Valutazione dell’esposizione ai rischi ICT e dei relativi controlli degli ent

Secondo quanto disposto dagli orientamenti dell’EBA, le autorità competenti devono valutare l’esposizione al cyber risk della banca attraverso un processo che consiste in più fasi: prima di tutto, l’autorità essere in grado di identificare i rischi ICT dell’ente. L’identificazione dei rischi ICT rilevanti, cioè di quelli che possono avere un significativo impatto sull’ente a livello prudenziale, passa attraverso i seguenti punti:

a) analisi del profilo di rischio ICT dell’ente → per analizzare il profilo di rischio della banca, le autorità devono prendere in considerazione le seguenti informazioni: il potenziale impatto di un’interruzione significativa del funzionamento dei sistemi ICT dell’ente sul sistema finanziario, a livello nazionale o internazionale; il rischio che l’ente possa essere soggetto a rischi di sicurezza ICT o a rischi di disponibilità e continuità ICT dovuti alla dipendenza da Internet, all’elevato utilizzo di soluzioni ICT innovative o ad altri canali di distribuzione aziendali che potrebbero esporre la banca ad attacchi informatici; etc102.

b) analisi dei sistemi e dei servizi ICT critici → le autorità competenti in questa fase devono analizzare la documentazione della banca ed esprimere un giudizio su quali sistemi e servizi ICT siano da considerare critici per un’adeguata operatività, continuità e sicurezza delle attività principali dell’ente. L’EBA fornisce dei requisiti affinché un sistema o un servizio ICT possa essere considerato critico103_.

102 _{EBA, “Orientamenti sulla valutazione dei rischi ICT a norma del processo SREP”, Settembre 2017,}

pag.14.

103 _{EBA, “Orientamenti sulla valutazione dei rischi IT a norma del processo SREP”, Settembre 2017,}

98

c) identificazione dei rischi rilevanti relativi ai sistemi e ai servizi ICT critici → in questa fase le autorità competenti hanno il compito di identificare quali sono i rischi ICT rilevanti che possono incidere maggiormente sui sistemi e servizi ICT critici individuati al punto b). Secondo le disposizioni contenute negli orientamenti dell’EBA, per poter valutare la “rilevanza” di un dato rischio ICT, le autorità dovrebbero considerare i seguenti fattori: l’impatto finanziario, il potenziale impatto per l’interruzione dell’operatività, considerando la criticità dei servizi finanziari interessati, il numero di clienti e/o di filiali e dipendenti potenzialmente interessati; il potenziale impatto reputazionale sulla base dell’importanza del servizio bancario o dell’attività operativa interessata, ma anche il profilo esterno /visibilità dei sistemi ICT e dei servizi interessati; l’impatto normativo; l’impatto strategico sull’ente, ad esempio se i piani strategici vengono compromessi o sottratti104.

Per agevolare l’individuazione e la successiva valutazione dei rischi rilevanti, l’EBA suggerisce alle autorità competenti di effettuare una mappatura dei rischi ICT, cioè di suddividere i rischi ICT nelle seguenti categorie di rischio: a) rischio di disponibilità e continuità ICT; b) rischio di sicurezza ICT; c) rischio relativo ai cambiamenti ICT; d) rischio di integrità dei dati ICT; e) rischio di esternalizzazione ICT.

Dopo l’individuazione dei rischi ICT rilevanti, la seconda fase consiste nella valutazione, da parte delle autorità competenti, delle azioni implementate dalle banche per controllare e mitigare i rischi ICT considerati più critici.

A tale scopo, le autorità dovrebbero esaminare i seguenti elementi, ove applicabili: “a) le politiche e i processi di gestione dei rischi ICT e le relative soglie di tolleranza;

b) i sistemi di gestione organizzativa e di controllo;

c) la copertura delle attività di audit interno e le relative risultanze;

d) i controlli sui rischi ICT, specifici per i rischi ICT rilevanti identificati”105.

Secondo tale disposizione, le autorità competenti devono valutare innanzitutto se le politiche di gestione dei rischi ICT implementate dalle banche siano adeguate. In particolare, per soddisfare il requisito dell’adeguatezza devono ricorrere alcune condizioni: a) la politica di gestione dei rischi deve essere formalizzata e approvata dall’organo di amministrazione, deve fornire linee guida volte a comprendere gli obiettivi di gestione dei rischi ICT e le soglie di tolleranza applicate; b) la politica di gestione dei

104 _{EBA, “Orientamenti sulla valutazione dei rischi IT a norma del processo SREP”, Settembre 2017, pag.15.} 105 _{EBA, “Orientamenti sulla valutazione dei rischi IT a norma del processo SREP”, Settembre 2017, pag.16.}

99

rischi ICT dovrebbe essere comunicata a tutte le parti interessate; c) tale politica deve includere tutti gli elementi significativi per la gestione dei rischi ICT rilevanti individuati; d) l’ente dispone di una reportistica relativa alla gestione dei rischi ICT che fornisce informazioni utili all’alta dirigenza e all’amministrazione.

Le autorità competenti dovrebbero poi valutare i ruoli e le responsabilità attribuiti per la gestione e il controllo dei rischi ICT rilevanti. In particolare, esse devono valutare i seguenti aspetti: a) la definizione chiara di ruoli e responsabilità per quanto riguarda tutte le fasi incluse nel processo di gestione e controllo dei rischi ICT rilevanti; b) la chiarezza nella comunicazione e nell’assegnazione di ruoli e responsabilità all’interno dell’organizzazione; c) la disponibilità di risorse umane e tecniche adeguate sia da un punto di vista qualitativo che quantitativo in ordine alle attività di gestione dei rischi ICT; d) la tempestività degli interventi da parte dell’organo di amministrazione in merito ad importanti rilievi effettuati dalle funzioni di controllo indipendenti sui rischi ICT; e) la registrazione e la revisione periodica delle eccezioni alle norme e alle politiche in materia di ICT in vigore da parte della funzione di controllo indipendente, con particolare attenzione ai rischi correlati.

Le autorità competenti dovrebbero inoltre valutare se la funzione di audit interno svolga adeguatamente la propria attività di controllo sulle modalità di controllo dei rischi ICT, valutando in particolare: a) se la struttura di controllo dei rischi ICT sia sottoposta ad un processo di revisione proporzionalmente alle dimensioni, attività e profilo di rischio ICT dell’ente; b) se il piano di audit prevede dei controlli sui rischi ICT rilevanti individuati dalla banca; c) se i controlli da parte dell’audit sull’ICT sono segnalati all’organo di amministrazione; d) se gli esiti dei controlli dell’audit sull’ICT sono monitorati e le relazioni relative ai progressi sono rivalutate con cadenza periodica dall’alta dirigenza e/o dal comitato per il controllo interno.

Infine, le autorità competenti dovrebbero valutare se la banca disponga di specifici controlli per gestire i rischi ICT rilevanti identificati. I controlli si distinguono a seconda delle categorie di rischio ICT precedentemente elencate106.