivare l’unità di crisi, facendo intervenire se necessario anche la CONSOB. Nell’unità di crisi si osserva l’importanza una forte cooperazione tra Banca d’Italia e le partecipanti, in modo da superare l’emergenza operativa e minimizzare gli impatti sul sistema finanziario;

 Esercitazioni, mediante le quali si verifica l’adeguatezza delle procedure, consentendo anche di collaudare, quando ciò viene richiesto dalla singola partecipante, i sistemi interni per la gestione della continuità operativa; in tali esercitazioni possono partecipare anche soggetti esterni al CODISE, quindi anche operatori esteri. Le esercitazioni sono di vario tipo, dai test di raggiungibilità, con cui si verifica la capacità di intervento in teleconferenza da parte delle partecipanti; test teorici, dove si valuta in via teorica l’eventuale comportamento strategico da attuare in situazioni predeterminate; simulazioni, in cui le partecipanti devono testare la propria capacità di gestire le situazioni di crisi predeterminate con caratteristiche di forte avversità.

 Forum, fase procedurale attraverso cui si esaminano le situazioni di crisi e le esercitazioni per evidenziare eventuali situazioni di miglioramento nelle procedure interne dei partecipanti, nello scambio informativo, nei processi di coordinamento.

15

Tornando alla disposizioni in merito agli operatori cui viene riconosciuto requisito particolare per i processi a rilevanza sistemica, si vanno ad identificare le relative responsabilità: ad essi è affidato il compito di attuare gli interventi di adeguamento dei piani di continuità operativa relativi ai processi a rilevanza sistemica, la garanzia del continui rispetto dei requisiti particolari e devono nominare un responsabile unico per tale attività.

La differenze tra le disposizioni relative a tutti gli operatori e quelli nominati in base alla rilevanza sistemica dei processi attuati si osservano soprattutto in merito alla definizione degli scenari di rischio, ai siti alternativi, ai tempi di ripristino.

Per quanto riguarda gli scenari di rischio, questi vanno costantemente e continuamente documentati ed aggiornati; essi vanno ad includere, oltre agli eventi già indicati per tutti gli operatori, situazioni estreme che implicano effetti su larga scala:

 Eventi catastrofici con distruzioni fisiche su larga scala, a dimensione metropolitana o superiore, che investano infrastrutture essenziali dell’operatore o di terzi;

 Situazioni di crisi gravi anche non connesse ad eventi con distruzioni materiali (pandemie, attacchi biologici, attacchi informatici su larga scala).

I tempi di rispristino e di ripartenza per i processi a rilevanza sistemica vedono come indicazione una tempistica massima che non deve essere superata. Si dà comunque la possibilità di adattare le tempistiche qualora gli scenari di rischio determinino impatti particolarmente gravi; ciò richiede però che ci sia una segnalazione da Banca d’Italia al riguardo, che prima terrà conto delle indicazioni condivise nel CODISE. Il ripristino, anche in caso di situazioni estreme, si richiede sia il più possibile immediato nel caso di processi a rilevanza sistemica. Ciò comporta che si accettino anche procedure a bassa integrazione nei processi aziendali, purchè vi sia un presidio da un punto di vista della sicurezza, in particolare nel caso di esigenze essenziali di liquidità.

Il criterio dell’indipendenza diventa cruciale nella definizione dei siti alternativi, i quali quindi devono situarsi a distanza dal relativo sito primario; devono trovarsi all’esterno dell’area metropolitana nella quale son presenti i siti primari, utilizzano servizi distinti. Nel caso ciò non avvenga è necessario che vi sia un parere da parte di soggetti qualificati quali la

16

Protezione Civile, accademici e professionisti con annessa documentazione, il quale attesta che il rischio di indisponibilità contemporanea dei siti primari e alternativi sia trascurabile.15 Per quanto riguarda la gestione del personale e delle risorse tecnologiche e logistiche, esse vengono individuate nel piano di continuità operativa, tenendo conto della necessità di garantire la presenza di personale necessario per l’operatività dei processi a rilevanza sistemica anche nei siti alternativi e tenendo conto della necessità di evitare la concentrazione del personale chiave nello stesso luogo e nello stesso tempo.

Le verifiche devono avvenire con cadenza almeno annuale e devono essere molto accurate in merito alla continuità operativa dei processi a rilevanza sistemica. Ciò ovviamente richiede la partecipazione attiva al test e alle simulazioni di sistema organizzati o promossi dalle autorità, dai mercati e dalle principali infrastrutture finanziarie16.

