LINEE GUIDA DI CONTINUITÀ OPERATIVA PER IL GRUPPO INTESA SANPAOLO

LINEE GUIDA DI CONTINUITÀ OPERATIVA PER IL GRUPPO INTESA SANPAOLO

Normativa attinente ad aree sensibili relative al D.Lgs. 231/01 Area di rischio: Reati contro la Pubblica Amministrazione Protocolli: Gestione dei rapporti con le Autorità di Vigilanza

Area di rischio: Reati Societari

Protocolli: Gestione dei rapporti con il Comitato per il Controllo sulla Gestione e con la Società di revisione

Struttura Responsabile del Documento:

Cybersecurity and Business Continuity Management Destinatari:

Gruppo Intesa Sanpaolo Percorso:

ARCO – Documenti di Governance – Linee Guida – Gestione ICT e Sicurezza Informatica

Decorrenza: Giugno 2020

1 INDICE

1 PREMESSA ... 2

1.1 Introduzione ... 2

1.2 Fonti normative, documentali e regolamentari di riferimento ... 2

1.3 Riferimenti normativi aziendali ... 4

2 OBIETTIVI, DEFINIZIONI E PRINCIPI GUIDA ... 5

2.1 Obiettivi ... 5

2.2 Destinatari del documento ... 5

2.3 Cos’è il Business Continuity Management System ... 5

2.4 Principi fondamentali ... 7

3 RUOLI E RESPONSABILITÀ ... 8

3.1 Ambito di gestione del Piano di Continuità Operativa ... 8

3.1.1 Organi Societari ... 8

3.1.1.1 Consiglio di Amministrazione ... 8

3.1.1.2 Comitato Rischi ... 9

3.1.1.3 Comitato per il Controllo sulla Gestione... 9

3.1.1.4 Consigliere Delegato e CEO ... 9

3.1.2 Comitato di Direzione ... 9

3.1.3 Altre Strutture coinvolte ... 10

3.1.3.1 Responsabile del Piano di Continuità Operativa di Gruppo ... 10

3.1.3.2 Funzione di continuità operativa di Gruppo... 10

3.1.3.3 Referenti dei Piani Settoriali di continuità operativa ... 11

3.1.3.4 Funzioni Operative ... 11

3.1.3.5 Funzioni Aziendali di Controllo ... 12

3.2 Ambito di attivazione del Piano di Continuità Operativa ... 13

4 MACRO PROCESSO DEL BUSINESS CONTINUITY MANAGEMENT SYSTEM ... 17

4.1 Il modello Plan-Do-Check-Act del Business Continuity Management System ... 17

4.2 Plan – Stabilire la continuità operativa ... 19

4.2.1 Contesto e stakeholder di riferimento ... 19

4.2.2 Ambito del Business Continuity Management System ... 20

4.2.3 Framework della continuità operativa ... 21

4.2.4 Awareness, formazione e comunicazione ... 23

4.3 Do – Implementare e mettere in atto la continuità operativa ... 24

4.3.1 Business Impact Analysis ... 24

4.3.2 Analisi d’impatto ... 25

4.3.3 Strategie di continuità operativa ... 26

4.3.4 Sviluppo e implementazione delle soluzioni di continuità operativa ... 28

4.3.4.1 Il Modello Organizzativo per la Gestione delle Crisi ... 29

4.3.4.2 Business Continuity Plan ... 29

4.3.4.3 Disaster Recovery Plan ... 31

4.3.4.4 Requisiti di continuità operativa per i contratti di fornitura critici ... 32

4.3.5 Esercizio nel continuo, test e verifiche ... 34

4.4 Check – Monitoraggio, controlli e revisione ... 37

4.4.1 Monitoraggio, controlli e performance evaluation ... 37

4.4.2 Management review ... 37

4.4.3 Revisione Interna ... 38

4.5 Act – Manutenere e migliorare ... 39

4.5.1 Il processo di manutenzione ... 39

4.5.2 Il miglioramento continuo ... 40

5 INDIRIZZO E COORDINAMENTO DELLE SOCIETÀ DEL GRUPPO ... 41

5.1 Ambito di gestione della Continuità Operativa ... 41

5.2 Ambito di attivazione del Piano di Continuità Operativa ... 42

6 ALLEGATI ... 43

6.1 Glossario ... 43

2

1 PREMESSA 1.1 Introduzione

La continuità dei processi e dei servizi di business è da sempre un’esigenza sentita dalle aziende, sia pure in forme diverse in funzione dell’attività esercitata, della specifica organizzazione, della dislocazione geografica e della dimensione. La necessità di individuare soluzioni di continuità operativa che consentano il proseguimento dell’attività anche a fronte di eventi particolarmente gravi e/o catastrofici è andata via via crescendo.

Gli eventi degli ultimi anni hanno evidenziato la vulnerabilità dei sistemi finanziari a fronte di crisi di ampia portata, innalzando la consapevolezza degli operatori di dover predisporre misure per la continuità del business e la sopravvivenza dell’azienda. In tale ottica la mitigazione dei rischi legati alla prolungata indisponibilità di asset aziendali è entrata a pieno titolo tra i valori delle politiche di gestione aziendali.

Le iniziative che ne sono scaturite hanno progressivamente dato luogo alla definizione di

“best practices” e standard metodologici nel campo del Business Continuity Management (BCM), ormai accettati e condivisi nei principali paesi.

Gli investimenti in continuità operativa assumono oggi un ruolo chiave poiché consentono di mitigare il rischio legato all’indisponibilità degli asset aziendali, innalzando in modo strutturale la capacità del Gruppo di erogare servizi di qualità alla clientela.

In tale ottica, la continuità operativa può costituire uno specifico strumento di supporto al business, integrato nei processi aziendali, al fine di garantire la continuità nell’erogazione dei servizi, un servizio aggiuntivo offerto alla clientela e, da ultimo, un possibile vantaggio competitivo nei confronti dei concorrenti.

1.2 Fonti normative, documentali e regolamentari di riferimento

Di seguito si elencano le principali disposizioni riguardanti il Business Continuity Management o contenenti elementi aventi riflessi su tematiche di continuità operativa, richiamate, in via diretta e indiretta, dalle presenti Linee Guida:

• “Disposizioni di vigilanza per le banche” – Circolare Banca d’Italia n. 285 del 17 dicembre 2013 e successivi aggiornamenti, in particolare il Titolo IV, Capitolo 5;

• Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR);

• ISO 22301:2012 - Societal Security - Business Continuity Management Systems - Requirements, ISO;

• ISO 22313:2012 - Societal security - Business continuity management systems - Guidance, ISO;

• ISO 22317:2015 - Societal security - Business continuity management systems - Guidelines for business impact analysis (BIA), ISO;

• ISO 22320:2018, Security and resilience – Emergency management – Guidelines for incident management, ISO;

• ISO/IEC 27031:2011 - Information Technology - Security techniques - Guidelines for information and communication technology readiness for business continuity, ISO;

3

• ISO/IEC 27035-1:2016 - Information technology -- Security techniques -- Information security incident management -- Part 1: Principles of incident management, ISO;

• ISO/IEC 27035-2:2016 Information technology -- Security techniques -- Information security incident management -- Part 2: Guidelines to plan and prepare for incident response, ISO;

• NIST SP 800-34 Rev. 1 May 2010 - Contingency planning guide for Federal Information Systems, NIST;

• NFPA 1600:2007 - Standard on disaster/emergency management and business continuity programs, National Fire Protection Association (USA);

• Singapore Standard SS540 for Business Continuity Management, 2008;

• Good Practice Guidelines 2013, Business Continuity Institute;

• Business Continuity Management Practice Guide, FSA, 2006;

• Professional Practices for Business Continuity Professionals, DRI;

