Articolo dell’Avv. Lia Ruozi Berretta, Partner
***
Al crescente processo di digitalizzazione, si affianca, inevitabilmente, il tema dei rischi informatici.
La continuità aziendale e la sicurezza dei dati sono minacciate da diversi fattori: errore umano, ingerenze illecite (attacco hacker), malfunzionamenti e crush dei sistemi.
Il tema è di crescente interesse, in quanto comporta l’esposizione delle aziende a nuove responsabilità ed investimenti.
Nel settore finanziario, merita particolare attenzione il Regolamento UE 2554/2022 DORA (Digital Operational Resilience Act), approvato dal Parlamento Europeo il 10 novembre 2022.
Obiettivo del Regolamento è quello di elevare e rafforzare gli standard europei di cybersecurity delle “Entità finanziarie”, e cioè dei soggetti che operano nel campo della gestione del pubblico risparmio (banche, assicurazioni, ma anche fornitori di servizi di crowdfunding, agenzia di rating del credito) ai quali si affiancano ormai nuove figure, quali i fornitori di servizi ITC (tecnologie digitali dell’informazione e della comunicazione). In sintesi, il Regolamento si occupa della resilienza operativa digitale dei sistemi, il cui funzionamento deve essere garantito anche in seguito ad incidenti e violazioni dell’infrastruttura ITC.
Le Entità finanziarie, nel corso del 2024, dovranno progressivamente attivare un piano di adeguamento, per essere “a norma” dal 17 gennaio 2025, data da cui il Regolamento sarà vincolante.
- Governance e responsabilizzazione degli organi di gestione. Gli organi amministrativi societari assumeranno la diretta responsabilità nella gestione e nel monitoraggio dei rischi relativi alle tecnologie digitali, e saranno soggetti ad obblighi di formazione ed aggiornamento periodici. Gli organi gestori, inoltre, saranno incaricati di individuare ruoli e responsabilità in relazione alle diverse funzioni richieste per il ricorso alle ITC.
- Gestione dei rischi. Le Entità Finanziarie dovranno predisporre un quadro per la gestione dei rischi, che assicuri la manutenzione e l’aggiornamento di hardware e delle infrastrutture. Inoltre, dovranno attuare strategie volte alla prevenzione e minimizzazione dei rischi informatici, attraverso la verifica della sicurezza dei mezzi di trasferimento dei dati, l’adozione di misure volte ad evitarne la corruzione ed il deterioramento. Si prevede, poi, la strutturazione di un piano di contenimento del rischio e l’elaborazione di una BIA (Business Impact Analysis) per la valutazione dell’impatto delle perturbazioni sulle attività.
- Segnalazione degli incidenti. Le Entità finanziarie saranno tenute ad obblighi di monitoraggio, registrazione di qualsiasi incidente grave relativo alle ITC, dovendo successivamente provvedere alla relativa comunicazione alle autorità di vigilanza competenti. L’incidente, inoltre, andrà classificato in base alla gravità.
- Test di resilienza operativa digitale. Si prevede che, nell’ambito del quadro di gestione, siano effettuati periodicamente dei test (tra i quali, penetration test basati su minacce) volti a verificare la capacità di reazione ed il livello di resilienza dei sistemi rispetto al verificarsi di attacchi informatici o altri imprevisti.
- Gestione dei rischi derivanti da terzi. Le Entità finanziarie sono chiamate ad effettuare un’accurata verifica dei rischi che possano derivare da soggetti terzi che operino in qualità di fornitori di servizi digitali; prima della stipula del contratto di fornitura, sarà necessario svolgere una due diligence sul fornitore.
- Condivisione delle informazioni. Le Entità finanziarie, ad esempio tramite la predisposizione di specifici accordi, potranno scambiare dati e informazioni sulle minacce informatiche, al fine di elaborare strategie condivise e coordinate per fronteggiarle.
Va segnalato che l’impatto rivoluzionario del Regolamento Dora coinvolgerà anche i temi privacy, in quanto i servizi finanziari sono in gran parte destinati a persone fisiche.
