di Alain Ben Rejeb, Junior Digital Product Manager in Excellence Innovation
Il progresso tecnologico ha rivoluzionato il settore finanziario, offrendo nuove opportunità, ma anche esponendo le istituzioni a crescenti rischi informatici. Per affrontare queste sfide, l’Unione Europea ha introdotto la normativa DORA (Digital Operational Resilience Act) che mira a rafforzare la sicurezza informatica delle entità finanziarie al fine di garantire la loro continuità operativa. Il regolamento richiede che tutte le organizzazioni del settore, tra cui banche, assicurazioni e operatori delle criptovalute, si adeguino ai nuovi standard entro il 17 gennaio 2025, due anni dopo la sua entrata in vigore.
La crescente minaccia degli attacchi informatici nel settore finanziario
L’ultimo “Global Financial Stability Report” del Fondo Monetario Internazionale (FMI) di aprile 2024 avverte che la stabilità finanziaria mondiale è sempre più a rischio a causa dell’aumento della frequenza e della sofisticazione degli attacchi informatici. In particolare, il settore finanziario è tra i settori più esposti alle minacce informatiche, in quanto le operazioni coinvolgono grandi quantità di dati e transazioni sensibili.
Di seguito le informazioni rilevanti estratte dal report:
1. Negli ultimi 20 anni, il settore finanziario ha subito più di 20.000 attacchi, causando perdite dirette per 12 miliardi di dollari.
2. Quasi un quinto degli incidenti informatici segnalati negli ultimi 20 anni ha colpito il settore finanziario, con le banche come bersaglio più frequente, seguite da assicurazioni e gestori patrimoniali.
3. Negli ultimi 4 anni c’è stato un raddoppio degli attacchi informatici derivante dalla crescente digitalizzazione, accelerata dalla pandemia COVID-19 e dalle tensioni geopolitiche.
4. Le organizzazioni finanziarie si affidano sempre di più a fornitori di servizi IT terzi, e potrebbero farlo ancora di più con il ruolo emergente dell’intelligenza artificiale.
I fornitori esterni possono migliorare la resilienza operativa, ma anche esporre il settore finanziario a shock a livello di sistema. Pertanto, per un’istituzione finanziaria è fondamentale trovare fornitori affidabili di tecnologie dell’informazione e della comunicazione per minimizzare perdite dirette e indirette come danni di reputazione. In questo contesto, il Gruppo Excellence sta attivamente lavorando per soddisfare tutti i requisiti della normativa, garantendo così che le soluzioni e i servizi offerti siano allineati con i nuovi standard di sicurezza e resilienza operativa.
I requisiti DORA per entità finanziarie e fornitori ICT
L’obiettivo di DORA è armonizzare le leggi europee in modo completo, stabilendo requisiti tecnici per le entità finanziarie e i fornitori ICT nei seguenti domini:
1. Gestione del rischio ICT e governance: L’organo amministrativo deve assumere la responsabilità della gestione ICT, definendo strategie e mantenendosi aggiornato sui rischi. Esso deve guidare le organizzazioni a sviluppare framework completi, effettuare analisi dell’impatto sul business e adottare misure di sicurezza informatica come piani di continuità operativa e disaster recovery.
2. Gestione degli incidenti: Le organizzazioni devono istituire sistemi per monitorare, gestire e segnalare tempestivamente incidenti informatici. Gli incidenti critici richiedono tre rapporti: iniziale, intermedio e finale. Le regole su classificazione e segnalazione saranno presto pubblicate, con l’idea di semplificare la segnalazione tramite un hub centrale e modelli di report comuni.
3. Test di resilienza operativa digitale: Si richiede di effettuare test regolari dei sistemi ICT per identificare le vulnerabilità e valutare la loro capacità di affrontare incidenti e interruzioni. Le entità strategiche devono sottoporsi a test di penetrazione basati su minacce (TLPT) ogni tre anni, con standard tecnici allineati al framework TIBER-EU.
4. Gestione del rischio di terze parti: Il regolamento si applica anche ai fornitori ICT. Le entità finanziarie devono gestire il rischio di terze parti, stipulare contratti conformi con i fornitori e mappare le dipendenze ICT con essi. L’Unione Europea sta valutando clausole contrattuali standardizzate, e i fornitori critici saranno soggetti a supervisione diretta delle autorità europee.
Impatti e benefici della normativa DORA
L’implementazione della normativa DORA ha impatti significativi sul settore finanziario, introducendo nuove sfide per evitare sanzioni e penalità, ma soprattutto offre numerosi benefici:
1. Riduzione dei Costi di Incidente: Implementando misure di sicurezza avanzate e strategie di risposta agli incidenti, le organizzazioni possono ridurre significativamente i costi associati a violazioni dei dati e interruzioni operative.
2. Miglioramento della Reputazione: Le entità che dimostrano una forte resilienza operativa e una gestione efficace degli incidenti possono rafforzare la fiducia dei clienti e degli investitori, migliorando la loro reputazione sul mercato.
3. Efficienza delle Operazioni: La standardizzazione dei processi di gestione del rischio e dei contratti con fornitori ICT permette alle organizzazioni di operare in modo più efficiente, riducendo i tempi e permettendo una migliore allocazione delle risorse in altre funzioni.
4. Supporto all’Innovazione: Un ambiente ICT più sicuro e resiliente favorisce l’innovazione, permettendo alle entità finanziarie di sviluppare e implementare nuovi prodotti e servizi con maggiore sicurezza.
Guardando al futuro: l’impatto positivo di DORA sulla sicurezza del settore finanziario
Come discusso precedentemente nell’articolo, gli attacchi informatici sono aumentati sia in frequenza che in sofisticazione, mettendo a rischio la stabilità delle istituzioni finanziarie. L’introduzione della normativa DORA rappresenta un passo fondamentale per il rafforzamento della sicurezza e della resilienza operativa nel settore finanziario europeo. Pur ponendo nuove sfide per le organizzazioni, l’adeguamento ai requisiti di DORA offre significativi vantaggi, tra cui la riduzione dei costi associati agli incidenti, il miglioramento della reputazione, l’incremento dell’efficienza operativa e il supporto all’innovazione. L’adozione di misure avanzate di gestione del rischio ICT e la collaborazione con fornitori conformi garantiscono una protezione più robusta dei dati dei clienti e una maggiore stabilità delle operazioni finanziarie. In questo contesto, la normativa DORA non solo rappresenta una necessità normativa, ma anche un’opportunità strategica per le entità finanziarie di posizionarsi come leader di mercato in termini di sicurezza e affidabilità.
LEGGI ANCHE – L’AI passerebbe l’esame OCF per diventare Consulente Finanziario?