• PAS 77:2006 IT Service Continuity Management Code of Practice, BSI;

• BS ISO/IEC 27001:2013 - Information technology. Security techniques. Information security management systems. Requirements, BSI;

• BS 31100 DPC - Code of practice for risk management, BSI;

• Business continuity oversight expectations for systemically important payment systems - SIPS (06/2006), Banca Centrale Europea;

• Direttiva 2014/59/UE che istituisce un quadro di risanamento e risoluzione degli enti creditizi e delle imprese di investimento (BRRD);

• EBA/REC/2013/02, 23 January 2013 - Recommendation on the development of recovery plans, European Banking Authority;

• Recovery and Resolution Planning: Making the Key Attributes Requirements Operational. Consultative Document, novembre 2012, Financial Stability Board;

• Recovery and Resolution Planning for Systemically Important Financial Institutions:

Guidance on Identification of Critical Functions and Critical Shared Services, luglio 2013 Financial Stability Board;

• Feedback Statement 12/1, RRP Information Pack, Maggio 2012, Financial Services Authority, Supplement to FS12/1;

• High level principles for business continuity, Joint Forum (Basel Commettee on Banking Supervision);

• ITIL - IT Infrastructure Library;

• Regole e linee guida definite dalle normative Sarbanes-Oaxley e Basilea II/III;

• Pratiche di eccellenza in Test e Manutenzione della Business Continuity, CeTIF;

• Linee guida per la manutenzione del Piano di Continuità, a cura dell’Osservatorio Business Continuity di ABILab.

4

1.3 Riferimenti normativi aziendali

Di seguito si elencano le principali disposizioni normative interne che in via diretta o indiretta trattano temi afferenti alla continuità operativa:

• Regolamento del Consiglio di Amministrazione;

• Regolamenti dei Comitati del Gruppo Intesa Sanpaolo;

• Regolamento del Sistema dei Controlli Interni Integrato (SCII);

• Linee Guida in materia di Esternalizzazioni;

• Linee Guida di Compliance di Gruppo;

• Linee Guida per il Governo dei Rischi Operativi di Gruppo;

• Linee Guida per il Governo del Rischio ICT di Gruppo;

• Principi di Sicurezza;

• Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo;

• Regole per il Piano di Continuità Operativa del Gruppo Intesa Sanpaolo predisposte in coerenza con le presenti Linee Guida.

5

2 OBIETTIVI, DEFINIZIONI E PRINCIPI GUIDA 2.1 Obiettivi

Questo documento costituisce un manuale di riferimento per la conoscenza e la comprensione dei principi e delle politiche che disciplinano il Business Continuity Management.

Gli obiettivi principali delle presenti Linee Guida sono:

• evidenziare i principi ispiratori in tema di continuità operativa;

• rappresentare le tematiche di riferimento per una corretta comprensione, sviluppo e implementazione del Business Continuity Management in azienda;

• fornire una guida di carattere metodologico e un framework di riferimento per approcciare le tematiche del Business Continuity Management;

• descrivere il macro-processo di riferimento per la continuità operativa;

• indicare i ruoli degli Organi e delle Strutture coinvolte nel processo.

2.2 Destinatari del documento

Le Linee Guida sono indirizzate sia a coloro che nel Gruppo rivestono ruoli manageriali, sia a coloro che, a vario titolo, sono coinvolti nello sviluppo e nell’implementazione del Business Continuity Management.

In particolare, i destinatari del documento sono:

• il Management aziendale delle Società del Gruppo che è chiamato a promuovere le attività attinenti la continuità operativa, anche attraverso un’accresciuta consapevolezza dell’importanza del Business Continuity Management;

• le Strutture organizzative, tecniche, logistiche ed operative responsabili, per ciascun ambito di competenza, della gestione e dell’implementazione del Business Continuity Management.

2.3 Cos’è il Business Continuity Management System

Il Business Continuity Management System (BCMS) può essere definito come il complessivo processo di gestione che identifica le minacce cui può essere soggetta un’azienda e gli impatti che le stesse potrebbero causare ai processi critici per il business, indirizzando l’implementazione di contromisure di carattere organizzativo, infrastrutturale e tecnologico, che ne garantiscano la sopravvivenza, anche qualora essa abbia perso tutti o parte degli asset a supporto della propria capacità operativa.

L’intero processo di gestione della continuità operativa si fonda sulla definizione di un framework che possa permettere all’azienda di costruire una risposta efficace alle crisi derivanti da molteplici scenari di rischio.

La progettazione e l’implementazione di tale framework consentono di:

6

• migliorare la capacità dell’organizzazione di sopportare interruzioni/fermi nell’operatività, gestendo un evento critico (resilience);

• facilitare la ripartenza del business a livelli di servizio predeterminati o ridefiniti in funzione del contesto operativo.

Alcuni dei fattori chiave per uno sviluppo ed un’attuazione efficace di un processo di gestione della continuità operativa sono:

• saper comprendere il contesto generale di rischio, interno ed esterno, in cui l’organizzazione opera;

• capire quali sono i processi, i prodotti e i servizi critici che l’azienda deve comunque riuscire ad erogare alla clientela e/o al mercato;

• comprendere le modalità e le azioni necessarie per l’implementazione e l’attuazione di una risposta efficace agli eventi critici, oltre a quelle essenziali per le procedure di ripristino del business;

• saper assicurare in azienda il riconoscimento dei ruoli e delle responsabilità in tema di continuità operativa;

• riuscire a sensibilizzare e a costruire il consenso delle Unità Organizzative, delle Funzioni Competenti e degli Enti Realizzatori per l’implementazione, lo sviluppo e l’esercizio della continuità operativa;

• integrare la continuità operativa nella cultura aziendale e nei processi ordinari dell’organizzazione.

Per l’azienda i principali benefici derivanti dall’implementazione di un efficace modello di Business Continuity Management (BCM) sono:

• accrescere il livello di consapevolezza dei rischi cui può essere soggetta l’operatività, con contestuale capacità di mitigazione e gestione degli stessi;

• rispondere efficacemente agli eventi critici di ampia portata, sviluppando un’adeguata capacità di gestione degli stessi;

• ridurre, tramite l’implementazione di opportune soluzioni, il livello di rischio cui l’organizzazione aziendale è soggetta, minimizzando, a fronte di un evento critico, le perdite economiche e i danni d’immagine;

• identificare i processi critici e sistemici e assicurarne la continuità;

• essere conforme rispetto ai requisiti normativi.

Tutto ciò premesso, all’interno del Gruppo Intesa Sanpaolo, per ridurre al minimo i potenziali impatti economico, normativo e reputazionale delle interruzioni all’operatività della Banca, è stato istituito un BCMS con le caratteristiche sopra descritte.

All’interno del Gruppo si evidenzia quindi un chiaro impegno per la creazione e la manutenzione nel tempo del proprio BCMS.

7

2.4 Principi fondamentali

Il Gruppo Intesa Sanpaolo si impegna a proteggere le proprie risorse, dando priorità a quelle umane, e ad assicurare la continuità dei servizi, dei processi e delle funzioni critiche, al fine di contribuire alla stabilità del mercato finanziario, di mantenere la fiducia dei propri clienti, salvaguardare i ricavi e mitigare i rischi.

Lo sviluppo, implementazione, verifica e manutenzione di un efficace programma di Business Continuity è necessario per sostenere questi obiettivi.

La normativa di Vigilanza assegna alla Capogruppo la responsabilità di assicurare, attraverso l’attività di direzione e coordinamento, la coerenza complessiva dell’assetto di governance del Gruppo.

All’interno del corpo normativo aziendale sono presenti forti richiami ai temi della continuità operativa e più in generale della compliance e del governo rischi.