Un esempio di simulazione di continuità operativa per gli operatori a rilevanza sistemica a livello nazionale è la Cyber Poison del 17 Ottobre 2014, una simulazione che ha visto partecipare, oltre Banca d’Italia e Consob, anche Banco Posta, Cassa Compensazione e Garanzia, e-MID, Equens, ICBPI, ICCREA, Intesa San Paolo, Monte Paschi Siena, Monte Titoli, MTS, SIA, Unicredit, ma anche Borsa Italiana per la necessità di una simulazione più realistica possibile dello scenario. La simulazione è stata progettata da una task force del CODISE, simulando un evento di portata molto ampia che colpisse con diversi livelli di intensità i vari partecipanti. L’evento su cui si basava la simulazione era un attacco informatico che, molto rapidamente, era riuscito ad intaccare l’intero sistema informatico italiano e tutti i suoi utenti, compresi i clienti finali e la Pubblica Amministrazione. L’obiettivo era quello di verificare l’efficacia del processo di adeguamento alla guida CODISE da parte degli operatori a rilevanza sistemica e ai nuovi requisiti per la continuità operativa, facendo riferimento a:

 La gestione di situazioni estreme caratterizzate da scenari di crisi estesa e blocchi prolungati delle infrastrutture dei mercati finanziari, che richiedano il ricorso a procedure a bassa integrazione nei processi aziendali per le esigenze di liquidità proprie e della clientela;

15 _{R. Baldoni, R. de Nicola, Il futuro della Cyber security in Italia, Whitepaer a cura di Cyber Security National Lab e}

Consorzio Interuniversitario Nazionale per l’Informatica, Ottobre 2015

16 _{Banca d’Italia, Circolare 285 del 17/12/2013, Parte Prima, Titolo IV, Capitolo 5, Sezione Prima “Disposizioni di}

17

 Le misure per la escalation, il processo per la dichiarazione e gestione dello stato di crisi, l’integrazione con il processo per la gestione degli incidenti;

 La gestione delle comunicazioni con le controparti rilevanti;

 Il rientro dall’emergenza, con particolare attenzione alla rilevazione dei danni, alla gestione del le operazioni di rientro, alla verifica dell’operatività per i servizi ripristinati.

La simulazione non prevedeva il recovery tecnologico, non interessava i dati di produzione né le procedure operative dei soggetti convolti, non richiedeva la disponibilità di particolari ambienti tecnologici di collaudo dei servizi finanziari, fatta eccezione per gli apparati di comunicazione, non coinvolgeva soggetti esterni al CODISE.

I risultati dell’esercizio sono stati raccolti dalla Banca d’Italia durante l’esercitazione stessa, discussi nel corso della sessione serale, rilevati dai partecipanti nei moduli di feedback, analizzati con l’internal audit all’interno delle singole aziende partecipanti. In termini complessivi i riscontri sono stati positivi e tutti i partecipanti hanno considerato molto utile la simulazione; in particolare va segnalata l’ampia soddisfazione per le attività di verifica dei meccanismi di escalation verso i vertici aziendali.

Ciò quindi ha confermato la validità delle procedure di cooperazione tra operatori sistemici (banche, infrastrutture di mercato, fornitori di servizi) e autorità nel CODISE.

Per quanto riguarda gli obblighi di informativa per gli operatori sistemici, anche essi inviano alla Banca d’Italia una informativa annuale sulle caratteristiche principali del piano di continuità operativa, quindi anche su adeguamenti e integrazioni in corso d’anno, sulle verifiche effettuate dall’internal audit sui principali incidenti e sulle criticità ricorrenti. Una particolarità sta nella differenza di informativa nel caso di incidenti e nel caso di crisi:

 Nel caso si verifichino incidenti che possono avere impatti sui processi a rilevanza sistemica si avrà la dichiarazione dello stato di crisi, la quale prevede l’immediata richiesta di attivazione del CODISE con una prima valutazione degli operatori potenzialmente danneggiati;

 Nel caso di crisi, successivamente al ripristino dei processi a rilevanza sistemica, l’operatore fornisce con tempestività alla Banca d’Italia valutazioni circa l’impatto dell’evento sull’operatività delle strutture centrali e periferiche e sui rapporti con la clientela e le controparti.

18