Circolare 263 – impatto nelle Banche italiane

Qual è stato l’impatto della Circolare 263 nelle banche italiane? quali le principali conseguenze e le aree di miglioramento che si possono ancora individuare? Il tema è stato al centro del dibattito di una Tavola Rotonda,

“Dopo la 263: rinnovare la governance e la gestione del rischio IT e Cyber in Banca”, organizzata da The Innovation Group in collaborazione con Trend Micro Italia lo scorso 24 novembre a Milano, per fare il punto, con esperti e testimonianze dirette, sul percorso di adeguamento alla 263: il cammino fatto, lo status quo con riferimento a processi di analisi e gestione del rischio IT e cyber, i passi ancora  da compiere.

“Dopo la 263: rinnovare la governance e la gestione del rischio IT e Cyber in Banca”

Executive Roundtable, The Innovation Group e Trend Micro, 24 Novembre 2015

Quello che emerge è una situazione in sostanza buona: la Direttiva (oggi compresa con tutte le specifiche all’interno della Circolare Banca D’Italia 285 sulla vigilanza bancaria aggiornata lo scorso 21 luglio) è stata l’occasione per rivedere le policy di trattamento del rischio informatico e coinvolgere maggiormente il Management nella Banca sugli aspetti decisionali per la mitigazione del rischio IT, tramite il set-up di processi di comunicazione e reportistica verso i livelli decisionali e un approccio di Integrated Risk Management.

E’ stato svolto un lavoro importante di reporting verso il CDA cogliendo l’occasione affinchè la governance del sistema informativo potesse approdare alla supervisione strategica ai livelli più alti. Un impegno questo che ha incontrato spesso difficoltà legate a problematiche di tipo culturale e a una scarsa sensibilità in generale sulle tematiche IT da parte del Board.

Uno dei primi ambiti su cui la 263 “ha funzionato”, ma che in prospettiva richiederà ulteriori affinamenti, è quello della gestione del rischio informatico.

Un altro ambito che è stato preso in considerazione con particolare attenzione è stato quello dei nuovi rilasci applicativi, che hanno visto un maggiore coinvolgimento da parte dei responsabili della sicurezza, con una revisione dei processi che portano a nuovi rilasci che tenga conto di aspetti di valutazione del rischio informatico.

Con la 263 sono stati introdotti requisiti in linea con le metodologie più diffuse come ISO 27000 e Cobit che hanno permesso di rafforzare il sistema di controllo e i presidi di sicurezza nei processi di gestione IT, sia per le componenti interne sia anche con riferimento a quanto gestito dalle Terze Parti.

I limiti dell’adeguamento vanno visti nelle richieste insite della Circolare, che sono principalmente di monitoraggio, controllo e segnalazione verso la vigilanza e gli organi interni in merito alle violazioni che le Banche possono subire. Di conseguenza, l’adeguamento ha richiesto che le banche predisponessero in primis misure organizzative e aspetti di natura procedurale in merito alle segnalazioni, con un focus principalmente formale, mentre da un punto di vista sostanziale, l’analisi dei rischi e altre attività presentano tuttora ampi margini di miglioramento.

Un altro ambito su cui proseguono le attività di adeguamento è la definizione di uno standard aziendale di Data Governance che sia “263-compliant”. La Circolare, peraltro, ha precisato che il modello di Data Governance deve consentire di “individuare ruoli e responsabilità delle funzioni coinvolte nell’utilizzo e nel trattamento, a fini operativi e gestionali, delle informazioni aziendali” ma ha fornito indicazioni di obbligatorietà in merito alla gestione dei dati solo in alcuni ambiti principali tra cui contabilità generale, segnalazioni di vigilanza, antiriciclaggio, informativa al mercato e Risk Management. In realtà un’appropriata governance dei dati, se correlata alla gestione dei rischi, comprende fasi di identificazione, misurazione, valutazione, monitoraggio, prevenzione o attenuazione dei rischi connessi con la qualità dei dati, e va ad impattare su tutti i processi di una Banca. Di fatto, poiché un adeguamento estensivo può essere oneroso, le banche, la maggior parte di queste, dopo aver definito un proprio framework, ha deciso un approccio per gradi sia in termini di ambito sia di dettaglio dei controlli.