Disposizioni inerenti alla continuità operativa sono anche previste dai Regolamenti che disciplinano il funzionamento di specifici Comitati di Gruppo. Per il dettaglio di tali disposizioni si rimanda alla normativa aziendale di riferimento.

Assumono inoltre particolare rilevanza i principi fondamentali relativi alla sicurezza, declinati nel documento “Principi di Sicurezza”.

8

3 RUOLI E RESPONSABILITÀ

Tutta l’organizzazione aziendale è chiamata a partecipare e a collaborare, per il proprio ambito di responsabilità, alla definizione, messa in opera, revisione, manutenzione e miglioramento continuo del Business Continuity Management System.

Il modello di Business Continuity Management del Gruppo Intesa Sanpaolo è caratterizzato dalla definizione puntuale dei ruoli e delle responsabilità in tema di continuità operativa, contestualizzati in funzione dell’ambito di gestione del Piano di Continuità Operativa di Gruppo ovvero di quello afferente all’attivazione del Piano di Continuità Operativa di Gruppo.

Di seguito sono riportati per entrambi gli ambiti i principali attori della Capogruppo e le relative responsabilità.

3.1 Ambito di gestione del Piano di Continuità Operativa

3.1.1 Organi Societari

I compiti e le responsabilità in tema di modello di Business Continuity Management sono rimessi agli Organi Societari secondo quanto previsto in linea generale dalle “Disposizioni di vigilanza per le banche” – Circolare n. 285/2013 di Banca d’Italia.

Le competenze degli Organi Societari sono descritte nello Statuto, nei relativi Regolamenti che ne disciplinano il funzionamento e nel “Regolamento del Sistema dei Controlli Interni Integrato”. Nel fare rinvio a tali documenti, nel seguito sono riportati i soli compiti degli Organi strettamente afferenti all’oggetto delle presenti Linee Guida.

3.1.1.1 Consiglio di Amministrazione

Con riferimento più specificatamente al modello di Business Continuity Management, il Consiglio di Amministrazione, con il supporto del Comitato Rischi:

- stabilisce gli obiettivi e le strategie di continuità operativa;

- assicura risorse umane tecnologiche e finanziarie adeguate per il conseguimento degli obiettivi fissati;

- approva il Piano di Continuità Operativa di Gruppo e le successive modifiche a seguito di adeguamenti tecnologici ed organizzativi, accettando i rischi residui non gestiti dal Piano;

- è informato, con frequenza almeno annuale, sugli esiti dei controlli sull’adeguatezza del Piano nonché delle verifiche delle misure di continuità operativa;

- è informato e prende atto del piano annuale delle verifiche delle misure di continuità operativa programmate;

- nomina il Responsabile del Piano di Continuità Operativa di Gruppo.

9 3.1.1.2 Comitato Rischi

Con riferimento più specificatamente al modello di Business Continuity Management, il Comitato Rischi supporta il Consiglio di Amministrazione nell’ esercizio delle funzioni indicate al paragrafo 3.1.1.1 con poteri istruttori e consultivi; in tale prospettiva le materie indicate al paragrafo 3.1.1.1 sono preventivamente sottoposte all’attenzione del Comitato Rischi.

3.1.1.3 Comitato per il Controllo sulla Gestione

Con riferimento al modello di Business Continuity Management, il Comitato per il Controllo sulla Gestione:

- vigila sulla completezza, adeguatezza, funzionalità e affidabilità del Piano di Continuità Operativa, anche in relazione ai sistemi informativi;

- esamina l’informativa, almeno annuale, sugli esiti dei controlli sull’adeguatezza del Piano nonché delle verifiche delle misure di continuità operativa, coordinandosi con il Comitato Rischi.

3.1.1.4 Consigliere Delegato e CEO

Con specifico riferimento al modello di Business Continuity Management il Consigliere Delegato e CEO:

- esercita il potere di proposta per le deliberazioni di competenza del Consiglio di Amministrazione, indicate al paragrafo 3.1.1.1;

- dà attuazione agli indirizzi deliberati dal Consiglio di Amministrazione;

- promuove lo sviluppo, il controllo periodico del Piano di Continuità Operativa e l’aggiornamento dello stesso a fronte di rilevanti innovazioni organizzative, tecnologiche e infrastrutturali nonché nel caso di lacune o carenze riscontrate ovvero di nuovi rischi sopravvenuti;

- approva il piano annuale delle verifiche delle misure di continuità operativa ed esamina i risultati delle prove in forma scritta, e ne dà informativa al Consiglio di Amministrazione.

3.1.2 Comitato di Direzione

Il Comitato di Direzione – Sessione Analisi dei rischi di Gruppo esamina le strategie finalizzate a fronteggiare le situazioni di crisi di ampia portata relative allo scenari di continuità operativa proposte dal Crisis Manager e a prendere le decisioni chiave aventi implicazioni determinanti e vincolanti per il superamento delle stesse; in particolare:

- ratifica, su proposta del Crisis Manager, la dichiarazione dello stato di crisi;

- dispone le strategie da intraprendere per fronteggiare la crisi;

- ratifica le eventuali spese straordinarie proposte dal Crisis Manager;

10

- approva le comunicazioni più significative verso le Autorità, gli altri operatori del sistema bancario, i media e la clientela.

3.1.3 Altre Strutture coinvolte

3.1.3.1 Responsabile del Piano di Continuità Operativa di Gruppo

Il Responsabile del Piano di Continuità Operativa di Gruppo, identificato nel responsabile dell’Area di Governo Chief IT, Digital and Innovation Officer:

- cura lo sviluppo del Piano di Continuità Operativa di Gruppo, ne assicura l’aggiornamento nel continuo a fronte di cambiamenti organizzativi o tecnologici rilevanti e ne verifica l’adeguatezza con cadenza almeno annuale;

- tiene i contatti con Banca d’Italia e con la Banca Centrale Europea in caso di crisi;

- verifica che tutte le controllate siano dotate di Piani di Continuità Operativa e verifica la coerenza degli stessi con gli obiettivi strategici del Gruppo in tema di contenimento dei rischi;

- relaziona gli Organi aziendali come indicato al paragrafo 4.4.2 nonché ulteriormente formalizzato nel Regolamento sul Sistema dei Controlli Interni Integrato.

3.1.3.2 Funzione di continuità operativa di Gruppo

La Funzione di Continuità Operativa è la funzione a supporto del Responsabile del piano di Continuità Operativa per lo svolgimento delle attività di indirizzo, controllo e gestionali in materia di continuità operativa a cui sono affidati i compiti specialistici in materia di business continuity.

La Funzione di continuità operativa di Gruppo, identificata nella struttura Cybersecurity and Business Continuity Management¹:

- definisce linee guida, regole e metodologie di continuità operativa;

- controlla e monitora il grado di conformità alle norme e regole definite;

- governa a livello di Gruppo i processi di definizione, manutenzione e verifica del Piano;

- predispone la documentazione per il Responsabile del Piano di Continuità Operativa di Gruppo;

- esegue i controlli sulle soluzioni di continuità in funzione della criticità e delle evidenze sull’adeguatezza del Piano di Continuità Operativa di Gruppo;

- supporta il Responsabile del Piano di Continuità Operativa di Gruppo nel processo di gestione delle crisi garantendo l’integrazione con le funzioni preposte alla gestione degli incidenti;

- si coordina con la Funzione di controllo dei rischi nella definizione delle metriche comuni di valutazione dei rischi operativi coerenti con il framework di gestione e controllo/contenimento dei rischi di Gruppo;

1 Cybersecurity and Business Continuity Management riveste il ruolo di Funzione Specialistica di conformità - come definita nelle Linee Guida di Compliance di Gruppo - per l’ambito normativo Continuità operativa con riferimento al quale svolge tutti i compiti attribuiti alla Funzione di conformità dalle disposizioni di vigilanza di Banca d’Italia.

11

- abilita lo sviluppo della cultura di continuità operativa tramite iniziative formative e di comunicazione, in accordo con la Direzione Centrale Politiche di Sviluppo e Learning Academy e la Comunicazione Interna di Intesa Sanpaolo.

3.1.3.3 Referenti dei Piani Settoriali di continuità operativa

I Referenti dei Piani settoriali di continuità operativa sono identificati nelle figure aventi una posizione gerarchico-funzionale adeguata, all’interno delle Strutture centrali che svolgono processi a rilevanza sistemica e nelle Filiali estere di Intesa Sanpaolo; essi:

- coordinano i lavori per la definizione e la manutenzione del Piano Settoriale in cui è articolato il Piano di continuità operativa, chiedendo almeno annualmente l’aggiornamento del Piano Settoriale alle funzioni di business e di supporto;

- coordinano l’attuazione delle misure previste nel Piano Settoriale e le verifiche di loro competenza indicate nel piano annuale di Gruppo;

- predispongono la documentazione inerente il Piano Settoriale per il vertice aziendale;

- richiedono, prima dell’attivazione di nuovi sistemi o processi operativi, le opportune modifiche del Piano Settoriale;

- supportano il Responsabile del Piano di Continuità Operativa di Gruppo nella gestione delle situazioni di crisi.

La Struttura delegata dal Referente del Piano Settoriale:

- effettua il coordinamento operativo delle attività assegnate al Referente del Piano Settoriale di continuità operativa;

- funge da interfaccia verso la Funzione di continuità operativa di Gruppo.

3.1.3.4 Funzioni Operative Il Business/Process Owner:

- individua la criticità dei processi aziendali, in accordo con gli indirizzi strategici e con le regole stabilite nel Piano di Continuità Operativa di Gruppo, gestendo e verificando nel tempo la Business Impact Analysis;

- definisce, verifica e gestisce le contromisure organizzative per gli aspetti di propria competenza, assicurando la formazione del personale subentrante;

- informa tempestivamente i Referenti per le Crisi a fronte di incidenti che impattano attività critiche.

Gli Enti Realizzatori:

- realizzano, verificano e gestiscono le componenti tecnologiche, infrastrutturali e impiantistiche delle soluzioni di continuità operativa. Assicurano la formazione al personale subentrante;

- acquisiscono i Piani di continuità operativa dei fornitori critici e valutano la qualità delle misure di continuità operativa e i Service Level Agreements (SLA) previsti;

- informano tempestivamente i Referenti per le Crisi a fronte di incidenti che impattano attività critiche.

12 3.1.3.5 Funzioni Aziendali di Controllo La Direzione Centrale Enterprise Risk Management:

- è la struttura competente per lo sviluppo, la realizzazione e il mantenimento del framework di gestione del rischio operativo e del rischio ICT, a cui concorre il rischio di continuità operativa;

- governa il processo di definizione, approvazione, controllo e attuazione del RAF per i rischi operativi e ICT, con il supporto delle altre funzioni aziendali coinvolte;

- coordina l’attuazione degli indirizzi e delle politiche in materia di governo dei rischi operativi e ICT da parte delle unità preposte del Gruppo, anche nei diversi ambiti societari.

La Direzione Centrale Compliance, Governance e Controlli:

- supporta Cybersecurity and Business Continuity Management nella definizione del framework normativo in materia di continuità operativa e nell’identificazione e valutazione dei potenziali rischi di non conformità conseguenti a eventi critici nell’individuazione dei relativi presidi;

- esprime, sulla base delle relazioni periodiche e degli ulteriori flussi informativi forniti da Cybersecurity and Business Continuity Management - individuata come Funzione Specialistica di conformità ai sensi delle Linee Guida di Compliance di Gruppo - e dalle altre funzioni aziendali di controllo e delle verifiche direttamente condotte, una valutazione autonoma del rischio di non conformità alla normativa in materia di Continuità Operativa e dell’adeguatezza dei presidi posti in essere per la relativa mitigazione e, ove ne ravvisi la necessità, richiede a Cybersecurity and Business Continuity Management di dare corso agli opportuni interventi di rafforzamento.

Il Chief Audit Officer:

- prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, proponendo modifiche al Piano di Continuità Operativa di Gruppo sulla base delle mancanze riscontrate;

- esamina i contratti con fornitori esterni per accertare che il livello di tutela sia adeguato agli obiettivi ed agli standard aziendali;

- analizza i criteri di escalation e verifica la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.

In caso di incidenti, la funzione di revisione interna verifica la congruità dei tempi rilevati per la dichiarazione dello stato di crisi.

13

3.2 Ambito di attivazione del Piano di Continuità Operativa

Di seguito è rappresentata la struttura del Modello Organizzativo per la Gestione delle Crisi in relazione all’ambito di attivazione del Piano di Continuità Operativa:

Di seguito sono riportati i ruoli e le principali responsabilità di ciascun attore coinvolto nel processo. Per la precisa declinazione delle responsabilità di ciascuno di essi si rimanda al Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo.

Comitato di Crisi

Il ruolo di Comitato di Crisi è assunto dal Comitato di Direzione – Sessione Analisi dei Rischi di Gruppo. Tale Comitato, deputato a ratificare la dichiarazione dello Stato di Crisi, è un organismo di Gruppo avente potere deliberativo, consultivo e informativo costituito allo scopo di assicurare il coordinamento e la gestione integrata dei rischi e la salvaguardia del valore aziendale a livello di Gruppo, ivi compreso il buon funzionamento del sistema dei controlli interni.

Crisis Manager

Il ruolo di Crisis Manager è assunto dal responsabile dell’Area di Governo Chief IT, Digital and Innovation Officer (CITDIO). Il Crisis Manager è il Responsabile complessivo della definizione del piano degli interventi necessari per il superamento delle criticità, della sua attivazione, del coordinamento e della supervisione di tutte le componenti previste dal

Fig. 1: Struttura del Modello Organizzativo per la Gestione delle Crisi in relazione all’attivazione del Piano di Continuità Operativa

14

Modello Organizzativo per la Gestione delle Crisi. Durante la gestione dell’evento critico è responsabile di relazionare costantemente il Comitato di Crisi circa l’evoluzione della crisi.

Unità di Emergenza

L’Unità di Emergenza ha la responsabilità del coordinamento generale dell’evento critico e dell’attivazione delle contromisure definite, oltre alla gestione del collegamento tra il Vertice aziendale e le Funzioni aziendali coinvolte nella gestione dell’emergenza.

L’Unità di Emergenza è composta dal Crisis Manager, dai Referenti per le Crisi di livello Manageriale, dalle Funzioni di Supporto, dalle Funzioni Competenti e di Monitoraggio e dal Nucleo Operativo Gestione Emergenze (NOGE). Possono inoltre confluire nell’Unità di Emergenza, qualora la situazione lo rendesse necessario, i fornitori critici e ogni altra risorsa del Gruppo che, per competenza ed esperienza, possa contribuire al superamento dell’emergenza.

Qualora venga attivato il Piano di Continuità Operativa di Gruppo, l’Unità di Emergenza assume il ruolo di coordinamento operativo ed è responsabile del coinvolgimento di tutte le risorse previste dal Piano di Continuità Operativa di Gruppo. In particolare, per l’attivazione del Piano di Continuità Operativa relativamente allo scenario di inaccessibilità dei locali, il Crisis Manager opera di concerto con il Chief Cost Management Officer (CCMO), mentre per lo scenario di indisponibilità del personale essenziale opera di concerto con il Chief Operating Officer (COO).

Nucleo Operativo Gestione Emergenze

Il Nucleo Operativo Gestione Emergenze (NOGE) opera all’interno dell’Unità di Emergenza con primarie funzioni di supporto, monitoraggio e coordinamento operativo. Il Nucleo Operativo Gestione Emergenze (NOGE) è individuato nella struttura Cybersecurity and Business Continuity Management, utilizzando le competenze della Funzione di Continuità Operativa e, per gli eventi critici che hanno determinato impatti di sicurezza informatica, la Funzione di Sicurezza Informatica.

Funzioni Impattate

Le Funzioni Impattate sono le Funzioni aziendali la cui operatività può essere compromessa a seguito di un evento critico. In linea generale sono le Funzioni aziendali che possono vedere pregiudicata l’erogazione di servizi e processi di cui sono direttamente responsabili o dei quali beneficiano.

Funzioni Competenti e di Monitoraggio

Le Funzioni Competenti e di Monitoraggio sono le Funzioni aziendali che si attivano per il superamento delle problematiche connesse alle risorse aziendali e attività operative e/o di business di cui sono responsabili. Garantiscono inoltre il monitoraggio e l’allineamento periodico per gli aspetti di competenza. Per gli scenari di continuità operativa ed in particolare per le soluzioni tecnologiche ed infrastrutturali, il ruolo di Funzione Competente e di Monitoraggio viene in linea generale assunto dagli Enti Realizzatori.

Funzioni di supporto

15

Le Funzioni di Supporto sono Funzioni aziendali che vengono interpellate per fornire consulenza e supporto su problematiche specifiche attinenti alla propria area di competenza (es. area commerciale, finanza, legale, comunicazione, investor relations, Data Protection Officer (DPO)).

Rivestono particolare importanza le funzioni deputate a gestire le comunicazioni interne (es. verso dipendenti, le organizzazioni sindacali, ecc.), le relazioni esterne (es. verso la clientela, le autorità pubbliche, le autorità finanziarie, ecc.) e le comunicazioni verso gli investitori.

Struttura deputata al governo degli eventi critici

Il ruolo di Struttura deputata al governo degli eventi critici è assunto dalla struttura Cybersecurity and Business Continuity Management. La Struttura deputata al governo degli eventi critici, collabora all’analisi degli impatti causati dagli eventi critici per la continuità operativa con le Funzioni Competenti e di Monitoraggio e le Funzioni Impattate.

Referenti per le Crisi

I Referenti per le Crisi costituiscono all’interno del Gruppo un vero e proprio network permanente con il compito di assicurare, a fronte di eventi critici, l’opportuna escalation delle informazioni e delle decisioni a tutti i livelli del Modello, garantendo quindi un presidio sia operativo sia manageriale.

Il network, durante l’attività ordinaria, svolge anche un ruolo di monitoraggio delle potenziali criticità segnalando le situazioni che pur non caratterizzandosi come emergenze in senso stretto, possono costituire una minaccia alla corretta operatività di business. Tutte le Strutture di Gruppo previste dal presente documento provvedono a nominare al proprio interno:

• uno o più Referenti di livello Manageriale che partecipano ai tavoli decisionali ed all’Unità di Emergenza;

• uno o più Referenti di livello operativo che partecipano, ognuno per la propria competenza, all’analisi degli impatti, al monitoraggio e alla definizione delle contromisure da adottare prendendo parte, ove necessario, all’Unità di Emergenza.

In taluni casi i Referenti per le Crisi di livello Manageriale e di livello Operativo possono coincidere.

Affinché il network dei Referenti per le Crisi rappresenti un valido e concreto strumento di prevenzione e gestione delle diverse situazioni di crisi, di seguito si definiscono le regole generali per l’individuazione dei Referenti per le Crisi.

Il ruolo di Referente Manageriale viene assunto dai livelli gerarchici più alti di ogni struttura di riferimento.

In presenza di un Piano Settoriale il Referente Manageriale coincide con il Referente del Piano Settoriale stesso.

Il Referente operativo è rappresentato da un adeguato livello gerarchico delle Unità Organizzative che gestiscono processi a rilevanza sistemica o che gestiscono nella propria struttura organizzativa il maggior numero di attività critiche.

16

Ogni referente individua un proprio sostituto in coerenza con quanto previsto dal Modello Organizzativo per la Gestione delle Crisi.

La puntuale individuazione dei referenti è riportata nelle liste di contatto a disposizione dell’Unità di Emergenza. Tale lista è oggetto di periodica manutenzione da parte del NOGE, che tiene presente anche le modifiche organizzative attuate tempo per tempo dalle organizzazioni aziendali.

17

4 MACRO PROCESSO DEL BUSINESS CONTINUITY MANAGEMENT SYSTEM

4.1 Il modello Plan-Do-Check-Act del Business Continuity Management System

La struttura delle Linee Guida di Continuità Operativa per il Gruppo Intesa Sanpaolo si basa sul modello “Plan – Do – Check – Act” (PDCA); tale modello, noto anche come ciclo di Deming, è caratterizzato dall’iterazione costante di quattro fasi gestionali finalizzate al controllo e al miglioramento continuo.

Il ciclo PDCA costituisce l’elemento cardine dei sistemi di gestione ed è in questo contesto utilizzato per pianificare, definire, implementare, mettere in atto e condurre, monitorare, riesaminare, aggiornare e migliorare continuamente l’efficacia del Business Continuity Management System (BCMS) di un’organizzazione.

A livello concettuale la figura riportata di seguito illustra come il Business Continuity Management System riceva in ingresso i requisiti per la gestione della continuità operativa di tutte le parti interessate al business dell’organizzazione e attraverso le attività e i processi restituisca alle parti stesse il risultato atteso che è la gestione della continuità operativa anche grazie al miglioramento continuo del sistema di gestione.

Fig.2: Il modello PDCA applicato ai processi di Business Continuity Management

18

La tabella seguente evidenzia gli elementi caratterizzanti ciascuna fase del modello PDCA applicato al Business Continuity Management System:

Plan (stabilire) Definizione delle politiche di Business Continuity,

degli obiettivi, dei controlli, dei processi e delle procedure essenziali per il miglioramento della continuità operativa al fine di produrre risultati in linea con gli obiettivi e le politiche aziendali Do (implementare e mettere all’opera) Implementazione, messa in opera, verifica e test

delle politiche di Business Continuity, delle soluzioni, dei processi e delle procedure

Check (monitorare e revisionare) Esecuzione delle attività di controllo e

monitoraggio e revisione della performance rispetto alle politiche e agli obiettivi di Business Continuity, presentazione dei risultati al management per la revisione, individuazione ed autorizzazione delle azioni correttive e di miglioramento

Act (manutenere e migliorare) Manutenzione e miglioramento del Business

Continuity Management System a seguito delle azioni correttive basate sui risultati della management review e riesame dello scope del sistema di gestione, delle politiche e degli obiettivi della Business Continuity

I capitoli successivi del documento illustrano in dettaglio, in riferimento al modello PDCA, i seguenti argomenti:

Fase “Plan”

• definizione dei requisiti necessari per stabilire il contesto del Business Continuity Management System nell’organizzazione, allineato alle esigenze e alle aspettative dei propri stakeholder, intesi come “parti interessate” (Capire il contesto di riferimento e gli interessi degli stakeholder; Ambito del Business Continuity Management System);

• definizione della struttura logica e del corpo documentale a supporto del modello di funzionamento del Business Continuity Management System del Gruppo Intesa Sanpaolo (Framework della continuità operativa);

• individuazione delle risorse necessarie per la gestione del Business Continuity Management System, assicurando le competenze, la comunicazione e la documentazione necessaria per stabilire, implementare, mantenere aggiornato e migliorare continuamente il BCMS (Awareness, formazione e comunicazione).

Fase “Do”

• definizione della metodologia e degli strumenti ed esecuzione dell’analisi di impatto degli eventi critici sulle attività (Business Impact Analysis – BIA), effettuata allo scopo di determinare le priorità in termini di ripristino dei processi/attività (Business Impact Analysis);

• definizione del processo di analisi d’impatto finalizzato a identificare, analizzare e valutare i rischi di incidenti/eventi sull’organizzazione e a determinare, da un lato le

Tab. 1: Spiegazione del modello PDCA

19

misure preventive e di protezione atte a ridurre gli impatti, dall’altro il livello di rischio residuo non gestito dal Piano di Continuità Operativa (Analisi d’impatto);

• definizione, sviluppo ed implementazione delle soluzioni di continuità operativa;

individuazione dei requisiti per la gestione delle crisi, del Piano di Continuità Operativa, del Piano di Disaster Recovery e dei requisiti di continuità operativa per i contratti di fornitura critici (Strategie di continuità operativa, Sviluppo e implementazione delle soluzioni di continuità operativa; Il Modello Organizzativo per la Gestione delle Crisi;

Business Continuity Plan; Disaster Recovery Plan; I requisiti di continuità operativa per i contratti di fornitura critici);

• esercizio nel continuo del Business Continuity Management System, progettazione ed esecuzione di test e verifiche rispetto al modello adottato dal Gruppo Intesa Sanpaolo (Esercizio nel continuo, test e verifiche).

Fase “Check”

• definizione dei requisiti necessari per il monitoraggio, attuazione del sistema di controlli per la continuità operativa, la misurazione e la valutazione dell’efficacia del Business Continuity Management System, della sua conformità a disposizioni regolamentari e/o standard internazionali; la presenza di un piano di revisione interna, la fase di management review per garantire l’idoneità, l’adeguatezza e l’efficacia del sistema di gestione della continuità operativa (Monitoraggio, controlli e performance evaluation, Management review; Revisione Interna).

Fase “Act”

• il processo di manutenzione e il miglioramento continuo (Il processo di manutenzione; Il miglioramento continuo).

4.2 Plan – Stabilire la continuità operativa 4.2.1 Contesto e stakeholder di riferimento

La progettazione, l’implementazione e la gestione del Business Continuity Management System richiede la comprensione del contesto in cui il Gruppo opera e dei rischi ad esso associati, la conoscenza dei processi aziendali e un approccio volto a sviluppare competenze sulle varie componenti aziendali.

È necessario individuare e definire i requisiti che determineranno le strategie di continuità operativa che la Società sceglierà di perseguire.

La comprensione dell’organizzazione e del contesto interno ed esterno in cui il Gruppo opera è legata ai seguenti fattori:

• obiettivi e mission aziendale;

• processi/servizi critici e/o sistemici che supportano tali obiettivi;

• attività, asset e risorse (umane, logistiche, tecnologiche, infrastrutturali) a supporto di tali processi/prodotti/servizi;

• minacce e relativi rischi che possono portare ad una indisponibilità dei processi/prodotti/servizi;

20

• impatto e possibili conseguenze nel tempo di una indisponibilità di processi, attività, risorse e asset.

Nello stabilire il Business Continuity Management System, occorre anche individuare gli stakeholder della continuità operativa, cioè soggetti ed organismi che richiedono l’implementazione da parte delle Banche e Società di Piani atti a garantire la disponibilità dei più rilevanti processi di business a fronte di eventi critici. Tra questi si segnalano (cfr.

Figura 3):

o le Autorità di Vigilanza del sistema finanziario, ove opera prevalentemente il Gruppo, che hanno emanato specifiche disposizioni normative relative alla Business Continuity.

• i regolatori locali che hanno emesso specifiche disposizioni legislative/regolamentari in materia di continuità operativa cui le Società del Gruppo devono ottemperare;

• il Comitato di Basilea che ha richiamato l’attenzione delle banche sulla necessità di porre in essere degli interventi per prevenire, contenere e monitorare i rischi operativi diretti o indiretti derivanti da processi interni, persone, sistemi o eventi esterni;

• altri operatori/intermediari del sistema finanziario che possono essere impattati dal blocco operativo prolungato di una Banca;

• la clientela, in particolare quella istituzionale, le banche estere e la componente corporate che richiedono sempre maggiori garanzie ed evidenze dei piani di continuità operativa in essere.

4.2.2 Ambito del Business Continuity Management System

L’ambito del Business Continuity Management System abbraccia tutte le Società del Gruppo ed è costituito dai processi a rilevanza sistemica o critici per il business aziendale, identificati tramite la Business Impact Analysis (BIA) e in accordo con le Disposizioni di Vigilanza oltre che con le politiche e gli indirizzi in materia di governo dei rischi definiti dal vertice aziendale.

Fig.3: stakeholder della Business Continuity per il Gruppo Intesa Sanpaolo

21

Tale ambito viene rivisto in concomitanza di cambiamenti organizzativi o tecnologici rilevanti o, comunque, almeno annualmente, nell’ottica di mantenerlo aggiornato al fine di rispondere alle esigenze via via applicabili al contesto Intesa Sanpaolo, alla luce della strategia e degli obiettivi aziendali, nonché dei requisiti legali e normativi. In generale devono essere coperti dalle soluzioni di continuità operativa i processi il cui fermo può comportare impatti economico/finanziari, normativi e d’immagine rilevanti per il Gruppo, anche qualora essi siano svolti da fornitori esterni. Un’attenzione particolare è rivolta, per l’ambito domestico, ai processi a rilevanza sistemica, ovvero alle aree più critiche relative all’accesso ai mercati finanziari, ai sistemi di pagamento e regolamento e più in generale ai processi a rilevanza contabile e/o ad alto impatto sul pubblico.

Le Disposizioni di Vigilanza e gli eventuali regolamenti locali prevedono requisiti specifici che è necessario rispettare; in particolare la normativa emessa da Banca d’Italia (Circolare n. 285 del 17 dicembre 2013 e successivi aggiornamenti) ha stabilito, in maniera puntuale, l’ambito del Piano di Continuità Operativa per gli operatori della piazza finanziaria italiana comprendendo anche le controparti rilevanti (altre società del Gruppo, principali fornitori, clientela primaria, specifici mercati finanziari, sistemi di regolamento, compensazione e garanzia).

L'operatività del sistema finanziario nel suo complesso si basa sul corretto funzionamento dei maggiori operatori e sulla loro capacità di erogare i servizi essenziali. Banca d’Italia comunica a ciascun operatore, individuato nominativamente tra quelli che superano determinate soglie dimensionali, i processi a rilevanza sistemica di pertinenza. Vengono così denominati i processi ad alta criticità nel sistema finanziario italiano che, per un effetto di contagio, possono provocare il blocco dell'operatività dell’intera piazza finanziaria nazionale. Si tratta di un complesso strutturato di attività finalizzate all'erogazione dei seguenti servizi:

• servizi connessi con i sistemi di regolamento lordo in moneta di banca centrale e con i sistemi di gestione accentrata, compensazione, garanzia e liquidazione degli strumenti finanziari. Sono inclusi: regolamento lordo in moneta di banca centrale (Target 2), liquidazione di strumenti finanziari (Express II), gestione accentrata di strumenti finanziari, sistemi di riscontro e rettifica giornalieri, servizi di controparte centrale;

• servizi connessi con l’accesso ai mercati rilevanti per regolare la liquidità del sistema finanziario. Sono inclusi: sistemi multilaterali di scambio di depositi interbancari in euro (e-Mid), aste BCE, operazioni di finanziamento del Tesoro effettuate tramite asta, Mercato dei pronti contro termine all’ingrosso su titoli di Stato (MTS comparto PCT);

• servizi di pagamento al dettaglio a larga diffusione tra il pubblico. Sono inclusi: bollettini postali, pagamento delle pensioni sociali, erogazione del contante;

• servizi strettamente funzionali al soddisfacimento di fondamentali esigenze di liquidità degli operatori economici, il cui blocco ha rilevanti effetti negativi sull’operatività degli stessi. Sono inclusi: gestione delle infrastrutture telematiche per l’erogazione del contante tramite terminale ATM, supporto ad applicazioni e servizi rientranti nell’ambito della “Convenzione per la partecipazione al Sistema per la trasmissione telematica di dati” (SITRAD).

4.2.3 Framework della continuità operativa

Il framework di continuità operativa adottato dal Gruppo mutua la visione integrata presente nelle Disposizioni di Vigilanza di Banca d’Italia ed è composto da una molteplicità

22

di elementi che insieme garantiscono il presidio dei rischi attraverso la definizione di soluzioni di carattere organizzativo, infrastrutturale e tecnologico e la fruibilità e la manutenzione nel tempo delle soluzioni, anche attraverso attività di test e verifica.

Ogni Società del Gruppo è tenuta a valutare la necessità di sviluppare le proprie soluzioni di continuità operativa per la gestione delle emergenze, in funzione dello specifico profilo di rischio, della criticità dei processi, della rilevanza per il sistema finanziario e per il Gruppo, in accordo con le Disposizioni di Vigilanza eventualmente vigenti a livello locale e con le strategie definite dalle Funzioni di Governo, Indirizzo e Controllo.

Il framework di continuità operativa del Gruppo è caratterizzato dai seguenti elementi fondamentali:

• quadro normativo (Linee Guida, Regole e processi, metodologie);

• crisis management (Modello Organizzativo per la Gestione delle Crisi per il Gruppo Intesa Sanpaolo);

• Piano di Continuità Operativa e Piani Settoriali (Business Impact Analysis, soluzioni organizzative, soluzioni tecnologiche, soluzioni infrastrutturali);

• test (verifiche sul Piano di Continuità Operativa/Piani Settoriali e simulazioni crisi);

• controlli;

• formazione, manutenzione e miglioramento continuo.

La figura seguente schematizza tale schema logico:

I framework delle Società del Gruppo devono essere coerenti con quello definito dalla Capogruppo che ricopre un ruolo di indirizzo fornendo supporto metodologico.

Fig.4: Il framework di Continuità Operativa del Gruppo Intesa Sanpaolo

23

Il framework di continuità operativa trova in ultima istanza riscontro nella documentazione prodotta che ne rappresenta la contestualizzazione di dettaglio. In tal senso uno degli aspetti più importanti del Business Continuity Management System è la gestione della documentazione che deve essere:

• semplice e facile da comprendere;

• conforme rispetto ai requisiti di carattere normativo;

• fruibile, anche in situazioni di emergenza;

• efficace, riuscendo a fornire supporto manageriale, operativo e alle attività di controllo.

Il tipo di documentazione prodotta e il relativo livello di dettaglio sono fattori che dipendono da molteplici parametri, quali ad esempio le dimensioni aziendali, il contesto interno ed esterno di riferimento, le disposizioni legislative, la natura dell’organizzazione.

Gli obiettivi principali che un sistema documentale di Business Continuity Management deve consentire di perseguire, sono:

• la capacità di gestire l’insieme delle attività in maniera appropriata;

• riuscire a dimostrare l’adeguatezza del Business Continuity Management System in occasione di verifiche/controlli/ispezioni;

• essere attuale e efficace, consentendo, in caso di evento disastroso, la gestione della crisi e la ripartenza delle attività dei processi.

4.2.4 Awareness, formazione e comunicazione

Per la definizione, l’implementazione, la manutenzione e il miglioramento continuo del Business Continuity Management System è necessario integrare la continuità operativa nella cultura aziendale, consentendogli di divenire parte dei valori chiave dell’organizzazione, accrescendo al tempo stesso la fiducia degli stakeholder circa la capacità della Società di far fronte ai fermi nell’operatività e alle situazioni di emergenza.

Il successo nello sviluppo e nell’implementazione di un sistema di Business Continuity Management, in un contesto organizzativo caratterizzato da elementi culturali eterogenei, dipende dalla capacità di integrazione di componenti quali, ad esempio, l’awareness e la formazione nella gestione strategica ed operativa dell’azienda, oltre che nelle priorità del business.

Lo sviluppo di una cultura della continuità operativa può essere conseguito attraverso:

• la definizione delle responsabilità;

• la formazione di competenze sia specifiche che generali in ambito di Business Continuity;

• una politica di Business Continuity awareness.

L’integrazione degli elementi culturali legati alla continuità operativa permette ad un’organizzazione di:

• sviluppare/attuare il sistema di Business Continuity Management in maniera più efficiente;

24

• infondere maggiore fiducia in generale negli stakeholders circa la capacità di gestire eventi di crisi/emergenze;

• assicurare che le implicazioni e gli aspetti correlati a tematiche di Business Continuity siano presi in considerazione a tutti i livelli aziendali.

Il processo di integrazione del Business Continuity Management all’interno della cultura aziendale è, generalmente, un’iterazione regolare delle seguenti tre attività:

• valutazione dell’attuale livello di consapevolezza e commitment sul BCM rispetto al livello desiderato, in modo tale da identificare lo scostamento esistente in termini di training/interventi mirati;

• progettazione e rilascio di contenuti formativi finalizzati a creare/rafforzare il livello di consapevolezza aziendale sulle tematiche in oggetto, sviluppando gli skill, le conoscenze e il commitment richiesti per una gestione efficace della continuità operativa;

• verifica del raggiungimento dei risultati programmati, monitorando il livello di Business Continuity awareness nel medio-lungo termine.

Le nuove piattaforme formative multi-device (Apprendo e App Scuola dei Capi) integrano le modalità più tradizionali di formazione in aula o da remoto.

È altresì necessario definire gli aspetti fondamentali della comunicazione, interna ed esterna, relativa al Business Continuity Management System, ovvero:

• cosa comunicare;

• quando farlo;

• a chi comunicare.

Le strategie e gli strumenti di comunicazione, sono anche definiti nelle specifiche normative che disciplinano i rapporti con le Autorità di Vigilanza. Particolare attenzione deve essere posta alle fasi di comunicazione all’Organo di Vigilanza sia in situazioni di crisi sia in fase di rendicontazione annuale.

4.3 Do – Implementare e mettere in atto la continuità operativa 4.3.1 Business Impact Analysis

Una delle attività chiave all’interno del Business Continuity Management System è la definizione, attuazione e manutenzione della Business Impact Analysis (BIA) finalizzata a identificare gli obiettivi e le priorità in termini di continuità operativa e ripristino dei processi.

Per la realizzazione e l’attuazione delle misure di continuità operativa, le Disposizioni di Vigilanza richiedono l’adozione di un approccio esteso che, partendo dalla identificazione dei processi aziendali critici, definisca per ciascuno di essi presidi organizzativi e misure di emergenza commisurati al livello di rischio e alle conseguenze dell’interruzione del servizio.

Le attività della Business Impact Analysis sono pertanto finalizzate alla raccolta di informazioni volte ad identificare e descrivere le aree di business più critiche o a rilevanza sistemica, dettagliando le risorse, umane, tecnologiche e logistiche, a supporto. Si tratta cioè di valutare gli impatti sul business (economico-finanziari, legali, d’immagine-

25

reputazionali), determinati dal verificarsi di scenari di crisi che colpiscono risorse/asset di supporto ai processi aziendali, provocando l’indisponibilità delle relative attività e/o servizi.

Il risultato della Business Impact Analysis rappresenta quindi il set informativo necessario per lo sviluppo delle soluzioni di continuità operativa.

La Business Impact Analysis, svolta dal Responsabile del processo, ha l’obiettivo di individuare, per ciascuna attività:

• le caratteristiche fondamentali (tipologia, criticità, impatti, ecc);

• il massimo tempo di fermo sostenibile per l’attività (MTPD), ovvero il tempo entro il quale la stessa deve essere ripristinata ad un livello di servizio predefinito. Tale attività consente di individuare, in accordo con gli indirizzi strategici e con le regole stabilite nel Piano di Continuità Operativa, il Tempo di Ripristino del processo;

• i requisiti e gli asset necessari a garantirne l’operatività, al fine di definire le soluzioni da implementare in funzione dei diversi livelli di criticità emersi e dello scenario di crisi verificatosi.

La Funzione di continuità operativa di Gruppo è responsabile della definizione della metodologia per lo svolgimento della Business Impact Analysis e della gestione degli strumenti a supporto; essa fornisce supporto inoltre alle Società del Gruppo per l’adozione e l’attuazione delle analisi che devono essere svolte in maniera conforme a quanto stabilito dalla Capogruppo.

4.3.2 Analisi d’impatto

La Business Impact Analysis deve essere integrata con l’analisi d’impatto volta ad individuare, analizzare e classificare i rischi cui può essere soggetta l’azienda, attraverso la stima della probabilità e dell’impatto di minacce che possono, se verificate, causare l’interruzione delle attività e dei servizi.

L'analisi di impatto, preliminare alla stesura del Piano di Continuità Operativa e periodicamente aggiornata, individua quindi il livello di rischio relativo ai processi aziendali più critici o a rilevanza sistemica e pone in evidenza le conseguenze dell’interruzione del servizio. I rischi residui, non gestiti dal Piano di Continuità Operativa, sono documentati ed esplicitamente accettati dagli Organi aziendali competenti. L'allocazione delle risorse e le priorità di intervento sono correlate al livello di rischio.

Tale attività deve essere sviluppata in maniera coerente e sinergica con il sistema aziendale di gestione dei rischi operativi.

In tal senso l’analisi d’impatto si inserisce nell’ambito del framework di gestione e controllo/contenimento dei rischi di Gruppo e del processo di gestione del rischio operativo basato su stime quali/quantitative soggettive effettuate dalle Strutture. La Funzione di continuità operativa di Gruppo fornisce alle Strutture aziendali competenti gli indicatori di adeguatezza circa il presidio dei Fattori di Rischio in ambito Business Continuity al fine di supportare il processo di gestione del rischio operativo, sulla scorta di quanto previsto dal regolatore.

Le Strutture aziendali competenti, a valle del processo istituzionale di gestione del rischio operativo, forniscono alla Funzione di continuità operativa di Gruppo l’indice di rischio

26

residuo inerente le Classi di Rischio in ambito business continuity, tale informazione integra la documentazione a supporto dell’annuale processo di approvazione del Piano di Continuità Operativa da parte degli Organi aziendali.

Gli obiettivi dell’analisi dei rischi all’interno del Business Continuity Management System sono:

• identificare le minacce interne ed esterne alla Società che possono comportare un fermo delle operatività, valutandone la probabilità di accadimento e il livello dell’impatto;

• associare le minacce ai processi aziendali e agli asset (location, risorse umane, infrastrutture, sistemi applicativi, ecc) di supporto agli stessi, valutandone solidità, obsolescenza, ridondanza e disponibilità;

• stimare, anche ricorrendo, se necessario, ad un sistema di scoring quantitativo, l’impatto per la Società derivante dall’accadimento dell’evento di minaccia;

• calcolare il livello di rischio potenziale combinando i valori di probabilità e impatto per ciascuna minaccia;

• valutare il complessivo sistema di contromisure già implementato in azienda, al fine di determinare il livello di rischio residuo;

• prioritizzare i rischi in ambito, tenendo conto della capacità della Società di controllare l’evento;

• indirizzare le strategie di soluzione, ovvero ridefinire quelle attuali nel caso in cui esse non siano allineate rispetto ai livelli di rischio ritenuti accettabili.

Tra i principali eventi critici, rilevanti per la continuità operativa, vi sono:

• l’inaccessibilità dei locali ove si svolge la normale operatività;

• l’indisponibilità del personale essenziale;

• l’indisponibilità dei sistemi informativi;

• la perdita di documenti/dotazioni specifiche;

• l’interruzione dei servizi infrastrutturali.

L’estensione dell’analisi ad ulteriori eventi critici è un’attività che può essere comunque intrapresa in funzione degli obiettivi di copertura che l’organizzazione si è prefissata, della disponibilità di personale a supporto, delle dimensioni e della complessità del business, di particolari requisiti imposti dal contesto normativo di riferimento e dell’evoluzione del contesto di rischio al quale è esposta l’azienda.

Gli scenari di rischio rilevati devono essere costantemente aggiornati e devono includere tutte le ipotesi di distruzioni fisiche su larga scala, a dimensione metropolitana o superiore, di infrastrutture essenziali dell’intermediario o di terzi, nonché situazioni di crisi gravi anche non connesse ad eventi con distruzioni materiali (ad es. pandemie, ecc).

4.3.3 Strategie di continuità operativa

La definizione e la scelta delle strategie di Business Continuity è finalizzata ad identificare le migliori contromisure possibili per ciascun evento critico analizzato.

27

La scelta delle soluzioni deve essere coerente con i risultati della Business Impact Analysis, la tipologia e la criticità dei processi da proteggere e commisurata agli impatti potenziali di un fermo operativo.

Le strategie di continuità operativa definiscono l’orientamento di fondo del Gruppo verso la progettazione e l’implementazione di soluzioni tecnologiche, organizzative ed infrastrutturali e procedure operative/organizzative volte a gestire le situazioni di crisi fino al ripristino della normale operatività.

Esse devono essere definite considerando:

• il contesto aziendale di riferimento (ad es. piano industriale);

• le politiche aziendali in merito al lavoro agile (smart working);

• i piani di evoluzione tecnologica ed organizzativa;

• le strategie in materia di capital budget e controllo dei costi;

• le strategie in materia di rischi operativi;

• le risultanze della Business Impact Analysis e dell’analisi d’impatto.

Con l’espressione soluzioni di continuità operativa (o misure di continuità operativa) si intende l’insieme organico e coordinato di risorse (siti, personale, tecnologie, strumenti, normative, procedure, ecc.), opportunamente predisposte ed identificate nel Piano di Continuità Operativa, che, in caso di crisi, consentano di approntare risposte commisurate alla dimensione e al livello dell’impatto e finalizzate a garantire la prosecuzione del business aziendale, sino al completo ritorno alla normale operatività.

Al fine di garantire il livello di diffusione più ampio e la massima efficacia possibile è necessario che le strategie generali definite dal Business Continuity Management System siano approvate dagli Organi aziendali e godano di un forte commitment.

La scelta delle soluzioni di continuità operativa deve considerare molteplici dimensioni di analisi tra le quali si ricordano:

• il costo d’impianto e di manutenzione;

• il grado di copertura dei requisiti della Business Impact Analysis e la garanzia di continuità offerte;

• il livello di compliance offerto rispetto alla normativa di Vigilanza;

• la fattibilità tecnica;

• i vincoli logistici;

• il livello di remotizzazione dei processi aziendali;

• la presenza contemporanea delle risorse critiche e/o dei relativi back-up nello stesso sito;

• la semplicità/complessità di realizzazione;

• le tempistiche di realizzazione;

• la scalabilità;

• la complessità di gestione a regime;

• la valorizzazione di asset aziendali esistenti.